web-dev-qa-db-ja.com

/etc/pam.d/ sshとログインのルール

/etc/pam.d/sshdおよびloginの構成ファイルには、selinuxに関するいくつかのルールがあります。 selinuxを使用していないときに、これらの行を無効にできますか? PAMルールを簡略化したいと思います。

具体的には、これらの行は次のとおりです。

session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open

私は時々、単純なコメントアウトの行がルールの流れに干渉する可能性があると思うので、確認するように求めています。

完全なsshd設定は次のとおりです:

# PAM configuration for the Secure Shell service

# Standard Un*x authentication.
@include common-auth

# Standard Un*x authorization.
@include common-account

# SELinux needs to be the first session rule.  This ensures that any lingering context has been cleared.
# Without this it is possible that a module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close

# Set the loginuid process attribute.
session    required     pam_loginuid.so

# Create a new session keyring.
session    optional     pam_keyinit.so force revoke

# Standard Un*x session setup and teardown.
@include common-session

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session    required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale

# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context.  Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open

# Standard Un*x password updating.
@include common-password
3
Martin Vegter

pam_selinux.so PAMセッションのSELinuxセキュリティコンテキストを設定します。 SELinuxがdisabledの場合、PAMモジュールは効果がなく、削除できます。

SELinuxがpermissiveモードの場合、SELinuxルールは引き続き使用されますが適用されないことに注意してください。 pam_selinux.soを削除すると、プロセスが不適切なセキュリティコンテキストで実行され、監査ログに大量のAVC拒否メッセージが生成される可能性があります。

後でSELinuxを有効にする場合、ユーザーログインが正しく機能するには、pam_selinux.soがPAM構成に含まれている必要があります。

1
sebasth

これが何を意味するのか正確にわからない場合は、pam configの2行を削除する前に、構成ファイルで簡略化できることがたくさんあると思います。私はpamについて何も知らないので、それは私の2セントです。

0
ctac_