![sshd[5589]: エラー: PAM: pam_open_session(): 指定されたセッションのエントリを作成/削除できません](https://rvso.com/image/154997/sshd%5B5589%5D%3A%20%E3%82%A8%E3%83%A9%E3%83%BC%3A%20PAM%3A%20pam_open_session()%3A%20%E6%8C%87%E5%AE%9A%E3%81%95%E3%82%8C%E3%81%9F%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E3%82%A8%E3%83%B3%E3%83%88%E3%83%AA%E3%82%92%E4%BD%9C%E6%88%90%2F%E5%89%8A%E9%99%A4%E3%81%A7%E3%81%8D%E3%81%BE%E3%81%9B%E3%82%93.png)
私はCentOS7の最小インストールで作業しています。pam_radiusをpam_scriptで設定し、pubkey認証を使用してサーバーにssh接続することができました。これは意図的なものでした。しかし、STIGガイド(包括的なウォークスルーはここで見つかりました) システムに SSH できなくなりました。もっと文化的に言えば、ログインしてもすぐに追い出されてしまいます。/var/log/secure ファイルのエラーには次のように書かれていました。
sshd[5589]: エラー: PAM: pam_open_session(): 指定されたセッションのエントリを作成/削除できません
当然のことながら、selinux を無効にすると問題は解決しました。しかし、明らかにこれは受け入れられる解決策ではありません。
答え1
明らかに、selinux を無効にするか、permissive に設定することを解決策として受け入れる人もいるでしょう。しかし、その場合、常に「selinux を無効にするのをやめろ!」と口を挟む、皮肉屋の Linux の達人が数人現れるでしょう。しかし、彼らが言うのはそれだけです。解決策も教えない限り、「selinux を無効にするのをやめろ」と言うのはやめてください。
さて、この問題の解決策を見つけましたが、インターネット上で簡単に見つけることができなかったので、ここに投稿します。私はRed Hatのガイドに従いました。ここで見つかりました。
ほとんどの人はこのツールを知らないだろう監査2許可これは命の恩人です。私はこれを使って簡単にロード可能なselinuxモジュールを作成し、問題を解決したのでselinuxを無効にする必要はありませんでした。基本的には、監査2許可ツールを実行すると、モジュールが自動的に作成されました。その後、モジュールをロードして再起動すると、すべてが正常になりました。
audit2allow -a -M mycertwatch
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i mycertwatch.pp