![sshd[5589]: erro: PAM: pam_open_session(): Não é possível criar/remover uma entrada para a sessão especificada](https://rvso.com/image/154997/sshd%5B5589%5D%3A%20erro%3A%20PAM%3A%20pam_open_session()%3A%20N%C3%A3o%20%C3%A9%20poss%C3%ADvel%20criar%2Fremover%20uma%20entrada%20para%20a%20sess%C3%A3o%20especificada.png)
Estou trabalhando com uma instalação mínima do CentOS7. Configurei pam_radius com pam_script e sempre consegui fazer ssh para o servidor usando pubkey auth: isso foi de propósito. Mas depois de proteger o servidor de acordo comGuia STIG(um passo a passo abrangente pode serencontrado aqui) Não consegui mais fazer SSH no sistema; ou, mais aculturadamente, eu faria login e seria expulso imediatamente. O erro no arquivo /var/log/secure dizia:
sshd[5589]: erro: PAM: pam_open_session(): Não é possível criar/remover uma entrada para a sessão especificada
Desativar o selinux, como é normal, resolveu o problema. Mas obviamente essa não é uma resolução aceitável.
Responder1
Algumas pessoas obviamente aceitariam desabilitar o selinux ou configurá-lo como permissivo como resposta; mas sempre haverá alguns gurus do Linux sarcásticos que irão gritar com as palavras "pare de desabilitar o selinux!" MAS ISSO É TUDO QUE VÃO DIZER! Pare de dizer às pessoas para "pararem de desabilitar o selinux", A MENOS QUE VOCÊ TAMBÉM DIGA A SOLUÇÃO!
Bom encontrei a solução para esse aqui, e como não consegui encontrá-lo facilmente em nenhum lugar da internet, vou postá-lo aqui. Eu segui o guia da Red Hat,encontrado aqui.
Aposto que a maioria das pessoas não conhece a ferramentaaudit2allow. É um salva-vidas. Usei-o para criar facilmente um módulo selinux carregável e ele resolveu meu problema, então não precisei desabilitar o selinux. Basicamente, acabei de seguir as etapas de conexão via SSH enquanto executava oaudit2allowferramenta, então ele criou automaticamente o módulo. Em seguida, carreguei o módulo, reiniciei e está tudo bem.
audit2allow -a -M mycertwatch
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i mycertwatch.pp