Bug 624191
| Summary: | SELinux empêche /usr/bin/python d'« read » au périphérique /. | ||
|---|---|---|---|
| Product: | [Fedora] Fedora | Reporter: | Nicolas Mailhot <nicolas.mailhot> |
| Component: | selinux-policy-targeted | Assignee: | Daniel Walsh <dwalsh> |
| Status: | CLOSED ERRATA | QA Contact: | Ben Levenson <benl> |
| Severity: | medium | Docs Contact: | |
| Priority: | low | ||
| Version: | 14 | CC: | lpoetter, mmcgrath |
| Target Milestone: | --- | ||
| Target Release: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| Whiteboard: | |||
| Fixed In Version: | selinux-policy-3.8.8-20.fc14 | Doc Type: | Bug Fix |
| Doc Text: | Story Points: | --- | |
| Clone Of: | Environment: | ||
| Last Closed: | 2010-09-01 06:03:37 UTC | Type: | --- |
| Regression: | --- | Mount Type: | --- |
| Documentation: | --- | CRM: | |
| Verified Versions: | Category: | --- | |
| oVirt Team: | --- | RHEL 7.3 requirements from Atomic Host: | |
| Cloudforms Team: | --- | Target Upstream Version: | |
| Embargoed: | |||
| Bug Depends On: | |||
| Bug Blocks: | 538278 | ||
You can add these rules for now using # grep avc /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp Fixed in selinux-policy-3.8.8-18.fc14 selinux-policy-3.8.8-20.fc14 has been submitted as an update for Fedora 14. http://admin.fedoraproject.org/updates/selinux-policy-3.8.8-20.fc14 selinux-policy-3.8.8-20.fc14 has been pushed to the Fedora 14 testing repository. If problems still persist, please make note of it in this bug report. If you want to test the update, you can install it with su -c 'yum --enablerepo=updates-testing update selinux-policy'. You can provide feedback for this update here: http://admin.fedoraproject.org/updates/selinux-policy-3.8.8-20.fc14 selinux-policy-3.8.8-20.fc14 has been pushed to the Fedora 14 testing repository. If problems still persist, please make note of it in this bug report. If you want to test the update, you can install it with su -c 'yum --enablerepo=updates-testing update selinux-policy'. You can provide feedback for this update here: http://admin.fedoraproject.org/updates/selinux-policy-3.8.8-20.fc14 selinux-policy-3.8.8-20.fc14 has been pushed to the Fedora 14 stable repository. If problems still persist, please make note of it in this bug report. |
Résumé: SELinux empêche /usr/bin/python d'« read » au périphérique /. Description détaillée: SELinux a refusé un accès demandé par smoltSendProfil. / peut être mal étiqueté. Le type SELinux par défaut de / est root_t, mais son type actuel est autofs_t.Restaurer le type par défaut de ce fichier peut régler votre problème. Les contextes de fichier peuvent être assignés à un fichier des manières suivantes. * Les fichiers créés dans un répertoire reçoivent le contexte de fichier du répertoire par défaut. * La stratégie SELinux peut écraser l'étiquetage par défaut hérité du répertoire parent en spécifiant un processus fonctionnant dans un contexte A qui crée un fichier dans un répertoire étiqueté B créera en lieu et place le fichier avec un label C. Un exemple de ce processus serait le client dhcp fonctionnant avec le type dhclient_t et qui créerait un fichier dans le répertoire /etc. Ce fichier recevrait normalement le type etc_t par héritage parental, mais à la place le fichier sera étiqueté du type net_conf_type car la stratégie SELinux le spécifie. * Les utilisateurs peuvent changer le contexte de fichier d'un fichier en utilisant des outils tels que chcon ou restorecon. Ce fichier a pu être mal étiqueté soit suite à une erreur de l'utilisateur, soit parce qu'une application normalement confinée a été lancée dans le mauvais domaine. Néanmoins, il peut également s'agir d'un bug dans SELinux, car le fichier n'aurait pas dû être étiqueté de ce type. Si vous pensez qu'il s'agit d'un bug, veu Autoriser l'accès: Vous pouvez restaurer le contexte par défaut du système sur ce fichier en exécutant la commande restorecon. restorecon '/'. Si ce fichier est un répertoire, vous pouvez restaurer le contexte récursivement en utilisant restorecon -R '/'. Commande de correction: /sbin/restorecon '/' Informations complémentaires: Contexte source system_u:system_r:smoltclient_t:s0-s0:c0.c1023 Contexte cible system_u:object_r:autofs_t:s0 Objets du contexte / [ dir ] source smoltSendProfil Chemin de la source /usr/bin/python Port <Inconnu> Hôte Paquetages RPM source python-2.7-7.fc14 Paquetages RPM cible filesystem-2.4.35-1.fc14 Politique RPM selinux-policy-3.8.8-14.fc14 Selinux activé True Type de politique targeted Mode strict Enforcing Nom du plugin restorecon Nom de l'hôte Plateforme Linux 2.6.35.2-7.rc1.fc14.x86_64 #1 SMP Fri Aug 13 12:28:32 UTC 2010 x86_64 x86_64 Compteur d'alertes 4 Première alerte sam. 14 août 2010 06:20:02 CEST Dernière alerte sam. 14 août 2010 06:20:02 CEST ID local 7d67a454-6ee0-4626-af56-ff16de1b17ba Numéros des lignes Messages d'audit bruts node= type=AVC msg=audit(1281759602.838:1131): avc: denied { read } for pid=22355 comm="smoltSendProfil" name="/" dev=autofs ino=9564 scontext=system_u:system_r:smoltclient_t:s0-s0:c0.c1023 tcontext=system_u:object_r:autofs_t:s0 tclass=dir node= type=SYSCALL msg=audit(1281759602.838:1131): arch=c000003e syscall=4 success=no exit=-13 a0=7fffeefb20ca a1=7fffeefb24c0 a2=7fffeefb24c0 a3=1999999999999999 items=0 ppid=22354 pid=22355 auid=496 uid=496 gid=493 euid=496 suid=496 fsuid=496 egid=493 sgid=493 fsgid=493 tty=(none) ses=60 comm="smoltSendProfil" exe="/usr/bin/python" subj=system_u:system_r:smoltclient_t:s0-s0:c0.c1023 key=(null) Version-Release number of selected component (if applicable): selinux-policy-3.8.8-14.fc14.noarch selinux-policy-targeted-3.8.8-14.fc14.noarch smolt-1.4.2.2-2.fc14.noarch smolt-firstboot-1.4.2.2-2.fc14.noarch systemd-7-3.fc14.x86_64 systemd-gtk-7-3.fc14.x86_64 systemd-sysvinit-7-3.fc14.x86_64 systemd-units-7-3.fc14.x86_64