Após habilitar o sudo fips para de funcionar

1

Em um sistema rhel6, habilitei o fips usando este guia:

link

Após a reinicialização do sistema, as entradas do sudo não estão mais funcionando.

Entrada em sudoers:

example        ALL=(ALL)       ALL

Exemplo de execução de comando usando sudo:

sudo ls -l /root
[sudo] password for example: 
/var/cache/.security.db: unable to flush: Permission denied
sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
sudo: unable to open /var/db/sudo/example/2: Operation not permitted
sudo: unable to send audit message: Operation not permitted
sudo: unable to set supplementary group IDs: Operation not permitted
sudo: unable to execute /bin/ls: Operation not permitted

Outro erro quando um script é executado usando o sudo, usando esta entrada em sudoers:

example         ALL=/usr/local/bin/example_script.sh

Resultado:

sudo /usr/local/bin/example_script.sh
[sudo] password for example:
sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
sudo: unable to open /var/db/sudo/example/1: Operation not permitted
sudo: unable to send audit message: Operation not permitted
sudo: unable to set supplementary group IDs: Operation not permitted
sudo: unable to execute /usr/local/bin/example_script.sh: Operation not 

Entradas de registro possivelmente relevantes:

examplehost sudo: pam_krb5[30799]: authentication succeeds for 'example' (example@exampledomain)
examplehost sudo: example : unable to open /var/db/sudo/example/2 : Permission denied ; TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost example : TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost sudo: pam_keyinit(sudo:session): Unable to change GID to 0 temporarily examplehost su: pam_unix(su-l:session): session closed for user example
examplehost su: pam_unix(su-l:session): session closed for user example

Note que o sistema está usando autenticação de diretório ativo.

Eu tentei mover / var / db / sudo e /var/cache/.security.db fora do caminho, sem efeito.

As entradas existentes nos sudoers, bem como as recém-criadas, são afetadas. Eu olhei em volta, mas ainda não consegui encontrar nenhuma solução. O sistema está funcionando bem, caso contrário, ele aceita o login ssh e o servidor da Web também está funcionando.

Os limites parecem estar bem:

ulimit -u
31353

cat /etc/security/limits.d/90-nproc.conf

*          soft    nproc     1024
root       soft    nproc     unlimited
    
por aseq 22.08.2017 / 03:28

1 resposta

1

O problema foi que foi usado um módulo pam que cuida do armazenamento em cache das senhas, permitindo que alguém efetue login caso os servidores de diretório ativo remoto estejam inacessíveis. Este módulo não está mais presente no rhel6 e acima. No entanto, ele ainda pode ser usado quando instalado a partir de um pacote personalizado ou de um pacote rhel5 antigo.

O pacote é pam_ccreds e depois das linhas em /etc/pam.d/system-auth contendo a string pam_ccreds.so substituído com a string pam_krb5.so o sudo começou a funcionar novamente.

    
por 14.10.2017 / 02:44