Zusammenfassung:
SELinux hindert den restorecon daran, evtl. falsch gekennzeichnete Dateien zu
verwenden (/tmp/kde-simon/konsolehX2640.tmp).
Detaillierte Beschreibung:
SELinux verweigerte restorecon den Zugriff auf potentiell falsch gekennzeichnete
Dateien (/tmp/kde-simon/konsolehX2640.tmp). Dies bedeutet, dass SELinux
restorecon die Verwendung dieser Dateien untersagt. Es ist üblich, dass
Benutzer Dateien in Ihrem Benutzerverzeichnis oder in temporären Verzeichnissen
editieren und dann in Systemverzeichnisse verschieben (mv). Das Problem ist,
dass diese dort mit einem Dateikontext abgelegt werden, auf den bestimmte
Anwendungen nicht zugreifen dürfen.
Zugriff erlauben:
Wenn Sie restorecon den Zugriff auf diese Dateien erlauben möchten, müssen Sie
diese mit restorecon -v /tmp/kde-simon/konsolehX2640.tmp neu kennzeichnen. Sie
können auch gleich das ganze Verzeichnis mit restorecon -R -v /tmp/kde-simon
neu kennzeichnen.
Zusätzliche Informationen:
Quellkontext unconfined_u:unconfined_r:setfiles_t:s0
Zielkontext unconfined_u:object_r:user_tmp_t:s0
Zielobjekte /tmp/kde-simon/konsolehX2640.tmp [ file ]
Quelle restorecon
Quellen-Pfad /sbin/setfiles
Port <Unbekannt>
Host hp550-01
Quellen-RPM-Pakete policycoreutils-2.0.57-17.fc10
Ziel-RPM-Pakete
RPM-Richtlinie selinux-policy-3.5.13-47.fc10
SELinux aktiviert True
Richtlinienversion targeted
MLS aktiviert True
Enforcing-Modus Enforcing
Plugin-Name home_tmp_bad_labels
Hostname hp550-01
Plattform Linux hp550-01 2.6.27.19-170.2.35.fc10.x86_64 #1
SMP Mon Feb 23 13:00:23 EST 2009 x86_64 x86_64
Anzahl der Alarme 3
Zuerst gesehen Mo 16 Mär 2009 17:53:19 CET
Zuletzt gesehen Mo 16 Mär 2009 17:54:56 CET
Lokale ID 53c9b682-3361-4873-b105-31417931b8a7
Zeilennummern
Raw-Audit-Meldungen
node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc: denied { read } for pid=2686 comm="restorecon" path="/tmp/kde-simon/konsolehX2640.tmp" dev=sda6 ino=370188 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc: denied { read } for pid=2686 comm="restorecon" path="/tmp/kde-simon/konsoleSL2640.tmp" dev=sda6 ino=370189 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc: denied { read } for pid=2686 comm="restorecon" path="/tmp/kde-simon/konsolenn2640.tmp" dev=sda6 ino=370190 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file
node=hp550-01 type=SYSCALL msg=audit(1237222496.744:22): arch=c000003e syscall=59 success=yes exit=0 a0=12d7850 a1=12d3020 a2=12c5ea0 a3=8 items=0 ppid=2651 pid=2686 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="restorecon" exe="/sbin/setfiles" subj=unconfined_u:unconfined_r:setfiles_t:s0 key=(null)
THis is caused by a leaked file descriptor in konsole.
Can be ignored from an SELinux point of view. kde code should be cleaned up to close open file descriptors before exec
fcntl(fd, F_SETFD, FD_CLOEXEC)