RHEL-8.9を実行するときにselinux= enforcingselinuxはカスタマイズを必要としません。これは、rhel-8.9-x86_64-dvd.isoを介した新規インストールのデフォルト設定です。
私は問題が次のように発生すると思います。
semanage login -a -s user_u <username>- そして
semanage login -m -S targeted -s "user_u" -r s0 __default__
私たちは[その他]問題を発見し、次のRedhat記事を介して問題をロールバックしました。semanage login -m -S targeted -s "unconfined_u" -r s0-s0:c0.c1023 __default__
semanage login -l現在表示されている内容は、RHEL-8.9がisoから新しくインストールされたときに表示される内容です。
Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
NICE-DCVを使用すると、vncクライアントはユーザーとの操作を正常に実行できselinux=enforcingますが、Nice-dcv-clientを介してWindowsクライアントからセッションに接続しようとすると、失敗してクライアント側で失敗したユーザー名を報告します。dcv create-sessionパスワード{必ずしも事実ではなく、パスワードが正しく入力されました。} また、注目すべき点は、__default__マッピング時点をマッピングするとすべての人の作業が完全に中断さuser_uれdcv create-session、すべてをロールバックしてからdcv create-session作業したということです。
- これは
setenforce 0問題をすぐに解決し、すべてがうまく機能します。 - ユーザー名を入力するとそれ
wheel:も/etc/group機能しますselinux=enforcing。
/var/log/audit/audit.logsetenforce 1以下は、WindowsからLinuxの既存のdcvセッションへの接続に失敗したために発生するすべてのノイズの中で、実際に最も関連性が高いと思われる行は次のとおりです。
# formatted to multiple lines here for easier reading
node=linux type=USER_AVC msg=audit(): pid=2850 uid=81 auid=4294967295
subj=system_u:system:r:system_dbusd_t:s0-s0:c0.c0123
msg='avc: denied {send_msg } for msgtype=method_return dest=:1.1072 spid=1 tpid=6521
scontext=system_u:system_r:init_t:s0
tcontext=system_u:system_r:dcvserver_t:s0
tclass=dbus
permissive=0
exe="/usr/bin/dbus-daemon" sauid=81 hostname=? addr=? terminal=?'
UID="dbus"
AUID="unset"
SAUID="dbus"
# 81 is "dbus" in /etc/passwd and /etc/group
誰もがこれを理解し、Linuxを再インストールする以外に、この問題に対する解決策があります(selinux = permissiveを実行したり、各ユーザーをホイールグループに入れたりすることはできません)。そしてその原因を把握できますか?semanage loginisoにrhel-8.9を新しくインストールし、デフォルトのselinux = enforcingレイアウトを使用し、50人以上のユーザーがホイールにいない他のサーバーではこの問題が発生しないため、これは混乱によって引き起こされると思います。