Bug 560450

Résumé:

SELinux empêche avahi-daemon (avahi_t) "read write" unconfined_t.

Description détaillée:

[avahi-daemon a un type permissif (avahi_t). Cet accès n'a pas été refusé.]

SELinux a refusé l'accès demandé par avahi-daemon. Il n'est pas prévu que
cet accès soit requis par avahi-daemon et cet accès peut signaler une
tentative d'intrusion. Il est également possible que cette version ou cette
configuration spécifique de l'application provoque cette demande d'accès
supplémentaire.

Autoriser l'accès:

Vous pouvez créer un module de stratégie locale pour autoriser cet accès -
lisez la FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Vous
pouvez également désactiver la protection fournie par SELinux. Désactiver
SELinux n'est pas recommandé. Merci de remplir un rapport de bogue
(http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) sur ce paquet.

Informations complémentaires:

Contexte source               unconfined_u:system_r:avahi_t:s0
Contexte cible                unconfined_u:unconfined_r:unconfined_t:s0
Objets du contexte            socket [ unix_stream_socket ]
source                        avahi-daemon
Chemin de la source           /usr/sbin/avahi-daemon
Port                          <Inconnu>
Hôte                         (removed)
Paquetages RPM source         avahi-0.6.22-12.fc10
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.5.13-44.fc10
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 catchall
Nom de l'hôte                (removed)
Plateforme                    Linux (removed) 2.6.27.12-170.2.5.fc10.x86_64 #1 SMP
                              Wed Jan 21 01:33:24 EST 2009 x86_64 x86_64
Compteur d'alertes            1
Première alerte              sam. 14 févr. 2009 02:50:36 CET
Dernière alerte              sam. 14 févr. 2009 02:50:36 CET
ID local                      d9c8ed23-670d-4313-833a-2e8a691837eb
Numéros des lignes           

Messages d'audit bruts        

node=(removed) type=AVC msg=audit(1234576236.384:25): avc:  denied  { read write } for  pid=4016 comm="avahi-daemon" path="socket:[14660]" dev=sockfs ino=14660 scontext=unconfined_u:system_r:avahi_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0 tclass=unix_stream_socket

node=(removed) type=AVC msg=audit(1234576236.384:25): avc:  denied  { read write } for  pid=4016 comm="avahi-daemon" path="socket:[14660]" dev=sockfs ino=14660 scontext=unconfined_u:system_r:avahi_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0 tclass=unix_stream_socket

node=(removed) type=AVC msg=audit(1234576236.384:25): avc:  denied  { read write } for  pid=4016 comm="avahi-daemon" path="socket:[14660]" dev=sockfs ino=14660 scontext=unconfined_u:system_r:avahi_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0 tclass=unix_stream_socket

node=(removed) type=SYSCALL msg=audit(1234576236.384:25): arch=c000003e syscall=59 success=yes exit=0 a0=f8f380 a1=f63650 a2=f8f500 a3=367cb6da70 items=0 ppid=4013 pid=4016 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="avahi-daemon" exe="/usr/sbin/avahi-daemon" subj=unconfined_u:system_r:avahi_t:s0 key=(null)



Hash String generated from  selinux-policy-3.5.13-44.fc10,catchall,avahi-daemon,avahi_t,unconfined_t,unix_stream_socket,read,write
audit2allow suggests:

#============= avahi_t ==============
#!!!! This avc has a dontaudit rule in the current policy

allow avahi_t unconfined_t:unix_stream_socket { read write };