私はいつもCentos 6でSFTPを次のように設定します。
https://www.linuxtechi.com/configure-chroot-sftp-in-linux/
このアイテムはコメントに表示されます。
setsebool -P ssh_chroot_full_access on
ドキュメントからhttps://linux.die.net/man/8/ssh_selinux:
FencedドメインがSSHを実行できるようにするには、Fenced_can_sshブール値を有効にする必要があります。
しかし、CentOS 7は次のように文句を言います。
SELinux ブール ssh_chroot_full_access が存在しません。
CentOS7でこれを行う正しい方法は何ですか?
答え1
getsebool -a | grep ssh私のCentOS 7のコマンドは次のとおりです。
fenced_can_ssh --> off
selinuxuser_use_ssh_chroot --> off
ssh_chroot_rw_homedirs --> off
ssh_keysign --> off
ssh_sysadm_login --> off
だからあなたの質問コマンドによると
setsebool -P fenced_can_ssh on
問題を解決する必要があります。
setroubleshoot-serverただし、「難しい」方法で次のパッケージをインストールすることもできますpolicycoreutils-python。
yum -y install setroubleshoot-server policycoreutils-python
次に一時的にSELinuxモードを次に設定しますpermissive。
setenforce Permissive
その後、以前は機能しなかったことを試してみてください。今は大丈夫でしょう。
次に、次のファイルを見てください/var/log/audit/audit.log。通常、SELinuxで見つかった問題を表示します。
grep -i "denied" /var/log/audit/audit.log
ログから拒否メッセージが受信されなかった場合、SELinuxはそのイベントがあまりにも多くのログを生成したと見なし、それを記録していない可能性があります。この場合、次のコマンドを使用してすべてのイベントのロギングを有効にできます。
semodule -DB
semodule -Bしかし、問題解決が終わった後は必ず正常に戻してください。
問題が見つかったら、audit2allowツールを使用して要件に合ったポリシーモジュールを作成できます。audit2allowオプションが多いので、まずお読みくださいアクセスを許可:AUDIT2ALLOW習慣audit2allow。
SELinuxを再びオンにして(変更された場合)、減少したロギングを有効にすることを忘れないでください!
setenforce permissive
semodule -B