SFTP SELinux ssh_chroot_full_access
Невозможно исправить эту ошибку. Сохраните все журналы, они понадобятся на тот случай, если кто-то действительно осознает, что уязвимость действительно существует до того, как было объявлено о ней
Команда getsebool -a | grep sshв моем CentOS 7 показывает
fenced_can_ssh --> off
selinuxuser_use_ssh_chroot --> off
ssh_chroot_rw_homedirs --> off
ssh_keysign --> off
ssh_sysadm_login --> off
поэтому, исходя из вашего вопроса, команда
setsebool -P fenced_can_ssh on
должен это исправить.
Но вы также можете пойти «сложным» путем и установить пакеты setroubleshoot-serverи policycoreutils-pythonс:
yum -y install setroubleshoot-server policycoreutils-python
, а затем временно установите режим SELinux на permissiveс помощью
setenforce Permissive
После этого попробуйте все, что раньше не работало. Теперь это должно работать.
Теперь взгляните на следующий файл /var/log/audit/audit.log. Обычно он показывает обнаруженные SELinux проблемы.
grep -i "denied" /var/log/audit/audit.log
Если в журнале нет сообщений об отказе, возможно, SELinux считает, что событие создаст слишком много журнала, поэтому не записывает его. В этом случае вы можете включить регистрацию всех событий с помощью
semodule -DB
Но убедитесь, что вы вернули его в нормальное состояние с помощью semodule -Bв конце устранения неполадок.
Если вы обнаружили проблемы, теперь вы можете использовать инструмент audit2allowдля создания модуля политики для ваших нужд. audit2allowимеет много опций, поэтому вам следует сначала прочитать РАЗРЕШЕНИЕ ДОСТУПА :AUDIT2ALLOW , чтобы привыкнуть к audit2allow.
Не забудьте снова включить SELinux и (, если изменено, )включить сокращенное ведение журнала!
setenforce permissive
semodule -B