Bug 592076

Summary: SELinux empêche l'accès en "unlink" à /usr/sbin/tmpwatch on yum.l
Product: [Fedora] Fedora Reporter: Carl G. <carlg>
Component: selinux-policyAssignee: Daniel Walsh <dwalsh>
Status: CLOSED NOTABUG QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: medium Docs Contact:
Priority: medium    
Version: 13CC: dwalsh, mgrepl
Target Milestone: ---   
Target Release: ---   
Hardware: x86_64   
OS: Linux   
Whiteboard: setroubleshoot_trace_hash:0488b5ac83305c53096de6ce0c14a7bcf0a42101eff66144c57376bed3b48b67
Fixed In Version: Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2010-05-14 12:40:24 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: --- Target Upstream Version:
Embargoed:

Description Carl G. 2010-05-13 19:38:40 UTC 
Résumé:

SELinux empêche l'accès en "unlink" à /usr/sbin/tmpwatch on yum.l

Description détaillée:

SELinux a refusé l'accès demandé par tmpwatch. Il n'est pas prévu que cet
accès soit requis par tmpwatch et cet accès peut signaler une tentative
d'intrusion. Il est également possible que cette version ou cette configuration
spécifique de l'application provoque cette demande d'accès supplémenta

Autoriser l'accès:

Vous pouvez créer un module de stratégie locale pour autoriser cet accès -
lisez la FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Merci de
remplir un rapport de bogue.

Informations complémentaires:

Contexte source               system_u:system_r:tmpreaper_t:s0-s0:c0.c1023
Contexte cible                system_u:object_r:root_t:s0
Objets du contexte            yum.log [ file ]
source                        tmpwatch
Chemin de la source           /usr/sbin/tmpwatch
Port                          <Inconnu>
Hôte                         (supprimé)
Paquetages RPM source         tmpwatch-2.9.17-2.fc13
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.7.19-13.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 catchall
Nom de l'hôte                (supprimé)
Plateforme                    Linux (supprimé) 2.6.33.3-85.fc13.x86_64
                              #1 SMP Thu May 6 18:09:49 UTC 2010 x86_64 x86_64
Compteur d'alertes            1
Première alerte              jeu. 13 mai 2010 15:35:14 EDT
Dernière alerte              jeu. 13 mai 2010 15:35:14 EDT
ID local                      1e94a510-a660-4586-9033-7b7d04735fa4
Numéros des lignes           

Messages d'audit bruts        

node=(supprimé) type=AVC msg=audit(1273779314.470:166): avc:  denied  { unlink } for  pid=16886 comm="tmpwatch" name="yum.log" dev=dm-2 ino=524290 scontext=system_u:system_r:tmpreaper_t:s0-s0:c0.c1023 tcontext=system_u:object_r:root_t:s0 tclass=file

node=(supprimé) type=SYSCALL msg=audit(1273779314.470:166): arch=c000003e syscall=87 success=no exit=-13 a0=135f89b a1=403333 a2=7fff6a500c5f a3=7fff6a500ec8 items=0 ppid=16884 pid=16886 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=13 comm="tmpwatch" exe="/usr/sbin/tmpwatch" subj=system_u:system_r:tmpreaper_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  catchall,tmpwatch,tmpreaper_t,root_t,file,unlink
audit2allow suggests:

#============= tmpreaper_t ==============
allow tmpreaper_t root_t:file unlink;
Comment 1 Daniel Walsh 2010-05-14 12:40:24 UTC 
Looks like you have a mislabeled file yum.log.  It should not be labeled root_t.

I have  no idea how you got this label, since the only file that should be labeled root_t is /.

I would just delete the file.