openssh-lpk - Falha ao obter o contexto de segurança padrão do SELinux para o ldapuser

1

Estou tentando configurar um servidor ssh com fontes openened do gentoo openssh (com o openssh-lpk, que é o sinalizador do ldap no gentoo, acho) e o selinux ativado.

No servidor Ldap, adicionei um usuário "ldapuser" com uma chave pública. O login funciona sem falhas quando o selinux está completamente desativado.

/ etc / selinux / config

SELINUX=disabled

No entanto, quando eu configuro o selinux no modo permissivo ou obrigatório, o seguinte acontece no cliente:

ssh -v ldapuser@server
debug1: Entering interactive session.
Write failed: Broken pipe

Eu vejo que a chave pública foi aceita.

No servidor, a única entrada de registro interessante que encontrei foi:

server sshd[]: error: ssh_selinux_getctxbyname: Failed to get default SELinux security context for ldapuser

O que faz sentido, porque este usuário está no servidor LDAP (mas o pam_ldap e o nsswitch.conf estão configurados corretamente para usar o servidor ldap).

Todos os relatórios que encontrei para este erro, link , por exemplo, parecem estar fechados ou não estão relacionados para o meu problema.

Estou usando o Openssh 5.9_p1-r4 com o bindist, hpn, ldap, pam, selinux e tcpd usando sinalizadores ativados em

Linux server 3.7.4-hardened-r1 #2 SMP Fri Feb 8 13:26:25 CET 2013 x86_64 AMD A4-3300 APU with Radeon(tm) HD Graphics AuthenticAMD GNU/Linux

A questão agora é: Isso é um bug e eu deveria enviar um relatório de bug ou é um erro de configuração da minha parte? (Eu queria entrar lentamente no selinux com o modo permissivo)

Editar:

 mediaserv-gentoo ~ # ps -eZ | grep sshd
 kernel                          17017 ?        00:00:01 sshd
 kernel                          25179 ?        00:00:00 sshd
    
por matthid 10.02.2013 / 20:31

1 resposta

0

você pode mostrar a saída de

ps -eZ | grep sshd

?

Existem duas formas do problema:

  • Se o contexto for diferente do sistema - só precisa ser iniciado a partir do contexto certo.

  • Como alternativa, você só precisa criar o contexto certo para seu usuário.

por 22.04.2013 / 12:37

Tags