Centos
sshd558955895589: 錯誤: PAM: pam_open_session(): 無法為指定會話創建/刪除條目
我正在使用 CentOS7 最小安裝。我用 pam_script 配置了 pam_radius 並且總是能夠使用 pubkey auth SSH 到伺服器:這是故意的。但是根據STIG 指南(可以在此處找到全面的演練)加固伺服器後,我不再能夠通過 SSH 進入系統;或者更文化地,我會登錄然後立即被踢出去。/var/log/secure 文件中的錯誤說:
sshd$$ 5589 $$: 錯誤: PAM: pam_open_session(): 無法為指定會話創建/刪除條目
按照課程的標準,禁用 selinux 解決了這個問題。但顯然這不是一個可接受的解決方案。
有些人顯然會接受禁用 selinux,或者將其設置為 permissive 作為答案;但是總會有一些刻薄的 linux 大師會附和這樣的話,“停止禁用 selinux!” 但他們只會這麼說!除非您還告訴他們解決方案,否則不要告訴人們“停止禁用 selinux”!
好吧,我找到了解決方案,由於我無法在網際網路上的任何地方輕鬆找到它,我將在此處發布。我遵循了 Red Hat 指南,在此處找到。
我敢打賭,大多數人都不知道工具audit2allow。這是一個救生員。我用它輕鬆地創建了一個可載入的 selinux 模組,它解決了我的問題,所以我不必禁用 selinux。我基本上只是在執行audit2allow工具時完成了通過 SSH 連接的步驟,然後它自動創建了模組。然後我載入了模組,重新啟動,一切都很好。
audit2allow -a -M mycertwatch ******************** IMPORTANT *********************** To make this policy package active, execute: semodule -i mycertwatch.pp