站得住su+sudo和selinux

站得住su+sudo和selinux

我的非系統管理員老闆想讓我解釋一下,但我真的找不到答案?使用 TENABLE SC 掃描 RHEL7 系統時,用於執行掃描的帳戶透過 ssh 連接,然後使用 sudo 執行檢查。但是,當 selinux 強制執行時,某些檢查無法執行,其中一項檢查會執行 /etc/passwd 的 cat,但在 selinux 強制執行時會被拒絕。解決方法是將 SC 配置為使用 su+sudo 進行帳戶連接。首先 SC 與非特權帳戶建立 ssh 連接,然後對具有 sudo 權限的用戶執行 su 操作,可以運行檢查,現在它們可以工作了。所以基本上我試圖理解為什麼直接使用 sudo 用戶登入來運行某些檢查會因 selinux 強製而失敗,但登入然後對 sudo 用戶執行 su 可以。 Tenable 的相關文章並未真正涵蓋其 selinux 方面。

相關內容