Bug 624088

Summary: SELinux hindert /bin/bash am Zugriff auf einen /root Dateideskriptorleck.
Product: [Fedora] Fedora Reporter: Juergen Wieczorek <juergenw_>
Component: cronieAssignee: Marcela Mašláňová <mmaslano>
Status: CLOSED DUPLICATE QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: medium Docs Contact:
Priority: low    
Version: 13CC: mmaslano, pertusus, tmraz
Target Milestone: ---   
Target Release: ---   
Hardware: i686   
OS: Linux   
Whiteboard:
Fixed In Version: Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2010-08-19 11:55:18 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---

Description Juergen Wieczorek 2010-08-13 15:55:44 UTC
Zusammenfassung:

SELinux hindert /bin/bash am Zugriff auf einen /root Dateideskriptorleck.

Detaillierte Beschreibung:

[prelink hat einen zugelassenen Typ (prelink_cron_system_t). Dieser Zugriff
wurde nicht verweigert.]

SELinux verweigerte den vom prelink-Befehl angeforderten Zugriff. Dies kann
entweder ein Leck des Dateideskriptors sein, oder prelink Ausgabe wurde an eine
Datei umgeleitet, für die es kein Zugriffsrecht besitzt. Lecks können in der
Regel ignoriert werden, denn SELinux schließt einfach das Leck und meldet den
Fehler. Die Anwendung wird den Deskriptor nicht verwenden und infolgedessen
einwandfrei funktionieren. Falls dies eine Umleitung ist, werden Sie keine
Ausgabe im /root erhalten. Sie sollten einen Fehlerbericht für selinux-policy
einreichen, der anschließend dem richtigen Paket zugeordnet wird. Sie können
diese AVC bedenkenlos ignorieren

Zugriff erlauben:

Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu
erlauben - siehe FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385)

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:prelink_cron_system_t:s0-s0:c0.c
                              1023
Zielkontext                   system_u:object_r:admin_home_t:s0
Zielobjekte                   /root [ dir ]
Quelle                        prelink
Quellpfad                     /bin/bash
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         bash-4.1.7-1.fc13
RPM-Pakete des Ziels          filesystem-2.4.31-1.fc13
Richtlinien-RPM               selinux-policy-3.7.19-44.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Enforcing
Plugin-Name                   leaks
Rechnername                   (entfernt)
Plattform                     Linux marvin42 2.6.33.6-147.2.4.fc13.i686.PAE #1
                              SMP Fri Jul 23 17:21:06 UTC 2010 i686 i686
Anzahl der Alarme             1
Zuerst gesehen                Mi 11 Aug 2010 18:21:31 CEST
Zuletzt gesehen               Mi 11 Aug 2010 18:21:31 CEST
Lokale ID                     bc31fb69-8c05-42c4-9465-60b4b315fee6
Zeilennummern                 

Raw-Audit-Meldungen           

node=marvin42 type=AVC msg=audit(1281543691.151:16503): avc:  denied  { read } for  pid=4652 comm="prelink" path="/root" dev=sda5 ino=1479857 scontext=system_u:system_r:prelink_cron_system_t:s0-s0:c0.c1023 tcontext=system_u:object_r:admin_home_t:s0 tclass=dir

node=marvin42 type=SYSCALL msg=audit(1281543691.151:16503): arch=40000003 syscall=11 success=yes exit=0 a0=8e2bc88 a1=8e2bb10 a2=8e28b68 a3=8e2bb10 items=0 ppid=2745 pid=4652 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=2 comm="prelink" exe="/bin/bash" subj=system_u:system_r:prelink_cron_system_t:s0-s0:c0.c1023 key=(null)

Comment 1 Tomas Mraz 2010-08-19 11:55:18 UTC

*** This bug has been marked as a duplicate of bug 623908 ***