の/etc/pam.d/
設定ファイルにはいくつかの規則があります。 selinuxを使用していないときにこの行を無効にできますか?私はPAMルールを単純化したいと思います。sshd
login
selinux
具体的には、次の行は次のとおりです。
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
時々、無邪気なコメント行がルールの流れを妨げる可能性があると思うので、確実性を求めます。
全体sshd
構成は次のとおりです。
# PAM configuration for the Secure Shell service
# Standard Un*x authentication.
@include common-auth
# Standard Un*x authorization.
@include common-account
# SELinux needs to be the first session rule. This ensures that any lingering context has been cleared.
# Without this it is possible that a module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
# Set the loginuid process attribute.
session required pam_loginuid.so
# Create a new session keyring.
session optional pam_keyinit.so force revoke
# Standard Un*x session setup and teardown.
@include common-session
# Print the status of the user's mailbox upon successful login.
session optional pam_mail.so standard noenv # [1]
# Set up user limits from /etc/security/limits.conf.
session required pam_limits.so
# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session required pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session required pam_env.so user_readenv=1 envfile=/etc/default/locale
# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context. Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Standard Un*x password updating.
@include common-password
答え1
pam_selinux.so
PAMセッションのSELinuxセキュリティコンテキストを設定します。 SELinux障害のある、PAMモジュールは影響を与えず、削除できます。
SELinuxがある場合龍仁モード SELinux ルールは引き続き使用されますが、実施されません。削除すると、pam_selinux.so
プロセスが無効なセキュリティコンテキストで実行され、監査ログに多数のAVC拒否メッセージが生成される可能性があります。
後でSELinuxを有効にする場合は、pam_selinux.so
ユーザーログインが正しく機能するようにPAM構成にする必要があります。
答え2
これが何を意味するのか分からない場合は、pam構成から2行を削除する前に、構成ファイル内の多くを単純化できると思います。私はPamについて何も知らないので、ここに2セントを差し上げます。