我正在尝试设置 sshd 以在 RHEL7 服务器上的 xinetd 下运行。我在备用端口上运行 sshd,使用 xinetd 来限制可以连接的 IP。
这在 RHEL6 上可以正常工作,如果我禁用 SELinux,在 RHEL7 上也可以正常工作。但是,RHEL7 上的针对性 SELinux 策略阻止了它。
不幸的是,当它失败时,它并没有在 /var/log/audit 中记录太多有用的信息。我的连接尝试产生了两行成功的 CRYPTO_KEY_USER 操作,然后是这个(一行,我已将其换行):
type=USER_LOGIN msg=audit(1485378997.248:18523): pid=6812 uid=0
auid=4294967295 ses=4294967295
subj=system_u:system_r:sshd_t:s0-s0:c0.c1023
msg='op=login acct="(unknown)" exe="/usr/sbin/sshd"
hostname=? addr=A.B.C.D terminal=ssh res=failed'
audit2why甚至不承认存在问题。我猜它是在寻找 DENY 事件或类似的东西,而不是失败。
我向 sshd 添加了调试日志并发现了这一点(这次没有包装):
debug1: SELinux support enabled [preauth]
debug3: ssh_selinux_change_context: setting context from 'system_u:system_r:sshd_t:s0-s0:c0.c1023' to 'system_u:system_r:sshd_net_t:s0-s0:c0.c1023' [preauth]
debug3: privsep user:group 74:74 [preauth]
debug1: permanently_set_uid: 74/74 [preauth]
debug1: list_hostkey_types: ssh-rsa [preauth]
debug1: SSH2_MSG_KEXINIT sent [preauth]
Write failed: Permission denied [preauth]
我推测这是我的问题 - 从 sshd_t 到 sshd_net_t 的转换。但是,由于没有从审计日志中得到任何有用的信息,我的 SElinux 调试技能已经达到了极限。
一位同事建议我查看宽容模式下成功连接的审计日志。不幸的是,没有提到 sshd_net_t 的成功操作。以下是相关日志条目: http://pastebin.com/raw/9sSVpgLq
我确实在 redhat 错误跟踪器上看到了一些相关信息,但是它并没有帮助我找到解决方案。https://bugzilla.redhat.com/show_bug.cgi?id=1008580
答案1
事实证明某些 SELinux 规则默认不受审核。运行:
semanage dontaudit off
即使在策略中的“dontaudit”规则上也启用审计日志记录。
一旦我这样做了,就很容易追踪丢失的 SELinux 权限(即allow sshd_net_t inetd_t:tcp_socket (read|write);)。