Saya menggunakan CentOS 8, dan saya ingin memberi pengguna cap_dac_read_search kemampuan meskipun PAM. Tampaknya berfungsi melalui login lokal dan su , tetapi tidak melalui ssh .
Saya mengikuti langkah-langkah ini, dan hanya itu:
-
membuat file
/etc/security/capability.conf, dan menulis di dalamnya:cap_dac_read_search user1 -
diedit
/etc/pam.d/sshd:#%PAM-1.0 auth required pam_cap.so auth substack password-auth auth include postlogin ... -
Mulai ulang layanan SSH:
systemctl restart sshd
Namun, ketika saya masuk dengan user1 melalui ssh , dan gunakan capsh perintah yang bisa saya lihat:
[[email protected] ~]$ capsh --print
Current: =
Ketika saya melakukan hal serupa dengan /etc/pam.d/login dan /etc/pam.d/su , semuanya tampak beres.
Saya memastikan, dan memeriksa sshd config, dan UsePam disetel ke true .
Pembaruan:
Saya mendapatkan kesalahan berikut di audit.log , saya pikir SELinux memblokir saya karena suatu alasan:
type=AVC msg=audit(1621457365.510:253): avc: denied { setcap } for pid=1969 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tclas s=process permissive=0
Jawaban yang Diterima:
[Saya relatif baru di sini, jadi tidak memiliki reputasi yang cukup untuk menambahkan ini sebagai komentar. Jadi…]
Sebagai jawaban, saya mengubah kekhawatiran yang diungkapkan di sini menjadi permintaan fitur untuk pam_cap.so . Ini diimplementasikan melalui argumen modul autoauth` dalam rilis libcap-2.51.