Estou tentando configurar um servidor ssh com fontes openened do gentoo openssh (com o openssh-lpk, que é o sinalizador do ldap no gentoo, acho) e o selinux ativado.
No servidor Ldap, adicionei um usuário "ldapuser" com uma chave pública. O login funciona sem falhas quando o selinux está completamente desativado.
/ etc / selinux / config
SELINUX=disabled
No entanto, quando eu configuro o selinux no modo permissivo ou obrigatório, o seguinte acontece no cliente:
ssh -v ldapuser@server
debug1: Entering interactive session.
Write failed: Broken pipe
Eu vejo que a chave pública foi aceita.
No servidor, a única entrada de registro interessante que encontrei foi:
server sshd[]: error: ssh_selinux_getctxbyname: Failed to get default SELinux security context for ldapuser
O que faz sentido, porque este usuário está no servidor LDAP (mas o pam_ldap e o nsswitch.conf estão configurados corretamente para usar o servidor ldap).
Todos os relatórios que encontrei para este erro, link , por exemplo, parecem estar fechados ou não estão relacionados para o meu problema.
Estou usando o Openssh 5.9_p1-r4 com o bindist, hpn, ldap, pam, selinux e tcpd usando sinalizadores ativados em
Linux server 3.7.4-hardened-r1 #2 SMP Fri Feb 8 13:26:25 CET 2013 x86_64 AMD A4-3300 APU with Radeon(tm) HD Graphics AuthenticAMD GNU/Linux
A questão agora é: Isso é um bug e eu deveria enviar um relatório de bug ou é um erro de configuração da minha parte? (Eu queria entrar lentamente no selinux com o modo permissivo)
Editar:
mediaserv-gentoo ~ # ps -eZ | grep sshd
kernel 17017 ? 00:00:01 sshd
kernel 25179 ? 00:00:00 sshd
você pode mostrar a saída de
ps -eZ | grep sshd
?
Existem duas formas do problema:
Se o contexto for diferente do sistema - só precisa ser iniciado a partir do contexto certo.
Como alternativa, você só precisa criar o contexto certo para seu usuário.