![sshd[5589]: error: PAM: pam_open_session(): No se puede crear/eliminar una entrada para la sesión especificada](https://rvso.com/image/154997/sshd%5B5589%5D%3A%20error%3A%20PAM%3A%20pam_open_session()%3A%20No%20se%20puede%20crear%2Feliminar%20una%20entrada%20para%20la%20sesi%C3%B3n%20especificada.png)
Estoy trabajando con una instalación mínima de CentOS7. Configuré pam_radius con pam_script y siempre pude enviar ssh al servidor usando pubkey auth: eso fue a propósito. Pero después de endurecer el servidor segúnguía STIG(se puede realizar un recorrido completoencontrado aquí) Ya no pude ingresar mediante SSH al sistema; o de manera más aculturada, iniciaría sesión y luego me expulsarían de inmediato. El error en el archivo /var/log/secure decía:
sshd[5589]: error: PAM: pam_open_session(): No se puede crear/eliminar una entrada para la sesión especificada
Deshabilitar selinux, como es habitual en el curso, resolvió el problema. Pero obviamente esa no es una resolución aceptable.
Respuesta1
Algunas personas obviamente aceptarían deshabilitar selinux o configurarlo como permisivo como respuesta; pero siempre habrá algunos gurús de Linux sarcásticos que intervendrán con las palabras "¡deja de deshabilitar Selinux!" ¡PERO ESO ES TODO LO QUE DIRÁN! ¡Deja de decirle a la gente que "deje de desactivar Selinux" A MENOS QUE TAMBIÉN LES DIGAS LA SOLUCIÓN!
Bueno, encontré la solución a este problema y, como no pude encontrarla fácilmente en Internet, la publicaré aquí. Seguí la guía de Red Hat,encontrado aquí.
Apostaría a que la mayoría de la gente no conoce la herramienta.auditoría2permitir. Es un salvavidas. Lo usé para crear fácilmente un módulo selinux cargable y resolvió mi problema, por lo que no tuve que desactivar selinux. Básicamente, seguí los pasos para conectarme a través de SSH mientras ejecutaba elauditoría2permitirherramienta, luego creó automáticamente el módulo. Luego cargué el módulo, reinicié y todo está bien.
audit2allow -a -M mycertwatch
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i mycertwatch.pp