Rhel6システムで、このガイドを使用してfipsを有効にしました。
システムを再起動した後、Sudoエントリは機能しなくなります。
Sudoersへのエントリ:
example ALL=(ALL) ALL
Sudoを使用したコマンド実行の例:
Sudo ls -l /root
[Sudo] password for example:
/var/cache/.security.db: unable to flush: Permission denied
Sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
Sudo: unable to open /var/db/Sudo/example/2: Operation not permitted
Sudo: unable to send audit message: Operation not permitted
Sudo: unable to set supplementary group IDs: Operation not permitted
Sudo: unable to execute /bin/ls: Operation not permitted
Sudoersでこのエントリを使用してSudoを使用してスクリプトを実行すると、別のエラーが発生します。
example ALL=/usr/local/bin/example_script.sh
結果:
Sudo /usr/local/bin/example_script.sh
[Sudo] password for example:
Sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
Sudo: unable to open /var/db/Sudo/example/1: Operation not permitted
Sudo: unable to send audit message: Operation not permitted
Sudo: unable to set supplementary group IDs: Operation not permitted
Sudo: unable to execute /usr/local/bin/example_script.sh: Operation not
関連する可能性のあるログエントリ:
examplehost Sudo: pam_krb5[30799]: authentication succeeds for 'example' (example@exampledomain)
examplehost Sudo: example : unable to open /var/db/Sudo/example/2 : Permission denied ; TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost example : TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost Sudo: pam_keyinit(Sudo:session): Unable to change GID to 0 temporarily examplehost su: pam_unix(su-l:session): session closed for user example
examplehost su: pam_unix(su-l:session): session closed for user example
システムはActiveDirectory認証を使用していることに注意してください。
/ var/db/Sudoと/var/cache/.security.dbを邪魔にならない場所に移動してみましたが、効果はありませんでした。
Sudoersの既存のエントリだけでなく、新しく作成されたエントリも影響を受けます。私は周りを見回しましたが、まだ解決策を見つけることができませんでした。それ以外の場合、システムは正常に動作しています。sshログインを受け入れ、Webサーバーも実行されています。
制限は問題ないようです。
ulimit -u
31353
cat /etc/security/limits.d/90-nproc.conf
* soft nproc 1024
root soft nproc unlimited
問題は、パスワードのキャッシュを処理するpamモジュールが使用され、リモートActiveDirectoryサーバーにアクセスできない場合に誰かがログインできるようにすることでした。このモジュールは、rhel6以降には存在しなくなりました。ただし、カスタムパッケージまたは古いrhel5パッケージからインストールした場合でも使用できます。
パッケージはpam_ccredsであり、/ etc/pam.d/system-authの行の後に文字列pam_ccreds.so文字列に置き換えられましたpam_krb5.so Sudoが再び動作を開始しました。