cap_dac_read_search
私はCentOS 8を使用しており、PAMを介してユーザーにこの機能を付与したいと思います。ローカルログインとログインでは機能しているようですが、経由su
では機能しませんssh
。
私は次のステップだけに従いました。
ファイルを作成し、
/etc/security/capability.conf
その中に書きました。cap_dac_read_search user1
編集する
/etc/pam.d/sshd
:#%PAM-1.0 auth required pam_cap.so auth substack password-auth auth include postlogin ...
SSHサービスを再起動します。
systemctl restart sshd
user1
ただし、throughを使用してログインし、ssh
コマンドを使用すると、capsh
次のことがわかります。
[user1@localhost ~]$ capsh --print
Current: =
/etc/pam.d/login
私が似たようなことをすれば、/etc/pam.d/su
すべてが正しい位置に戻るようです。
sshd
設定を確認して確認してUsePam
に設定しましたtrue
。
修正する:
次のエラーが発生し、audit.log
SELinuxが何らかの理由で私をブロックしているようです。
type=AVC msg=audit(1621457365.510:253): avc: denied { setcap } for pid=1969 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tclas s=process permissive=0
ベストアンサー1
[私は比較的新しい人なので、このコメントを追加するのに十分な評判がありません。だから...]
答えを得るために、ここで表現された懸念を次のように変換しました。機能要件~のためpam_cap.so
。これを通してautoauth
モジュールパラメータ内部にlibcap-2.51バージョン。