pam_exec가 이 스크립트를 실행해야 하는 SELinux 컨텍스트는 무엇입니까?

방금 VPS에 Fedora 22를 설치했고 간단한 작업을 수행하려고 합니다. pam_exec를 통해 모든 SSH 로그인에서 정보 스크립트를 실행합니다. 하지만 예상치 못한 어려움에 부딪혔습니다. pam_exec가 종료 코드 13으로 실패했습니다.

/etc/pam.d/sshd 끝에 사용자 지정 줄을 추가했습니다.

session optional pam_exec.so seteuid /usr/local/bin/loginformer.py

물론 loginformer.py에는 실행 플래그가 있습니다:

$ ls -l /usr/local/bin/loginformer.py
-rwxr-xr-x. 1 root root 4254 Jun  8 09:35 /usr/local/bin/loginformer.py

그러나 여기에는 고통스러운 발췌문이 있습니다 journalctl -lb SYSLOG_FACILITY=10.

Jun 08 11:58:49 fedora22 sshd[671]: pam_exec(sshd:session): execve(/usr/local/bin/loginformer.py,...) failed: Permission denied
Jun 08 11:58:49 fedora22 sshd[663]: pam_exec(sshd:session): /usr/local/bin/loginformer.py failed: exit code 13

항상 내 ArchLinux에서 실행되기 때문에 무슨 일이 일어나고 있는지 잘 모르겠습니다. 나는 이것이 SELinux 제한일지도 모른다고 생각하지만 확실하지 않습니다.

내가 뭘 잘못했나요?

고쳐 쓰다

글쎄요, SELinux를 깊이있게 이해하고 스크립트를 변경해야 하는 SELinux 컨텍스트를 이해하려고 노력했습니다.

이제 SELinux 컨텍스트는 다음과 같습니다.

$ ls -Z /usr/local/bin/loginformer.py
unconfined_u:object_r:user_home_t:s0 /usr/local/bin/loginformer.py

그런데 스크립트에 어떤 컨텍스트를 설정해야 합니까?

업데이트 2

또한 SELinux AVC 로그는 문제를 감지하는 데 매우 유용할 수 있다고 생각합니다. 더 일찍 주지 못해서 미안해요. cat /var/log/audit/audit.log | grep loginformer.py동일한 문자열을 많이 반환합니다.

type=AVC msg=audit(1433784991.570:265): avc:  denied  { execute } for  pid=7866 comm="sshd" name="loginfomer.py" dev="vda1" ino=11924 scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0