昨天我将一个驱动器添加到 Centos6 VM 框,在驱动器上创建了一个 /home 挂载点,然后将一个用户(在本例中为 jenkins)移动到它以从 / 挂载点释放空间。
这似乎工作正常,权限和标签看起来都正确,但今天早些时候我开始看到我无法以 jenkins 用户身份从任何盒子通过 SSH 连接到盒子的问题。以 root 身份su通过SSH 连接到该框并连接到 jenkins 工作正常。最重要的是,如果我做了一个service sshd stop,然后/usr/sbin/sshd我可以作为 jenkins 用户直接连接到盒子。
经过大量调试后,我最终发现了 SELinux 拒绝,/var/log/audit/audit.log如下所示:
type=AVC msg=audit(1428584552.564:187): avc: denied { search } for pid=1798 comm="sshd" name="/" dev=sdd1 ino=2 scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:file_t:s0 tclass=dir
type=AVC msg=audit(1428584552.567:188): avc: denied { getattr } for pid=1798 comm="sshd" path="/home" dev=sdd1 ino=2 scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:file_t:s0 tclass=dir
将 SELinux 设置为 permissive 然后允许我以 jenkins 用户的身份远程重新连接。
我对 SELinux 不太熟悉,但在阅读(再次)Gentoo 关于 SELinux 的教程后, …