Description of problem: Shows every time I login into my gnome account after I upgraded Fedora to 31 (not released yet) SELinux is preventing systemd-logind from 'read' accesses on the arquivo loader.conf. ***** Plugin catchall (100. confidence) suggests ************************** Se você acredita nisso systemd-logind deve ser permitido read acesso no loader.conf file por padrão. Then você deve informar que este é um erro. Você pode gerar um módulo de política local para permitir este acesso. Do permitir este acesso por agora executando: # ausearch -c 'systemd-logind'--raw | audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp Additional Information: Source Context system_u:system_r:systemd_logind_t:s0 Target Context system_u:object_r:dosfs_t:s0 Target Objects loader.conf [ file ] Source systemd-logind Source Path systemd-logind Port <Desconhecido> Host (removed) Source RPM Packages Target RPM Packages Policy RPM selinux-policy-3.14.4-32.fc31.noarch Selinux Enabled True Policy Type targeted Enforcing Mode Enforcing Host Name (removed) Platform Linux (removed) 5.3.0-0.rc6.git0.1.fc31.x86_64 #1 SMP Mon Aug 26 13:01:25 UTC 2019 x86_64 x86_64 Alert Count 249 First Seen 2019-09-09 00:45:53 -03 Last Seen 2019-09-12 11:13:25 -03 Local ID e37c9af4-f1a2-485e-8a0c-bd0e2d1f1b90 Raw Audit Messages type=AVC msg=audit(1568297605.718:467): avc: denied { read } for pid=874 comm="systemd-logind" name="loader.conf" dev="nvme0n1p1" ino=114 scontext=system_u:system_r:systemd_logind_t:s0 tcontext=system_u:object_r:dosfs_t:s0 tclass=file permissive=0 Hash: systemd-logind,systemd_logind_t,dosfs_t,file,read Version-Release number of selected component: selinux-policy-3.14.4-32.fc31.noarch Additional info: component: selinux-policy reporter: libreport-2.10.1 hashmarkername: setroubleshoot kernel: 5.3.0-0.rc6.git0.1.fc31.x86_64 type: libreport Potential duplicate: bug 1654834
Hi, Could you attach output from this command on system where ytou saw this SELinux denial? # find / -xdev -inum 114 And, are you using EFI boot? Thanks, Lukas.
(In reply to Lukas Vrabec from comment #1) > Hi, > > Could you attach output from this command on system where ytou saw this > SELinux denial? > > # find / -xdev -inum 114 > > > And, are you using EFI boot? > > > Thanks, > Lukas. Hi! Sorry for the delay I am using UEFI mode (pure, no CSM). I upgraded from 30 few days ago. find / -xdev -inum 114 returns what is below with sudo nothing is returned. ~#$ find / -xdev -inum 114 find: ‘/root’: Permissão negada find: ‘/etc/audit’: Permissão negada find: ‘/etc/cups/ssl’: Permissão negada find: ‘/etc/dhcp’: Permissão negada find: ‘/etc/firewalld’: Permissão negada find: ‘/etc/grub.d’: Permissão negada find: ‘/etc/libvirt’: Permissão negada find: ‘/etc/lvm/archive’: Permissão negada find: ‘/etc/lvm/backup’: Permissão negada find: ‘/etc/lvm/cache’: Permissão negada find: ‘/etc/nftables’: Permissão negada find: ‘/etc/openvpn/client’: Permissão negada find: ‘/etc/openvpn/server’: Permissão negada find: ‘/etc/pki/rsyslog’: Permissão negada find: ‘/etc/polkit-1/localauthority’: Permissão negada find: ‘/etc/polkit-1/rules.d’: Permissão negada find: ‘/etc/sssd’: Permissão negada find: ‘/etc/sudoers.d’: Permissão negada find: ‘/lost+found’: Permissão negada find: ‘/usr/libexec/initscripts/legacy-actions/auditd’: Permissão negada find: ‘/usr/share/polkit-1/rules.d’: Permissão negada find: ‘/usr/share/selinux/targeted/default/active’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/updates-modular-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/fedora-cisco-openh264-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/gitlab.com_paulcarroty_vscodium_repo-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/enpass-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/fedora-modular-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/updates-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/atim-gwe-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/updates-testing-modular-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/updates-testing-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/fedora-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-free-updates-testing-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-free-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-nonfree-updates-testing-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-nonfree-31-x86_64/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/PackageKit/31/metadata/rpmfusion-nonfree-steam-31-x86_64.tmp/gpgdir/private-keys-v1.d’: Permissão negada find: ‘/var/cache/dnf/fedora-cisco-openh264-3bbe8a0adcce9aa5/pubring/private-keys-v1.d’: Permissão negada find: ‘/var/cache/dnf/gitlab.com_paulcarroty_vscodium_repo-73e5289ecc571ef9/pubring/private-keys-v1.d’: Permissão negada find: ‘/var/cache/dnf/fedora-cisco-openh264-1e105a96250d41ff/pubring/private-keys-v1.d’: Permissão negada find: ‘/var/cache/dnf/fedora-cisco-openh264-f46e99fe6f6e25c4/pubring/private-keys-v1.d’: Permissão negada find: ‘/var/cache/httpd’: Permissão negada find: ‘/var/cache/ldconfig’: Permissão negada find: ‘/var/cache/libvirt’: Permissão negada find: ‘/var/cache/private’: Permissão negada find: ‘/var/cache/cups’: Permissão negada find: ‘/var/cache/lightdm/dmrc’: Permissão negada find: ‘/var/db/sudo’: Permissão negada find: ‘/var/empty/sshd’: Permissão negada find: ‘/var/lib/NetworkManager’: Permissão negada find: ‘/var/lib/authselect/backups/2019-04-24-05-55-48.qUfn3R’: Permissão negada find: ‘/var/lib/authselect/backups/2019-06-06-18-42-18.W89vYI’: Permissão negada find: ‘/var/lib/bluetooth/34:F6:4B:58:3F:C1’: Permissão negada find: ‘/var/lib/colord/.cache’: Permissão negada find: ‘/var/lib/fwupd/gnupg’: Permissão negada find: ‘/var/lib/gdm’: Permissão negada find: ‘/var/lib/gssproxy/clients’: Permissão negada find: ‘/var/lib/gssproxy/rcache’: Permissão negada find: ‘/var/lib/httpd’: Permissão negada find: ‘/var/lib/libvirt/qemu’: Permissão negada find: ‘/var/lib/libvirt/boot’: Permissão negada find: ‘/var/lib/libvirt/filesystems’: Permissão negada find: ‘/var/lib/libvirt/images’: Permissão negada find: ‘/var/lib/libvirt/network’: Permissão negada find: ‘/var/lib/libvirt/swtpm’: Permissão negada find: ‘/var/lib/machines’: Permissão negada find: ‘/var/lib/mlocate’: Permissão negada find: ‘/var/lib/nfs/statd’: Permissão negada find: ‘/var/lib/openvpn’: Permissão negada find: ‘/var/lib/polkit-1’: Permissão negada find: ‘/var/lib/portables’: Permissão negada find: ‘/var/lib/private’: Permissão negada find: ‘/var/lib/samba/private’: Permissão negada find: ‘/var/lib/samba/winbindd_privileged’: Permissão negada find: ‘/var/lib/selinux/final’: Permissão negada find: ‘/var/lib/selinux/targeted’: Permissão negada find: ‘/var/lib/sss/db’: Permissão negada find: ‘/var/lib/sss/deskprofile’: Permissão negada find: ‘/var/lib/sss/pipes/private’: Permissão negada find: ‘/var/lib/sss/secrets’: Permissão negada find: ‘/var/lib/tpm’: Permissão negada find: ‘/var/lib/udisks2’: Permissão negada find: ‘/var/lib/lightdm/.config’: Permissão negada find: ‘/var/lib/lightdm/.local’: Permissão negada find: ‘/var/lib/lightdm-data/lightdm’: Permissão negada find: ‘/var/lib/sddm’: Permissão negada find: ‘/var/lib/pulse’: Permissão negada find: ‘/var/lib/setroubleshoot’: Permissão negada find: ‘/var/lib/rsyslog’: Permissão negada find: ‘/var/log/audit’: Permissão negada find: ‘/var/log/gdm’: Permissão negada find: ‘/var/log/httpd’: Permissão negada find: ‘/var/log/ppp’: Permissão negada find: ‘/var/log/private’: Permissão negada find: ‘/var/log/samba’: Permissão negada find: ‘/var/log/speech-dispatcher’: Permissão negada find: ‘/var/log/sssd’: Permissão negada find: ‘/var/log/swtpm/libvirt/qemu’: Permissão negada find: ‘/var/log/libvirt’: Permissão negada find: ‘/var/spool/abrt-upload’: Permissão negada find: ‘/var/spool/abrt’: Permissão negada find: ‘/var/spool/at’: Permissão negada find: ‘/var/spool/cron’: Permissão negada find: ‘/var/spool/cups’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-bluetooth.service-vo7WSe’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-rtkit-daemon.service-0Fw0Cg’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-chronyd.service-Wjf8wj’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-dbus-broker.service-T5VeAi’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-systemd-logind.service-lKARci’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-colord.service-Lr0cjg’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-upower.service-QH2pri’: Permissão negada find: ‘/var/tmp/systemd-private-a7e027fffebf425f8e6a27047d684bd6-fwupd.service-CCfYih’: Permissão negada find: ‘/.cache’: Permissão negada
Could you please execute that command as root? # find / -xdev -inum 114
(In reply to Lukas Vrabec from comment #3) > Could you please execute that command as root? > > # find / -xdev -inum 114 I did it, actually. Just forgot to mention. I ran as my user, sudo and root. With sudo and root nothing is displayed. Should I expect some output or look at some specific log?
Tried ausearch -c 'systemd-logind'--raw | audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp as suggested by the erro reporting tool. The same result. With this message: ~#-> sudo ausearch -c 'systemd-logind'--raw | sudo audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp <no matches> Nothing to do
I noticed that is suggesting to run another command /sbin/restorecon -v /boot/efi/loader/loader.conf which I did run but still receiving the following message after boot: O SELinux está impedindo que o systemd-logind acesse o open no arquivo /boot/efi/loader/loader.conf. ***** Plugin restorecon (confiança 99.5) sugere **************************** Se você quiser consertar o rótulo.$TARGETO rótulo padrão _PATH deve ser boot_t. Entãovocê pode executar o restorecon. A tentativa de acesso pode ter sido interrompida devido a permissões insuficientes para acessar um diretório pai. Nesse caso, tente alterar o seguinte comando de acordo. Faça # /sbin/restorecon -v /boot/efi/loader/loader.conf ***** Plugin catchall (confiança 1.49) sugere ****************************** Se você acredita nisso systemd-logind deve ser permitido open acesso no loader.conf file por padrão. Entãovocê deve informar que este é um erro. Você pode gerar um módulo de política local para permitir este acesso. Faça permitir este acesso por agora executando: # ausearch -c 'systemd-logind'--raw | audit2allow -M my-systemdlogind # semodule -X 300 -i my-systemdlogind.pp Informação adicional: Contexto de origem system_u:system_r:systemd_logind_t:s0 Contexto de destino system_u:object_r:dosfs_t:s0 Objetos de destino /boot/efi/loader/loader.conf [ file ] Origem systemd-logind Caminho da origem systemd-logind Porta <Desconhecido> Máquina tars Pacotes RPM de origem Pacotes RPM de destino RPM da política selinux-policy-3.14.4-35.fc31.noarch Selinux habilitado True Tipo de política targeted Modo reforçado Enforcing Nome da máquina tars Plataforma Linux tars 5.3.0-1.fc31.x86_64 #1 SMP Mon Sep 16 12:34:42 UTC 2019 x86_64 x86_64 Contador de alertas 9 Visto pela primeira vez em 2019-09-26 11:38:53 -03 Visto pela última vez em 2019-09-26 11:39:03 -03 ID local 403937f7-7560-4381-a280-37997968d39c Mensagens de auditoria não processadas type=AVC msg=audit(1569508743.585:466): avc: denied { open } for pid=923 comm="systemd-logind" path="/boot/efi/loader/loader.conf" dev="nvme0n1p1" ino=114 scontext=system_u:system_r:systemd_logind_t:s0 tcontext=system_u:object_r:dosfs_t:s0 tclass=file permissive=0 Hash: systemd-logind,systemd_logind_t,dosfs_t,file,open
systemctl status systemd-logind.service ● systemd-logind.service - Login Service Loaded: loaded (/usr/lib/systemd/system/systemd-logind.service; static; vendor preset: disabled) Active: active (running) since Thu 2019-09-26 11:38:47 -03; 8min ago Docs: man:systemd-logind.service(8) man:logind.conf(5) https://www.freedesktop.org/wiki/Software/systemd/logind https://www.freedesktop.org/wiki/Software/systemd/multiseat Process: 888 ExecStartPre=/sbin/modprobe -abq drm (code=exited, status=1/FAILURE) Main PID: 923 (systemd-logind) Status: "Processing requests..." Tasks: 1 Memory: 6.0M CPU: 507ms CGroup: /system.slice/systemd-logind.service └─923 /usr/lib/systemd/systemd-logind set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:38:54 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:39:01 tars systemd-logind[923]: New session 2 of user marcelo. set 26 11:39:02 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:39:03 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:39:03 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:39:03 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied set 26 11:47:20 tars systemd-logind[923]: Failed to open "/boot/efi/loader/loader.conf": Permission denied
PR for Fedora: https://github.com/fedora-selinux/selinux-policy/pull/286
*** Bug 1758745 has been marked as a duplicate of this bug. ***
commit 626598424d91ec84dba4e27684c57828f704899a (HEAD -> rawhide, origin/rawhide) Author: Nikola Knazekova <nknazeko> Date: Fri Oct 4 17:21:06 2019 +0200 Allow systemd_logind to read dosfs files & dirs Allow systemd-logind - a system service that manages user logins, to read files and list dirs on a DOS filesystem Fixed Bugzilla: https://bugzilla.redhat.com/show_bug.cgi?id=1751766 https://bugzilla.redhat.com/show_bug.cgi?id=1752826
FEDORA-2019-fefda9dd5e has been submitted as an update to Fedora 31. https://bodhi.fedoraproject.org/updates/FEDORA-2019-fefda9dd5e
selinux-policy-3.14.4-42.fc31 has been pushed to the Fedora 31 testing repository. If problems still persist, please make note of it in this bug report. See https://fedoraproject.org/wiki/QA:Updates_Testing for instructions on how to install test updates. You can provide feedback for this update here: https://bodhi.fedoraproject.org/updates/FEDORA-2019-fefda9dd5e
container-selinux-2.123.0-2.fc31, selinux-policy-3.14.4-43.fc31 has been pushed to the Fedora 31 testing repository. If problems still persist, please make note of it in this bug report. See https://fedoraproject.org/wiki/QA:Updates_Testing for instructions on how to install test updates. You can provide feedback for this update here: https://bodhi.fedoraproject.org/updates/FEDORA-2019-fefda9dd5e
container-selinux-2.123.0-2.fc31, selinux-policy-3.14.4-43.fc31 has been pushed to the Fedora 31 stable repository. If problems still persist, please make note of it in this bug report.