После включения фипов sudo перестает работать

Question

После включения фипов sudo перестает работать

В системе rhel6 я включил fips, используя это руководство:

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Federal_Standards_And_Regulations-Federal_Information_Processing_Standard.html

После перезагрузки системы записи sudo больше не работают.

Вход в sudoers:

example        ALL=(ALL)       ALL

Пример выполнения команды с использованием sudo:

sudo ls -l /root
[sudo] password for example: 
/var/cache/.security.db: unable to flush: Permission denied
sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
sudo: unable to open /var/db/sudo/example/2: Operation not permitted
sudo: unable to send audit message: Operation not permitted
sudo: unable to set supplementary group IDs: Operation not permitted
sudo: unable to execute /bin/ls: Operation not permitted

Другая ошибка, когда скрипт запускается с использованием sudo, используя эту запись в sudoers:

example         ALL=/usr/local/bin/example_script.sh

Результат:

sudo /usr/local/bin/example_script.sh
[sudo] password for example:
sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
sudo: unable to open /var/db/sudo/example/1: Operation not permitted
sudo: unable to send audit message: Operation not permitted
sudo: unable to set supplementary group IDs: Operation not permitted
sudo: unable to execute /usr/local/bin/example_script.sh: Operation not

Возможно соответствующие записи в журнале:

examplehost sudo: pam_krb5[30799]: authentication succeeds for 'example' (example@exampledomain)
examplehost sudo: example : unable to open /var/db/sudo/example/2 : Permission denied ; TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost example : TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost sudo: pam_keyinit(sudo:session): Unable to change GID to 0 temporarily examplehost su: pam_unix(su-l:session): session closed for user example
examplehost su: pam_unix(su-l:session): session closed for user example

Обратите внимание, что система использует активную проверку подлинности каталога.

Я попытался удалить / var / db / sudo и /var/cache/.security.db, но безрезультатно.

Это влияет на существующие записи в sudoers, а также на вновь созданные. Я оглянулся, но пока не смог найти решения. В противном случае система работает нормально, она принимает вход в ssh, веб-сервер также работает.

Пределы, кажется, в порядке:

ulimit -u
31353

cat /etc/security/limits.d/90-nproc.conf

*          soft    nproc     1024
root       soft    nproc     unlimited

1

centos redhat fips-140-2

Источник

aseq 22 авг '17 в 01:28

1 ответ

Решение

Другие вопросы по тегам centos redhat fips-140-2

aseq 14 окт '17 в 00:44 2017-10-14 00:44 · Accepted Answer · 2017-10-14 00:44

Проблема заключалась в том, что использовался модуль pam, который заботится о кэшировании паролей, позволяя кому-либо войти в систему, если удаленные серверы активных каталогов недоступны. Этот модуль больше не присутствует на rhel6 и выше. Однако его все еще можно использовать при установке из пользовательского пакета или из более старого пакета rhel5.

Пакет pam_ccreds и после того, как строки в /etc/pam.d/system-auth, содержащие строку pam_ccreds.so, были заменены на строку pam_krb5.so sudo снова начал работать.