1 votes

aseq avatar

Après avoir activé fips, sudo cesse de fonctionner

Demandé el 22 de Août, 2017
Quand la question a-t-elle été
463 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Sur un système rhel6, j'ai activé fips en suivant ce guide :

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Federal_Standards_And_Regulations-Federal_Information_Processing_Standard.html

Après avoir redémarré le système, les entrées sudo ne fonctionnent plus.

Entrée dans sudoers :

example        ALL=(ALL)       ALL

Exemple de commande exécutée en utilisant sudo :

sudo ls -l /root
[sudo] password for example: 
/var/cache/.security.db : impossible de vider : Permission refusée
sudo : PERM_ROOT : setresuid(0, -1, -1) : Opération non permise
sudo : impossible d'ouvrir /var/db/sudo/example/2 : Opération non permise
sudo : impossible d'envoyer un message d'audit : Opération non permise
sudo : impossible de définir des IDs de groupe supplémentaires : Opération non permise
sudo : impossible d'exécuter /bin/ls : Opération non permise

Une autre erreur lorsqu'un script est exécuté en utilisant sudo, en utilisant cette entrée dans sudoers :

example         ALL=/usr/local/bin/example_script.sh

Résultat :

sudo /usr/local/bin/example_script.sh
[sudo] password for example:
sudo : PERM_ROOT : setresuid(0, -1, -1) : Opération non permise
sudo : impossible d'ouvrir /var/db/sudo/example/1 : Opération non permise
sudo : impossible d'envoyer un message d'audit : Opération non permise
sudo : impossible de définir des IDs de groupe supplémentaires : Opération non permise
sudo : impossible d'exécuter /usr/local/bin/example_script.sh : Opération non autorisée

Entrées de log potentiellement pertinentes :

examplehost sudo : pam_krb5[30799] : l'authentification réussit pour 'example' (example@exampledomain)
examplehost sudo : example : impossible d'ouvrir /var/db/sudo/example/2 : Permission refusée ; TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMANDE=/bin/ls -l /root
examplehost example : TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMANDE=/bin/ls -l /root
examplehost sudo : pam_keyinit(sudo:session) : Impossible de changer temporairement le GID en 0 examplehost su : pam_unix(su-l:session) : session fermée pour l'utilisateur example
examplehost su : pam_unix(su-l:session) : session fermée pour l'utilisateur example

Remarque, le système utilise l'authentification via active directory.

J'ai essayé de déplacer /var/db/sudo et /var/cache/.security.db, sans effet.

Les entrées existantes dans sudoers ainsi que les nouvelles sont affectées. J'ai cherché partout mais n'ai pas encore trouvé de solution. Le système fonctionne bien par ailleurs, il accepte la connexion ssh, le serveur web fonctionne également.

Les limites semblent correctes :

ulimit -u
31353

cat /etc/security/limits.d/90-nproc.conf

*          soft    nproc     1024
root       soft    nproc     unlimited
Demandé el 22 de Août, 2017 par aseq

Réponse

Trop de publicités?

1voto

aseq avatar
aseq Points 4490

Le problème était qu'un module pam était utilisé pour mettre en cache les mots de passe, permettant à quelqu'un de se connecter en cas d'indisponibilité des serveurs Active Directory distants. Ce module n'est plus présent sur rhel6 et versions ultérieures. Cependant, il peut toujours être utilisé lorsqu'il est installé à partir d'un package personnalisé ou d'un package rhel5 plus ancien.

Le package est pam_ccreds et après que les lignes dans /etc/pam.d/system-auth contenant la chaîne pam_ccreds.so ont été remplacées par la chaîne pam_krb5.so, sudo a recommencé à fonctionner.

Répondu el 14 de Octobre, 2017 par aseq (4490 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X