selinux mls ssh 被拒絕 dyntransition - 登錄失敗

我正在嘗試學習 SELinux 並查看 RHEL 7 的 Red Hat 文件。我遇到了多層安全性 (MLS) 的文件並想嘗試一下，所以我設置了 SELINUXTYPE=mls 和 SELINUX=permissive ，觸摸了 /.autorelabel （在其中回顯 -F）並重新啟動。

我能夠登錄，但想檢查審核日誌以確保沒有發生任何會阻止我使用強制模式登錄的失敗或拒絕。我發現了以下內容：

type=AVC msg=audit(1457127380.826:208): avc:  denied  { dyntransition } for      pid=2109 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s15:c0.c1023 tcontext=root:sysadm_r:sysadm_t:s0 tclass=process

所以，我認為這沒什麼好擔心的（仍在學習），所以我將 SELINUX 設置為強制執行並重新啟動。把自己鎖在外面！

我能夠重新進行一些黑客攻擊並將 SELINUX 設置為允許，但我不確定為什麼它不起作用……

我試圖 restorecon /usr/sbin/sshd 並且它確實具有正確的上下文：

ls -Z /usr/sbin/sshd
-rwxr-xr-x. root root system_u:object_r:sshd_exec_t:s0 /usr/sbin/sshd

但是，如果您查看錯誤中的 tcontect，它會很奇怪：

tcontext=root:sysadm_r:sysadm_t:s0 

無論如何，正如我所說，我仍在學習，所以任何建議都會有所幫助……解釋任何範例或解決方案的文件將不勝感激 - “教一個人釣魚……”

非常感謝！喬

看起來root不允許在 MLS 系統上通過 ssh 直接登錄。

您將需要以staff_t使用者身份 ssh 進入，然後sudo進入 root。

引用自：https://serverfault.com/questions/761701