Bug 560451

Summary:	SELinux empêche passwd (passwd_t) "read write" unconfined_t.
Product:	[Fedora] Fedora	Reporter:	Pierre Blavy <pierreblavy>
Component:	selinux-policy	Assignee:	Daniel Walsh <dwalsh>
Status:	CLOSED DUPLICATE	QA Contact:	Fedora Extras Quality Assurance <extras-qa>
Severity:	medium	Docs Contact:
Priority:	low
Version:	12	CC:	dwalsh, mgrepl, pierreblavy
Target Milestone:	---
Target Release:	---
Hardware:	x86_64
OS:	Linux
Whiteboard:	setroubleshoot_trace_hash:f4be68af1bdedbac49842f06efb731098430b01e85219bb78fa64d4a10fe2933
Fixed In Version:		Doc Type:	Bug Fix
Doc Text:		Story Points:	---
Clone Of:		Environment:
Last Closed:	2010-02-01 12:08:40 UTC	Type:	---
Regression:	---	Mount Type:	---
Documentation:	---	CRM:
Verified Versions:		Category:	---
oVirt Team:	---	RHEL 7.3 requirements from Atomic Host:
Cloudforms Team:	---	Target Upstream Version:
Embargoed:

Description Pierre Blavy 2010-01-31 18:54:03 UTC

Résumé:

SELinux empêche passwd (passwd_t) "read write" unconfined_t.

Description détaillée:

[passwd a un type permissif (passwd_t). Cet accès n'a pas été refusé.]

SELinux a refusé l'accès demandé par passwd. Il n'est pas prévu que cet
accès soit requis par passwd et cet accès peut signaler une tentative
d'intrusion. Il est également possible que cette version ou cette configuration
spécifique de l'application provoque cette demande d'accès supplémentaire.

Autoriser l'accès:

Vous pouvez créer un module de stratégie locale pour autoriser cet accès -
lisez la FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Vous
pouvez également désactiver la protection fournie par SELinux. Désactiver
SELinux n'est pas recommandé. Merci de remplir un rapport de bogue
(http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) sur ce paquet.

Informations complémentaires:

Contexte source               unconfined_u:unconfined_r:passwd_t:s0
Contexte cible                unconfined_u:unconfined_r:unconfined_t:s0
Objets du contexte            socket [ unix_stream_socket ]
source                        passwd
Chemin de la source           /usr/bin/passwd
Port                          <Inconnu>
Hôte                         (removed)
Paquetages RPM source         passwd-0.75-2.fc9
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.5.13-64.fc10
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 catchall
Nom de l'hôte                (removed)
Plateforme                    Linux (removed) 2.6.27.25-170.2.72.fc10.x86_64 #1 SMP
                              Sun Jun 21 18:39:34 EDT 2009 x86_64 x86_64
Compteur d'alertes            1
Première alerte              dim. 28 juin 2009 16:42:36 CEST
Dernière alerte              dim. 28 juin 2009 16:42:36 CEST
ID local                      87902b99-2d78-4793-a2ee-290582546984
Numéros des lignes           

Messages d'audit bruts        

node=(removed) type=AVC msg=audit(1246200156.343:127): avc:  denied  { read write } for  pid=4201 comm="passwd" path="socket:[13755]" dev=sockfs ino=13755 scontext=unconfined_u:unconfined_r:passwd_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0 tclass=unix_stream_socket

node=(removed) type=SYSCALL msg=audit(1246200156.343:127): arch=c000003e syscall=59 success=yes exit=0 a0=1ff46c0 a1=1ff14a0 a2=1ff5c60 a3=367cb6da70 items=0 ppid=4183 pid=4201 auid=500 uid=502 gid=502 euid=0 suid=0 fsuid=0 egid=502 sgid=502 fsgid=502 tty=pts3 ses=1 comm="passwd" exe="/usr/bin/passwd" subj=unconfined_u:unconfined_r:passwd_t:s0 key=(null)



Hash String generated from  selinux-policy-3.5.13-64.fc10,catchall,passwd,passwd_t,unconfined_t,unix_stream_socket,read,write
audit2allow suggests:

#============= passwd_t ==============
#!!!! This avc has a dontaudit rule in the current policy

allow passwd_t unconfined_t:unix_stream_socket { read write };

Comment 1 Miroslav Grepl 2010-02-01 12:08:40 UTC


*** This bug has been marked as a duplicate of bug 560450 ***