Вопросы Теги

Предотвращение SELinux ssh через открытый ключ

Для нахождения отображения от записи файла на рабочем столе до программы/пакета, вид волшебства от вкусного POV. В теории Вы могли бы ожидать мочь сделать:

вкусный поисковый пасьянс

... и это покажет или игры гнома или aisleriot как пакет, однако по крайней мере, пакет игр гнома не обнаруживается здесь.

Можно использовать Google, "гном solitare" даст Вам aisleriot и страницы игр гнома как первые два хита..., и первый действительно явно упоминает, что он известен как "соль" также.

Если Вы знаете, что файлы на рабочем столе находятся в/usr/share/applications, можно сделать:

% fgrep -i solitaire /usr/share/applications/*

... и это скажет Вам имя файла, которое можно использовать "конфетку, обеспечивает" на (или на названии команды без того файла). Или можно сделать это графический путь:

  1. откройтесь редактор меню (alacarte - может быть найден "вкусным поисковым редактором меню"),

  2. Найдите запись меню, которую Вы хотите удалить.

  3. Посмотрите в свойствах для названия команды.

  4. конфетка предоставляет соль

6
13.06.2014, 06:55
2 ответа
[

]Если предположить, что разрешения файловой системы корректны на ~/.ssh/*, то проверьте вывод [

] [
sealert -a /var/log/audit/audit.log
] [

]Там должна быть подсказка в записи AVC. Скорее всего, решение сводится к следующему:[

] [
restorecon -R -v ~/.ssh
]
6
27.01.2020, 20:28

Если sealertотсутствует в системе, как это было в системе, с которой я недавно столкнулся, существует также возможностьaudit2allow:

$ sudo audit2allow -w -a
type=AVC msg=audit(1548909218.552:1037): avc:  denied  { read } for  pid=13996 comm="sshd" name="authorized_keys" dev="dm-0" ino=4663556 scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:admin_home_t:s0 tclass=file
    Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

Разборка AVC:

avc: denied { read } for pid=13996 comm="sshd" name="authorized_keys" dev="dm-0" ino=4663556
    "sshd" was denied read on a file resource named "authorized_keys".
scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023
    SELinux context of the sshd process that attempted the denied action.
tcontext=system_u:object_r:admin_home_t:s0 tclass=file
    SELinux context of the authorized_keys file.

Хотя audit2allow не указал вкратце, как решить проблему, глядя на scontextи tcontext, значение scontextуказывает на необходимый контекст, а tcontextпоказывает неудовлетворительный файл «авторизованных ключей _». контекст.

В данном случае restorecon -R -v ~/.sshсамо по себе не сработало, но применение желаемого контекста сработало:

$ sudo semanage fcontext --add -t ssh_home_t "/path/to/my/.ssh(/.*)?"; \
$ sudo restorecon -FRv /path/to/my/.ssh

При необходимости измените имена ресурсов и/или контекст на основе того, что видно в AVC. Точные детали в этом ответе были созданы для решения проблемы, связанной с «авторизованными ключами _», но решение может следовать этой модели, даже если в AVC, созданном sealertили audit2allow, указан другой файл или контекст.

3
27.01.2020, 20:28

Теги

Похожие вопросы