私の非システム管理者の上司は、これについて説明してほしいと言っていますが、答えが見つかりません。TENABLE SC を使用して RHEL7 システムをスキャンする場合、スキャンを実行するために使用されたアカウントは ssh 経由で接続し、sudo を使用してチェックを実行します。しかし、selinux が強制されている場合、一部のチェックを実行できません。そのようなチェックの 1 つは、/etc/passwd の cat を実行しますが、selinux が強制されている場合は拒否されます。回避策は、アカウント接続に su+sudo を使用するように SC を構成することです。最初に、SC は特権のないアカウントで ssh 接続を行い、次にチェックを実行できる sudo 権限を持つユーザーに su を実行すると、チェックが機能するようになります。つまり、基本的に、sudo ユーザーで直接ログインして特定のチェックを実行すると selinux が強制されている場合に失敗するのに対し、ログインしてから sudo ユーザーに su を実行するとチェックが実行できる理由を理解しようとしています。これに関する Tenable の記事では、selinux の側面についてはあまり説明されていません。