cap_dac_read_search私はCentOS 8を使用しており、PAMを介してユーザーにこの機能を付与したいと思います。ローカルログインとログインでは機能しているようですが、経由suでは機能しませんssh。
私は次のステップだけに従いました。
ファイルを作成し、
/etc/security/capability.confその中に書きました。cap_dac_read_search user1編集する
/etc/pam.d/sshd:#%PAM-1.0 auth required pam_cap.so auth substack password-auth auth include postlogin ...SSHサービスを再起動します。
systemctl restart sshd
user1ただし、throughを使用してログインし、sshコマンドを使用すると、capsh次のことがわかります。
[user1@localhost ~]$ capsh --print
Current: =
/etc/pam.d/login私が似たようなことをすれば、/etc/pam.d/suすべてが正しい位置に戻るようです。
sshd設定を確認して確認してUsePamに設定しましたtrue。
修正する:
次のエラーが発生し、audit.logSELinuxが何らかの理由で私をブロックしているようです。
type=AVC msg=audit(1621457365.510:253): avc: denied { setcap } for pid=1969 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tclas s=process permissive=0
ベストアンサー1
[私は比較的新しい人なので、このコメントを追加するのに十分な評判がありません。だから...]
答えを得るために、ここで表現された懸念を次のように変換しました。機能要件~のためpam_cap.so。これを通してautoauthモジュールパラメータ内部にlibcap-2.51バージョン。