Defina SELinux para aplicar.
Antes de empezar:
Compruebe que los siguientes paquetes estén instalados en Oracle Linux:
rpm -q selinux-policy-targeted policycoreutils libselinux-utils libselinux-python libselinux
Nota
Al cambiar el modo SELinux de Permisivo o Desactivado a Forzado, debe reiniciar.
Cree una política y asegúrese de que PAM funciona cuando SELinux está definido para aplicar:
-
Si es necesario, instale estos paquetes en Oracle Linux:
rpm -q selinux-policy-targeted policycoreutils libselinux-utils libselinux-python libselinux
-
Permitir comunicación saliente el 443:
$ sudo setsebool -P nis_enabled 1
++
-
Cree una política local para que
sssd_t
pueda crear el directorio opc
y leer y escribir en el archivo pam_nss.log
(que se menciona en /etc/opc.conf
). No es necesario que esté ubicado en una ubicación específica porque está compilado por las utilidades SELinux.
-
Cree el archivo de política y guárdelo con el nombre de archivo
idcs-pam.te
. Este es el contenido:
module idcs-pam 1.0;
require {
type sssd_var_log_t;
type var_log_t;
type sshd_t;
type sssd_t;
type cert_t;
type http_port_t;
type user_home_dir_t;
class file { open read write };
class dir { create write};
class tcp_socket { name_connect };
}
#============= sssd_t ==============
allow sssd_t cert_t:file write;
allow sssd_t user_home_dir_t:dir write;
allow sssd_t var_log_t:dir create;
allow sssd_t var_log_t:file { open read };
allow sshd_t sssd_var_log_t:file { open read };
allow sshd_t http_port_t:tcp_socket { name_connect };
-
Cree el módulo de política SELinux. Ejecutar:
$ checkmodule -M -m -o idcs-pam.mod idcs-pam.te
$ semodule_package -m idcs-pam.mod -o idcs-pam.pp
-
Instale el módulo SELinux. Ejecutar:
$ semodule -i idcs-pam.pp
-
Vuelva a cargar SELinux. Ejecutar:
$ semodule -R
-
Por último, vuelva a autenticar el usuario del PAM.
Se crean el directorio /opc
y el archivo /opc/pam_nss.log
.