![sshd[5589]: 오류: PAM: pam_open_session(): 지정된 세션에 대한 항목을 생성/삭제할 수 없습니다.](https://linux55.com/image/154997/sshd%5B5589%5D%3A%20%EC%98%A4%EB%A5%98%3A%20PAM%3A%20pam_open_session()%3A%20%EC%A7%80%EC%A0%95%EB%90%9C%20%EC%84%B8%EC%85%98%EC%97%90%20%EB%8C%80%ED%95%9C%20%ED%95%AD%EB%AA%A9%EC%9D%84%20%EC%83%9D%EC%84%B1%2F%EC%82%AD%EC%A0%9C%ED%95%A0%20%EC%88%98%20%EC%97%86%EC%8A%B5%EB%8B%88%EB%8B%A4..png)
CentOS7 최소 설치를 사용하고 있습니다. pam_script를 사용하여 pam_radius를 구성했으며 항상 pubkey 인증을 사용하여 서버에 ssh를 사용할 수 있었습니다. 이는 의도적인 것입니다. 하지만 서버를 강화한 후STIG 가이드(포괄적인 연습을 통해여기에서 발견) 더 이상 시스템에 SSH로 접속할 수 없습니다. 더 정확하게는 로그인한 후 즉시 쫓겨날 것입니다. /var/log/secure 파일의 오류는 다음을 의미합니다.
sshd[5589]: 오류: PAM: pam_open_session(): 지정된 세션에 대한 항목을 생성/삭제할 수 없습니다.
물론 selinux를 비활성화하면 문제가 해결되었습니다. 그러나 이는 분명히 받아들일 수 있는 해결책이 아닙니다.
답변1
어떤 사람들은 분명히 selinux를 비활성화하거나 허용하도록 설정하는 것을 대답으로 받아들일 것입니다. 그러나 항상 "selinux 비활성화를 중지하십시오!"라고 말하는 일부 은밀한 Linux 전문가가 있을 것입니다. 해결책을 알려주지 않는 이상 사람들에게 "selinux 비활성화를 중지하세요"라고 말하지 마세요!
그런데, 이 문제에 대한 해결책을 찾았는데, 인터넷 어디에서도 쉽게 찾을 수 없어서 여기에 게시하게 되었습니다. 저는 Red Hat 가이드를 따랐습니다.여기에서 발견.
아마 대부분의 사람들이 이 도구에 대해 알지 못할 것입니다.리뷰 2가 허용됨. 이것은 생명의 은인입니다. 나는 이를 사용하여 로드 가능한 selinux 모듈을 쉽게 만들었고 문제가 해결되었으므로 selinux를 비활성화할 필요가 없었습니다. 기본적으로 실행 중에 SSH를 통해 연결하는 단계를 거쳤습니다.리뷰 2가 허용됨도구를 사용하면 자동으로 모듈이 생성됩니다. 그런 다음 모듈을 로드하고 다시 시작했는데 모든 것이 정상이었습니다.
audit2allow -a -M mycertwatch
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i mycertwatch.pp