可行的 su+sudo 和 selinux

可行的 su+sudo 和 selinux

我的非系统管理员老板想让我解释一下,但我真的找不到答案?当使用 TENABLE SC 扫描 RHEL7 系统时,用于执行扫描的帐户通过 ssh 连接,然后使用 sudo 执行检查。但是当 selinux 强制执行时,某些检查无法执行,其中一项检查会执行 /etc/passwd 的 cat,但在 selinux 强制执行时被拒绝。解决方法是将 SC 配置为对帐户连接使用 su+sudo。首先,SC 与非特权帐户建立 ssh 连接,然后对具有 sudo 权限的用户执行 su,该用户可以运行检查,现在它们可以正常工作。所以基本上我想理解为什么直接以 sudo 用户身份登录以运行某些检查会在 selinux 强制执行时失败,但登录然后对 sudo 用户执行 su 则可以。Tenable 关于这方面的文章并没有真正涉及这方面的 selinux 方面。

相关内容