Mein Chef, der kein Sysadmin ist, möchte, dass ich das erkläre, aber ich finde keine wirkliche Antwort. Wenn ich TENABLE SC zum Scannen eines RHEL7-Systems verwende, stellt das für den Scan verwendete Konto eine Verbindung per SSH her und führt dann seine Prüfungen mit Sudo durch. Aber wenn Selinux die Durchsetzung erzwingt, können einige Prüfungen nicht durchgeführt werden; eine solche Prüfung führt einen Cat von /etc/passwd durch, wird aber abgelehnt, wenn Selinux die Durchsetzung erzwingt. Die Problemumgehung besteht darin, SC so zu konfigurieren, dass su+sudo für die Verbindung des Kontos verwendet wird. Zuerst stellt SC eine SSH-Verbindung mit einem nicht privilegierten Konto her, führt dann ein Su zu einem Benutzer mit Sudo-Rechten aus, der die Prüfungen ausführen kann, und jetzt funktionieren sie. Ich versuche also im Grunde zu verstehen, warum die direkte Anmeldung mit einem Sudo-Benutzer zum Ausführen bestimmter Prüfungen bei der Durchsetzung durch Selinux fehlschlägt, aber die Anmeldung und anschließende Ausführung eines Su zu einem Sudo-Benutzer fehlschlagen kann. Die Artikel von Tenable zu diesem Thema behandeln den Selinux-Aspekt dabei nicht wirklich.