CentOS 8を使用していますが、ユーザーにcap_dac_read_searchを付与したいと思います。 PAMによる機能。ローカルログインとsuで機能するようです 、ただしsshではありません 。
私はこれらの手順に従いましたが、それらだけです:
-
ファイル
/etc/security/capability.confを作成しました 、および内部に書き込みました:cap_dac_read_search user1 -
編集された
/etc/pam.d/sshd:#%PAM-1.0 auth required pam_cap.so auth substack password-auth auth include postlogin ... -
SSHサービスを再起動しました:
systemctl restart sshd
ただし、user1でログインすると sshを介して 、capshを使用します 私が見ることができるコマンド:
[[email protected] ~]$ capsh --print
Current: =
/etc/pam.d/loginで同様のことをしているとき および/etc/pam.d/su 、すべてが順調に進んでいるようです。
確認して、sshdを確認しました config、およびUsePam trueに設定されています 。
更新:
audit.logで次のエラーが発生します 、SELinuxが何らかの理由で私をブロックしていると思います:
type=AVC msg=audit(1621457365.510:253): avc: denied { setcap } for pid=1969 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tclas s=process permissive=0
承認された回答:
[私はここでは比較的新しいので、これをコメントとして追加するのに十分な評判がありません。だから…]
答えとして、ここで表現された懸念事項をpam_cap.soの機能リクエストに変換しました 。これは、libcap-2.51リリースのautoauth`モジュール引数を介して実装されました。