Bug 1751766 - SELinux is preventing systemd-logind from 'read' accesses on the arquivo loader.conf.
Summary: SELinux is preventing systemd-logind from 'read' accesses on the arquivo load...
Keywords:
Status: CLOSED ERRATA
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: 31
Hardware: x86_64
OS: Unspecified
medium
medium
Target Milestone: ---
Assignee: Nikola Knazekova
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: abrt_hash:c2e121a38441168767c8529af42...
: 1758745 (view as bug list)
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2019-09-12 14:32 UTC by msmafra
Modified: 2019-12-11 02:05 UTC (History)
5 users (show)

Fixed In Version: selinux-policy-3.14.4-43.fc31
Doc Type: If docs needed, set a value
Doc Text:
Clone Of:
Environment:
Last Closed: 2019-12-11 02:05:52 UTC
Type: ---
Embargoed:


Attachments (Terms of Use)

Description msmafra 2019-09-12 14:32:32 UTC
Description of problem:
Shows every time I login into my gnome account after I upgraded Fedora to  31 (not released yet)
SELinux is preventing systemd-logind from 'read' accesses on the arquivo loader.conf.

*****  Plugin catchall (100. confidence) suggests   **************************

Se você acredita nisso systemd-logind deve ser permitido read acesso no loader.conf file por padrão.
Then você deve informar que este é um erro.
Você pode gerar um módulo de política local para permitir este acesso.
Do
permitir este acesso por agora executando: # ausearch -c 'systemd-logind'--raw | audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp

Additional Information:
Source Context                system_u:system_r:systemd_logind_t:s0
Target Context                system_u:object_r:dosfs_t:s0
Target Objects                loader.conf [ file ]
Source                        systemd-logind
Source Path                   systemd-logind
Port                          <Desconhecido>
Host                          (removed)
Source RPM Packages           
Target RPM Packages           
Policy RPM                    selinux-policy-3.14.4-32.fc31.noarch
Selinux Enabled               True
Policy Type                   targeted
Enforcing Mode                Enforcing
Host Name                     (removed)
Platform                      Linux (removed) 5.3.0-0.rc6.git0.1.fc31.x86_64 #1
                              SMP Mon Aug 26 13:01:25 UTC 2019 x86_64 x86_64
Alert Count                   249
First Seen                    2019-09-09 00:45:53 -03
Last Seen                     2019-09-12 11:13:25 -03
Local ID                      e37c9af4-f1a2-485e-8a0c-bd0e2d1f1b90

Raw Audit Messages
type=AVC msg=audit(1568297605.718:467): avc:  denied  { read } for  pid=874 comm="systemd-logind" name="loader.conf" dev="nvme0n1p1" ino=114 scontext=system_u:system_r:systemd_logind_t:s0 tcontext=system_u:object_r:dosfs_t:s0 tclass=file permissive=0


Hash: systemd-logind,systemd_logind_t,dosfs_t,file,read

Version-Release number of selected component:
selinux-policy-3.14.4-32.fc31.noarch

Additional info:
component:      selinux-policy
reporter:       libreport-2.10.1
hashmarkername: setroubleshoot
kernel:         5.3.0-0.rc6.git0.1.fc31.x86_64
type:           libreport

Potential duplicate: bug 1654834

Comment 1 Lukas Vrabec 2019-09-12 15:52:34 UTC
Hi, 

Could you attach output from this command on system where ytou saw this SELinux denial? 

# find / -xdev -inum 114


And, are you using EFI boot? 


Thanks,
Lukas.

Comment 2 msmafra 2019-09-13 12:04:38 UTC
(In reply to Lukas Vrabec from comment #1)
> Hi, 
> 
> Could you attach output from this command on system where ytou saw this
> SELinux denial? 
> 
> # find / -xdev -inum 114
> 
> 
> And, are you using EFI boot? 
> 
> 
> Thanks,
> Lukas.

Hi!
Sorry for the delay
I am using UEFI mode (pure, no CSM). I upgraded from 30 few days ago.
find / -xdev -inum 114 returns what is below with sudo nothing is returned.

~#$ find / -xdev -inum 114
find: ‘/root’: Permissão negada
find: ‘/etc/audit’: Permissão negada
find: ‘/etc/cups/ssl’: Permissão negada
find: ‘/etc/dhcp’: Permissão negada
find: ‘/etc/firewalld’: Permissão negada
find: ‘/etc/grub.d’: Permissão negada
find: ‘/etc/libvirt’: Permissão negada
find: ‘/etc/lvm/archive’: Permissão negada
find: ‘/etc/lvm/backup’: Permissão negada
find: ‘/etc/lvm/cache’: Permissão negada
find: ‘/etc/nftables’: Permissão negada
find: ‘/etc/openvpn/client’: Permissão negada
find: ‘/etc/openvpn/server’: Permissão negada
find: ‘/etc/pki/rsyslog’: Permissão negada
find: ‘/etc/polkit-1/localauthority’: Permissão negada
find: ‘/etc/polkit-1/rules.d’: Permissão negada
find: ‘/etc/sssd’: Permissão negada
find: ‘/etc/sudoers.d’: Permissão negada
find: ‘/lost+found’: Permissão negada
find: ‘/usr/libexec/initscripts/legacy-actions/auditd’: Permissão negada
find: ‘/usr/share/polkit-1/rules.d’: Permissão negada
find: ‘/usr/share/selinux/targeted/default/active’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/updates-modular-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/fedora-cisco-openh264-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/gitlab.com_paulcarroty_vscodium_repo-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/enpass-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/fedora-modular-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/updates-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/atim-gwe-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/updates-testing-modular-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/updates-testing-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/fedora-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-free-updates-testing-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-free-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-nonfree-updates-testing-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-nonfree-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-nonfree-steam-31-x86_64.tmp/gpgdir/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/dnf/fedora-cisco-openh264-3bbe8a0adcce9aa5/pubring/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/dnf/gitlab.com_paulcarroty_vscodium_repo-73e5289ecc571ef9/pubring/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/dnf/fedora-cisco-openh264-1e105a96250d41ff/pubring/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/dnf/fedora-cisco-openh264-f46e99fe6f6e25c4/pubring/private-keys-v1.d’: Permissão negada
find: ‘/var/cache/httpd’: Permissão negada
find: ‘/var/cache/ldconfig’: Permissão negada
find: ‘/var/cache/libvirt’: Permissão negada
find: ‘/var/cache/private’: Permissão negada
find: ‘/var/cache/cups’: Permissão negada
find: ‘/var/cache/lightdm/dmrc’: Permissão negada
find: ‘/var/db/sudo’: Permissão negada
find: ‘/var/empty/sshd’: Permissão negada
find: ‘/var/lib/NetworkManager’: Permissão negada
find: ‘/var/lib/authselect/backups/2019-04-24-05-55-48.qUfn3R’: Permissão negada
find: ‘/var/lib/authselect/backups/2019-06-06-18-42-18.W89vYI’: Permissão negada
find: ‘/var/lib/bluetooth/34:F6:4B:58:3F:C1’: Permissão negada
find: ‘/var/lib/colord/.cache’: Permissão negada
find: ‘/var/lib/fwupd/gnupg’: Permissão negada
find: ‘/var/lib/gdm’: Permissão negada
find: ‘/var/lib/gssproxy/clients’: Permissão negada
find: ‘/var/lib/gssproxy/rcache’: Permissão negada
find: ‘/var/lib/httpd’: Permissão negada
find: ‘/var/lib/libvirt/qemu’: Permissão negada
find: ‘/var/lib/libvirt/boot’: Permissão negada
find: ‘/var/lib/libvirt/filesystems’: Permissão negada
find: ‘/var/lib/libvirt/images’: Permissão negada
find: ‘/var/lib/libvirt/network’: Permissão negada
find: ‘/var/lib/libvirt/swtpm’: Permissão negada
find: ‘/var/lib/machines’: Permissão negada
find: ‘/var/lib/mlocate’: Permissão negada
find: ‘/var/lib/nfs/statd’: Permissão negada
find: ‘/var/lib/openvpn’: Permissão negada
find: ‘/var/lib/polkit-1’: Permissão negada
find: ‘/var/lib/portables’: Permissão negada
find: ‘/var/lib/private’: Permissão negada
find: ‘/var/lib/samba/private’: Permissão negada
find: ‘/var/lib/samba/winbindd_privileged’: Permissão negada
find: ‘/var/lib/selinux/final’: Permissão negada
find: ‘/var/lib/selinux/targeted’: Permissão negada
find: ‘/var/lib/sss/db’: Permissão negada
find: ‘/var/lib/sss/deskprofile’: Permissão negada
find: ‘/var/lib/sss/pipes/private’: Permissão negada
find: ‘/var/lib/sss/secrets’: Permissão negada
find: ‘/var/lib/tpm’: Permissão negada
find: ‘/var/lib/udisks2’: Permissão negada
find: ‘/var/lib/lightdm/.config’: Permissão negada
find: ‘/var/lib/lightdm/.local’: Permissão negada
find: ‘/var/lib/lightdm-data/lightdm’: Permissão negada
find: ‘/var/lib/sddm’: Permissão negada
find: ‘/var/lib/pulse’: Permissão negada
find: ‘/var/lib/setroubleshoot’: Permissão negada
find: ‘/var/lib/rsyslog’: Permissão negada
find: ‘/var/log/audit’: Permissão negada
find: ‘/var/log/gdm’: Permissão negada
find: ‘/var/log/httpd’: Permissão negada
find: ‘/var/log/ppp’: Permissão negada
find: ‘/var/log/private’: Permissão negada
find: ‘/var/log/samba’: Permissão negada
find: ‘/var/log/speech-dispatcher’: Permissão negada
find: ‘/var/log/sssd’: Permissão negada
find: ‘/var/log/swtpm/libvirt/qemu’: Permissão negada
find: ‘/var/log/libvirt’: Permissão negada
find: ‘/var/spool/abrt-upload’: Permissão negada
find: ‘/var/spool/abrt’: Permissão negada
find: ‘/var/spool/at’: Permissão negada
find: ‘/var/spool/cron’: Permissão negada
find: ‘/var/spool/cups’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-bluetooth.service-vo7WSe’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-rtkit-daemon.service-0Fw0Cg’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-chronyd.service-Wjf8wj’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-dbus-broker.service-T5VeAi’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-systemd-logind.service-lKARci’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-colord.service-Lr0cjg’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-upower.service-QH2pri’: Permissão negada
find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-fwupd.service-CCfYih’: Permissão negada
find: ‘/.cache’: Permissão negada

Comment 3 Lukas Vrabec 2019-09-13 14:37:31 UTC
Could you please execute that command as root? 

# find / -xdev -inum 114

Comment 4 msmafra 2019-09-13 15:01:15 UTC
(In reply to Lukas Vrabec from comment #3)
> Could you please execute that command as root? 
> 
> # find / -xdev -inum 114

I did it, actually. Just forgot to mention. I ran as my user, sudo and root. With sudo and root nothing is displayed. Should I expect some output or look at some specific log?

Comment 5 msmafra 2019-09-26 14:37:54 UTC
Tried ausearch -c 'systemd-logind'--raw | audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp as suggested by the erro reporting tool. The same result. With this message:

~#-> sudo ausearch -c 'systemd-logind'--raw | sudo audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp
<no matches>
Nothing to do

Comment 6 msmafra 2019-09-26 14:43:15 UTC
I noticed that is suggesting to run another command /sbin/restorecon -v /boot/efi/loader/loader.conf which I did run but still receiving the following message after boot:


O SELinux está impedindo que o systemd-logind acesse o open no arquivo /boot/efi/loader/loader.conf.

*****  Plugin restorecon (confiança 99.5) sugere  ****************************

Se você quiser consertar o rótulo.$TARGETO rótulo padrão _PATH deve ser boot_t.
Entãovocê pode executar o restorecon. A tentativa de acesso pode ter sido interrompida devido a permissões insuficientes para acessar um diretório pai. Nesse caso, tente alterar o seguinte comando de acordo.
Faça
# /sbin/restorecon -v /boot/efi/loader/loader.conf

*****  Plugin catchall (confiança 1.49) sugere  ******************************

Se você acredita nisso systemd-logind deve ser permitido open acesso no loader.conf file por padrão.
Entãovocê deve informar que este é um erro.
Você pode gerar um módulo de política local para permitir este acesso.
Faça
permitir este acesso por agora executando: # ausearch -c 'systemd-logind'--raw | audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp

Informação adicional:
Contexto de origem            system_u:system_r:systemd_logind_t:s0
Contexto de destino           system_u:object_r:dosfs_t:s0
Objetos de destino            /boot/efi/loader/loader.conf [ file ]
Origem                        systemd-logind
Caminho da origem             systemd-logind
Porta                         <Desconhecido>
Máquina                       tars
Pacotes RPM de origem         
Pacotes RPM de destino        
RPM da política               selinux-policy-3.14.4-35.fc31.noarch
Selinux habilitado            True
Tipo de política              targeted
Modo reforçado                Enforcing
Nome da máquina               tars
Plataforma                    Linux tars 5.3.0-1.fc31.x86_64 #1 SMP Mon Sep 16
                              12:34:42 UTC 2019 x86_64 x86_64
Contador de alertas           9
Visto pela primeira vez em    2019-09-26 11:38:53 -03
Visto pela última vez em      2019-09-26 11:39:03 -03
ID local                      403937f7-7560-4381-a280-37997968d39c

Mensagens de auditoria não processadas
type=AVC msg=audit(1569508743.585:466): avc:  denied  { open } for  pid=923 comm="systemd-logind" path="/boot/efi/loader/loader.conf" dev="nvme0n1p1" ino=114 scontext=system_u:system_r:systemd_logind_t:s0 tcontext=system_u:object_r:dosfs_t:s0 tclass=file permissive=0


Hash: systemd-logind,systemd_logind_t,dosfs_t,file,open

Comment 7 msmafra 2019-09-26 14:48:25 UTC
systemctl status systemd-logind.service

● systemd-logind.service - Login Service
   Loaded: loaded (/usr/lib/systemd/system/systemd-logind.service; static; vendor preset: disabled)
   Active: active (running) since Thu 2019-09-26 11:38:47 -03; 8min ago
     Docs: man:systemd-logind.service(8)
           man:logind.conf(5)
           https://www.freedesktop.org/wiki/Software/systemd/logind
           https://www.freedesktop.org/wiki/Software/systemd/multiseat
  Process: 888 ExecStartPre=/sbin/modprobe -abq drm (code=exited, status=1/FAILURE)
 Main PID: 923 (systemd-logind)
   Status: "Processing requests..."
    Tasks: 1
   Memory: 6.0M
      CPU: 507ms
   CGroup: /system.slice/systemd-logind.service
           └─923 /usr/lib/systemd/systemd-logind

set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:39:01 tars systemd-logind[923]: New session 2 of user marcelo.
set 26 11:39:02 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:39:03 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:39:03 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:39:03 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
set 26 11:47:20 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied

Comment 8 Nikola Knazekova 2019-10-07 07:33:28 UTC
PR for Fedora: https://github.com/fedora-selinux/selinux-policy/pull/286

Comment 9 Lukas Vrabec 2019-10-07 11:21:32 UTC
*** Bug 1758745 has been marked as a duplicate of this bug. ***

Comment 10 Lukas Vrabec 2019-10-07 11:34:42 UTC
commit 626598424d91ec84dba4e27684c57828f704899a (HEAD -> rawhide, origin/rawhide)
Author: Nikola Knazekova <nknazeko>
Date:   Fri Oct 4 17:21:06 2019 +0200

    Allow systemd_logind to read dosfs files & dirs
    Allow systemd-logind - a system service that manages user logins, to read files and list dirs on a DOS filesystem
    
    Fixed Bugzilla:
    https://bugzilla.redhat.com/show_bug.cgi?id=1751766
    https://bugzilla.redhat.com/show_bug.cgi?id=1752826

Comment 12 Fedora Update System 2019-11-22 16:17:25 UTC
FEDORA-2019-fefda9dd5e has been submitted as an update to Fedora 31. https://bodhi.fedoraproject.org/updates/FEDORA-2019-fefda9dd5e

Comment 13 Fedora Update System 2019-11-23 02:39:13 UTC
selinux-policy-3.14.4-42.fc31 has been pushed to the Fedora 31 testing repository. If problems still persist, please make note of it in this bug report.
See https://fedoraproject.org/wiki/QA:Updates_Testing for
instructions on how to install test updates.
You can provide feedback for this update here: https://bodhi.fedoraproject.org/updates/FEDORA-2019-fefda9dd5e

Comment 14 Fedora Update System 2019-12-06 18:02:30 UTC
FEDORA-2019-fefda9dd5e has been submitted as an update to Fedora 31. https://bodhi.fedoraproject.org/updates/FEDORA-2019-fefda9dd5e

Comment 15 Fedora Update System 2019-12-07 03:38:21 UTC
container-selinux-2.123.0-2.fc31, selinux-policy-3.14.4-43.fc31 has been pushed to the Fedora 31 testing repository. If problems still persist, please make note of it in this bug report.
See https://fedoraproject.org/wiki/QA:Updates_Testing for
instructions on how to install test updates.
You can provide feedback for this update here: https://bodhi.fedoraproject.org/updates/FEDORA-2019-fefda9dd5e

Comment 16 Fedora Update System 2019-12-11 02:05:52 UTC
container-selinux-2.123.0-2.fc31, selinux-policy-3.14.4-43.fc31 has been pushed to the Fedora 31 stable repository. If problems still persist, please make note of it in this bug report.


Note You need to log in before you can comment on or make changes to this bug.