Bug 619725

Summary: SELinux verhindert /usr/sbin/NetworkManager "read" Zugriff on tmp.
Product: [Fedora] Fedora Reporter: Raphael Groner <projects.rg>
Component: selinux-policyAssignee: Daniel Walsh <dwalsh>
Status: CLOSED NOTABUG QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: medium Docs Contact:
Priority: low    
Version: 13CC: dwalsh, mgrepl, projects.rg
Target Milestone: ---   
Target Release: ---   
Hardware: x86_64   
OS: Linux   
Whiteboard: setroubleshoot_trace_hash:9b9df59d547df0ed2782d5d0a9b04b24e0f2e042e52617d828ac504f53506208
Fixed In Version: Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2010-07-30 18:40:25 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: --- Target Upstream Version:
Embargoed:

Description Raphael Groner 2010-07-30 10:23:58 UTC 
Zusammenfassung:

SELinux verhindert /usr/sbin/NetworkManager "read" Zugriff on tmp.

Detaillierte Beschreibung:

SELinux verweigerte den von NetworkManager angeforderten Zugriff. Da nicht davon
ausgegangen wird, dass dieser Zugriff von NetworkManager benötigt wird,
signalisiert dies möglicherweise einen Einbruchsversuch. Es ist ausserdem
möglich, dass diese spezielle Version oder Konfiguration der Anwendung den
zusätzlichen Zugriff verursacht.

Zugriff erlauben:

Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu
erlauben siehe FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385)
Bitte reichen Sie einen Fehlerbericht ein.

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:NetworkManager_t:s0
Zielkontext                   system_u:object_r:var_t:s0
Zielobjekte                   tmp [ dir ]
Quelle                        NetworkManager
Quellpfad                     /usr/sbin/NetworkManager
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         NetworkManager-0.8.1-0.1.git20100510.fc13
RPM-Pakete des Ziels          filesystem-2.4.31-1.fc13
Richtlinien-RPM               selinux-policy-3.7.19-39.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Enforcing
Plugin-Name                   catchall
Rechnername                   (entfernt)
Plattform                     Linux (entfernt) 2.6.33.6-147.fc13.x86_64 #1 SMP Tue
                              Jul 6 22:32:17 UTC 2010 x86_64 x86_64
Anzahl der Alarme             2
Zuerst gesehen                Fr 30 Jul 2010 12:11:36 CEST
Zuletzt gesehen               Fr 30 Jul 2010 12:11:36 CEST
Lokale ID                     bf9b1f2b-d5c1-47cc-9395-dba5de34e012
Zeilennummern                 

Raw-Audit-Meldungen           

node=(entfernt) type=AVC msg=audit(1280484696.641:7): avc:  denied  { read } for  pid=1100 comm="NetworkManager" name="tmp" dev=sda3 ino=115331 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir

node=(entfernt) type=SYSCALL msg=audit(1280484696.641:7): arch=c000003e syscall=2 success=no exit=-13 a0=3219e3d93c a1=0 a2=1b6 a3=0 items=0 ppid=1 pid=1100 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="NetworkManager" exe="/usr/sbin/NetworkManager" subj=system_u:system_r:NetworkManager_t:s0 key=(null)


Hash String generated from  catchall,NetworkManager,NetworkManager_t,var_t,dir,read
audit2allow suggests:

#============= NetworkManager_t ==============
allow NetworkManager_t var_t:dir read;
Comment 1 Raphael Groner 2010-07-30 15:25:18 UTC 
It seems to happen always after each login.
Comment 2 Daniel Walsh 2010-07-30 18:40:25 UTC 
Looks like you have a mislabeled /var/tmp directroy

restorecon -R -v /var/tmp

Should fix.

If you delete and recreate this directory you have to run restorecon to make sure the label is correct.