我收到 SELinux 拒绝,表明/usr/sbin/aide正在尝试访问 SSSD 使用的套接字:套接字路径为/var/lib/sss/pipes/nss。以下是来自 sealert 的相关文本:
Additional Information:
Source Context system_u:system_r:aide_t:s0-s0:c0.c1023
Target Context system_u:object_r:sssd_var_lib_t:s0
Target Objects (null) [ sock_file ]
Source aide
Source Path /usr/sbin/aide
Raw Audit Messages
type=AVC msg=audit(1560503762.699:28324): avc: denied { write } for
pid=37019 comm="aide" name="nss" dev=dm-3 ino=262366
scontext=system_u:system_r:aide_t:s0-s0:c0.c1023
tcontext=system_u:object_r:sssd_var_lib_t:s0 tclass=sock_file
type=AVC msg=audit(1560503762.699:28324): avc: denied { connectto } for
pid=37019 comm="aide" path="/var/lib/sss/pipes/nss"
scontext=system_u:system_r:aide_t:s0-s0:c0.c1023
tcontext=system_u:system_r:sssd_t:s0 tclass=unix_stream_socket
type=SYSCALL msg=audit(1560503762.699:28324): arch=x86_64 syscall=connect
success=yes exit=0 a0=7 a1=7ffe5f7f2ea0 a2=6e a3=7ffe5f7f2b30 items=1
ppid=37017 pid=37019 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0
fsgid=0 tty=(none) ses=324 comm=aide exe=/usr/sbin/aide
subj=system_u:system_r:aide_t:s0-s0:c0.c1023 key=(null)
type=PATH msg=audit(1560503762.699:28324): item=0 name=(null) inode=262366
dev=fd:03 mode=0140666 ouid=0 ogid=0 rdev=00:00
obj=system_u:object_r:sssd_var_lib_t:s0 nametype=NORMAL
我可以修改上下文来允许这样做,但我不想在不知道为什么 AIDE 会尝试访问由 SSSD 服务创建的套接字的情况下这样做。
答案1
插座sssd 的 NSS 响应器, 哪个旨在使用 UNIX 套接字。因为它是 auth 守护进程,所以大概这与密码或组数据库的一些 libc NSS 查找有关。
文件完整性检查软件查找用户名是合理的。请向您的发行版(我猜是 Fedora 或 RHEL?)提交错误报告,以便他们发布允许此操作的政策。