web-dev-qa-db-ja.com

fipsを有効にした後、Sudoは動作を停止します

Rhel6システムで、このガイドを使用してfipsを有効にしました。

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Federal_Standards_And_Regulations-Federal_Information_Processing_Standard.html

システムを再起動した後、Sudoエントリは機能しなくなります。

Sudoersへのエントリ:

example        ALL=(ALL)       ALL

Sudoを使用したコマンド実行の例:

Sudo ls -l /root
[Sudo] password for example: 
/var/cache/.security.db: unable to flush: Permission denied
Sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
Sudo: unable to open /var/db/Sudo/example/2: Operation not permitted
Sudo: unable to send audit message: Operation not permitted
Sudo: unable to set supplementary group IDs: Operation not permitted
Sudo: unable to execute /bin/ls: Operation not permitted

Sudoersでこのエントリを使用してSudoを使用してスクリプトを実行すると、別のエラーが発生します。

example         ALL=/usr/local/bin/example_script.sh

結果:

Sudo /usr/local/bin/example_script.sh
[Sudo] password for example:
Sudo: PERM_ROOT: setresuid(0, -1, -1): Operation not permitted
Sudo: unable to open /var/db/Sudo/example/1: Operation not permitted
Sudo: unable to send audit message: Operation not permitted
Sudo: unable to set supplementary group IDs: Operation not permitted
Sudo: unable to execute /usr/local/bin/example_script.sh: Operation not

関連する可能性のあるログエントリ:

examplehost Sudo: pam_krb5[30799]: authentication succeeds for 'example' (example@exampledomain)
examplehost Sudo: example : unable to open /var/db/Sudo/example/2 : Permission denied ; TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost example : TTY=pts/2 ; PWD=/home/example ; USER=root ; COMMAND=/bin/ls -l /root
examplehost Sudo: pam_keyinit(Sudo:session): Unable to change GID to 0 temporarily examplehost su: pam_unix(su-l:session): session closed for user example
examplehost su: pam_unix(su-l:session): session closed for user example

システムはActiveDirectory認証を使用していることに注意してください。

/ var/db/Sudoと/var/cache/.security.dbを邪魔にならない場所に移動してみましたが、効果はありませんでした。

Sudoersの既存のエントリだけでなく、新しく作成されたエントリも影響を受けます。私は周りを見回しましたが、まだ解決策を見つけることができませんでした。それ以外の場合、システムは正常に動作しています。sshログインを受け入れ、Webサーバーも実行されています。

制限は問題ないようです。

ulimit -u
31353

cat /etc/security/limits.d/90-nproc.conf

*          soft    nproc     1024
root       soft    nproc     unlimited
centosredhatfips-140-2
1
aseq

問題は、パスワードのキャッシュを処理するpamモジュールが使用され、リモートActiveDirectoryサーバーにアクセスできない場合に誰かがログインできるようにすることでした。このモジュールは、rhel6以降には存在しなくなりました。ただし、カスタムパッケージまたは古いrhel5パッケージからインストールした場合でも使用できます。

パッケージはpam_ccredsであり、/ etc/pam.d/system-authの行の後に文字列pam_ccreds.so文字列に置き換えられましたpam_krb5.so Sudoが再び動作を開始しました。

1
aseq