Bug 1007513

Summary: SELinux is preventing /usr/sbin/rsyslogd from 'name_connect' accesses on the tcp_socket .
Product: [Fedora] Fedora Reporter: Koizumi <ccxppt>
Component: selinux-policyAssignee: Miroslav Grepl <mgrepl>
Status: CLOSED NOTABUG QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: unspecified Docs Contact:
Priority: unspecified    
Version: 19CC: dominick.grift, dwalsh, lvrabec, mgrepl
Target Milestone: ---   
Target Release: ---   
Hardware: x86_64   
OS: Unspecified   
Whiteboard: abrt_hash:87e79ddd3b75676bbc2314353824d48e05f4cfbaf49fbb5f53164e1faffd0dee
Fixed In Version: Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2013-09-12 17:43:13 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: --- Target Upstream Version:

Description Koizumi 2013-09-12 16:00:15 UTC 
Description of problem:
SELinux is preventing /usr/sbin/rsyslogd from 'name_connect' accesses on the tcp_socket .

*****  Plugin catchall_boolean (47.5 confidence) suggests  *******************

If allow system to run with NIS がしたい
Then 'nis_enabled' boolean を有効にすることにより、 これを SELinux に伝える必要があります。
詳細情報については、'None' man ページをご覧下さい。
Do
setsebool -P nis_enabled 1

*****  Plugin catchall_boolean (47.5 confidence) suggests  *******************

If allow syslogd daemon to send mail がしたい
Then 'logging_syslogd_can_sendmail' boolean を有効にすることにより、 これを SELinux に伝える必要があります。
詳細情報については、'None' man ページをご覧下さい。
Do
setsebool -P logging_syslogd_can_sendmail 1

*****  Plugin catchall (6.38 confidence) suggests  ***************************

If rsyslogd に、  tcp_socket の name_connect アクセスがデフォルトで許可されるべきです。   
Then バグとして報告してください。 
ローカルのポリシーモジュールを生成すると、 このアクセスを許可することができます。
Do
このアクセスを一時的に許可するには、以下を実行してください。:
# grep 72733A6D61696E20513A526567 /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Additional Information:
Source Context                system_u:system_r:syslogd_t:s0
Target Context                system_u:object_r:smtp_port_t:s0
Target Objects                 [ tcp_socket ]
Source                        72733A6D61696E20513A526567
Source Path                   /usr/sbin/rsyslogd
Port                          25
Host                          (removed)
Source RPM Packages           rsyslog-7.2.6-1.fc19.x86_64
Target RPM Packages           
Policy RPM                    selinux-policy-3.12.1-74.1.fc19.noarch
Selinux Enabled               True
Policy Type                   targeted
Enforcing Mode                Permissive
Host Name                     (removed)
Platform                      Linux (removed) 3.10.10-200.fc19.x86_64 #1 SMP Thu
                              Aug 29 19:05:45 UTC 2013 x86_64 x86_64
Alert Count                   99
First Seen                    2013-09-11 19:41:58 JST
Last Seen                     2013-09-13 00:51:07 JST
Local ID                      9c412dae-523b-4f24-871f-8df13b180795

Raw Audit Messages
type=AVC msg=audit(1379001067.578:1797): avc:  denied  { name_connect } for  pid=466 comm=72733A6D61696E20513A526567 dest=25 scontext=system_u:system_r:syslogd_t:s0 tcontext=system_u:object_r:smtp_port_t:s0 tclass=tcp_socket


type=SYSCALL msg=audit(1379001067.578:1797): arch=x86_64 syscall=connect success=yes exit=0 a0=12 a1=7f5110000ce0 a2=10 a3=0 items=0 ppid=1 pid=466 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 ses=4294967295 tty=(none) comm=72733A6D61696E20513A526567 exe=/usr/sbin/rsyslogd subj=system_u:system_r:syslogd_t:s0 key=(null)

Hash: 72733A6D61696E20513A526567,syslogd_t,smtp_port_t,tcp_socket,name_connect

Additional info:
reporter:       libreport-2.1.6
hashmarkername: setroubleshoot
kernel:         3.10.10-200.fc19.x86_64
type:           libreport
Comment 1 Daniel Walsh 2013-09-12 17:43:13 UTC 
*****  Plugin catchall_boolean (47.5 confidence) suggests  *******************

If allow syslogd daemon to send mail がしたい
Then 'logging_syslogd_can_sendmail' boolean を有効にすることにより、 これを SELinux に伝える必要があります。
詳細情報については、'None' man ページをご覧下さい。
Do
setsebool -P logging_syslogd_can_sendmail 1
Comment 2 Daniel Walsh 2013-09-12 17:43:43 UTC 
http://danwalsh.livejournal.com/66379.html