Description of problem: ======================= This AVC happens a few minutes after reboot and it started happening after upgrading from FC37 to FC38. =========================================================================== SELinux impedisce a request-key un accesso execute su file /usr/sbin/key.dns_resolver. ⏎ ⏎ ***** Plugin catchall(100. confidenza) suggerisce************************** Se ci credi request-key dovrebbe essere consentito execute accesso al key.dns_resolver file per impostazione predefinita. Quindi si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso. Fai consentire questo accesso per ora eseguendo: # ausearch -c 'request-key' --raw | audit2allow -M my-$MODULE_NOME # semodule -X 300 -i miei-requestkey.pp Informazioni addizionali: Contesto della sorgente system_u:system_r:keyutils_request_t:s0 Contesto target system_u:object_r:bin_t:s0 Oggetti target /usr/sbin/key.dns_resolver [ file ] Sorgente request-key Percorso della sorgente request-key Porta <Sconosciuto> Host (removed) Sorgente Pacchetti RPM Pacchetti RPM target keyutils-1.6.1-6.fc38.x86_64 SELinux Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Local Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Selinux abilitato True Tipo di politica targeted Modalità Enforcing Permissive Host Name (removed) Piattaforma Linux dave.idp.it 6.2.15-300.fc38.x86_64 #1 SMP PREEMPT_DYNAMIC Thu May 11 17:37:39 UTC 2023 x86_64 Conteggio avvisi 1 Primo visto 2023-05-25 19:53:30 CEST Ultimo visto 2023-05-25 19:53:30 CEST ID locale 54f6522c-4ba0-4e80-9f74-fb92e29919c2 Messaggi Raw Audit type=AVC msg=audit(1685037210.654:272): avc: denied { execute } for pid=6519 comm="request-key" name="key.dns_resolver" dev="sde4" ino=12367621 scontext=system_u:system_r:keyutils_request_t:s0 tcontext=system_u:object_r:bin_t:s0 tclass=file permissive=1 Hash: request-key,keyutils_request_t,bin_t,file,execute The avc is also followed by these similar others: ================================================= ================================================================================ SELinux impedisce a request-key un accesso execute_no_trans su file /usr/sbin/key.dns_resolver. ⏎ ⏎ ***** Plugin catchall(100. confidenza) suggerisce************************** Se ci credi request-key dovrebbe essere consentito execute_no_trans accesso al key.dns_resolver file per impostazione predefinita. Quindi si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso. Fai consentire questo accesso per ora eseguendo: # ausearch -c 'request-key' --raw | audit2allow -M my-$MODULE_NOME # semodule -X 300 -i miei-requestkey.pp Informazioni addizionali: Contesto della sorgente system_u:system_r:keyutils_request_t:s0 Contesto target system_u:object_r:bin_t:s0 Oggetti target /usr/sbin/key.dns_resolver [ file ] Sorgente request-key Percorso della sorgente request-key Porta <Sconosciuto> Host dave.idp.it Sorgente Pacchetti RPM Pacchetti RPM target keyutils-1.6.1-6.fc38.x86_64 SELinux Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Local Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Selinux abilitato True Tipo di politica targeted Modalità Enforcing Permissive Host Name dave.idp.it Piattaforma Linux dave.idp.it 6.2.15-300.fc38.x86_64 #1 SMP PREEMPT_DYNAMIC Thu May 11 17:37:39 UTC 2023 x86_64 Conteggio avvisi 1 Primo visto 2023-05-25 19:53:30 CEST Ultimo visto 2023-05-25 19:53:30 CEST ID locale 0c0b4663-14a5-4f8e-b8ca-81d606d921e0 Messaggi Raw Audit type=AVC msg=audit(1685037210.654:273): avc: denied { execute_no_trans } for pid=6519 comm="request-key" path="/usr/sbin/key.dns_resolver" dev="sde4" ino=12367621 scontext=system_u:system_r:keyutils_request_t:s0 tcontext=system_u:object_r:bin_t:s0 tclass=file permissive=1 Hash: request-key,keyutils_request_t,bin_t,file,execute_no_trans ================================================================================= SELinux impedisce a key.dns_resolve un accesso map su file /usr/sbin/key.dns_resolver. ⏎ ⏎ ***** Plugin catchall_boolean(89.3 confidenza) suggerisce****************** Se lo desidera allow domain to can mmap files Quindi è necessario informare SELinux abilitando il booleano 'domain_can_mmap_files' . Fai setsebool -P domain_can_mmap_files 1 ⏎ ⏎ ***** Plugin catchall(11.6 confidenza) suggerisce************************** Se ci credi key.dns_resolve dovrebbe essere consentito map accesso al key.dns_resolver file per impostazione predefinita. Quindi si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso. Fai consentire questo accesso per ora eseguendo: # ausearch -c 'key.dns_resolve' --raw | audit2allow -M my-$MODULE_NOME # semodule -X 300 -i miei-keydnsresolve.pp Informazioni addizionali: Contesto della sorgente system_u:system_r:keyutils_request_t:s0 Contesto target system_u:object_r:bin_t:s0 Oggetti target /usr/sbin/key.dns_resolver [ file ] Sorgente key.dns_resolve Percorso della sorgente key.dns_resolve Porta <Sconosciuto> Host dave.idp.it Sorgente Pacchetti RPM Pacchetti RPM target keyutils-1.6.1-6.fc38.x86_64 SELinux Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Local Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Selinux abilitato True Tipo di politica targeted Modalità Enforcing Permissive Host Name dave.idp.it Piattaforma Linux dave.idp.it 6.2.15-300.fc38.x86_64 #1 SMP PREEMPT_DYNAMIC Thu May 11 17:37:39 UTC 2023 x86_64 Conteggio avvisi 1 Primo visto 2023-05-25 19:53:30 CEST Ultimo visto 2023-05-25 19:53:30 CEST ID locale 48918802-2963-4261-8029-e0bc27b78e74 Messaggi Raw Audit type=AVC msg=audit(1685037210.657:274): avc: denied { map } for pid=6519 comm="key.dns_resolve" path="/usr/sbin/key.dns_resolver" dev="sde4" ino=12367621 scontext=system_u:system_r:keyutils_request_t:s0 tcontext=system_u:object_r:bin_t:s0 tclass=file permissive=1 Hash: key.dns_resolve,keyutils_request_t,bin_t,file,map ============================================================================== SELinux impedisce a key.dns_resolve un accesso getattr su file /etc/resolv.conf. ⏎ ⏎ ***** Plugin catchall(100. confidenza) suggerisce************************** Se ci credi key.dns_resolve dovrebbe essere consentito getattr accesso al resolv.conf file per impostazione predefinita. Quindi si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso. Fai consentire questo accesso per ora eseguendo: # ausearch -c 'key.dns_resolve' --raw | audit2allow -M my-$MODULE_NOME # semodule -X 300 -i miei-keydnsresolve.pp Informazioni addizionali: Contesto della sorgente system_u:system_r:keyutils_request_t:s0 Contesto target system_u:object_r:net_conf_t:s0 Oggetti target /etc/resolv.conf [ file ] Sorgente key.dns_resolve Percorso della sorgente key.dns_resolve Porta <Sconosciuto> Host dave.idp.it Sorgente Pacchetti RPM Pacchetti RPM target SELinux Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Local Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Selinux abilitato True Tipo di politica targeted Modalità Enforcing Permissive Host Name dave.idp.it Piattaforma Linux dave.idp.it 6.2.15-300.fc38.x86_64 #1 SMP PREEMPT_DYNAMIC Thu May 11 17:37:39 UTC 2023 x86_64 Conteggio avvisi 1 Primo visto 2023-05-25 19:53:30 CEST Ultimo visto 2023-05-25 19:53:30 CEST ID locale ec440d16-d7f3-4f5d-a0e1-fecc718b714a Messaggi Raw Audit type=AVC msg=audit(1685037210.661:275): avc: denied { getattr } for pid=6519 comm="key.dns_resolve" path="/etc/resolv.conf" dev="sde4" ino=13064657 scontext=system_u:system_r:keyutils_request_t:s0 tcontext=system_u:object_r:net_conf_t:s0 tclass=file permissive=1 Hash: key.dns_resolve,keyutils_request_t,net_conf_t,file,getattr ================================================================================ SELinux impedisce a key.dns_resolve un accesso read su file /etc/resolv.conf. ⏎ ⏎ ***** Plugin catchall(100. confidenza) suggerisce************************** Se ci credi key.dns_resolve dovrebbe essere consentito read accesso al resolv.conf file per impostazione predefinita. Quindi si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso. Fai consentire questo accesso per ora eseguendo: # ausearch -c 'key.dns_resolve' --raw | audit2allow -M my-$MODULE_NOME # semodule -X 300 -i miei-keydnsresolve.pp Informazioni addizionali: Contesto della sorgente system_u:system_r:keyutils_request_t:s0 Contesto target system_u:object_r:net_conf_t:s0 Oggetti target /etc/resolv.conf [ file ] Sorgente key.dns_resolve Percorso della sorgente key.dns_resolve Porta <Sconosciuto> Host dave.idp.it Sorgente Pacchetti RPM Pacchetti RPM target SELinux Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Local Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Selinux abilitato True Tipo di politica targeted Modalità Enforcing Permissive Host Name dave.idp.it Piattaforma Linux dave.idp.it 6.2.15-300.fc38.x86_64 #1 SMP PREEMPT_DYNAMIC Thu May 11 17:37:39 UTC 2023 x86_64 Conteggio avvisi 1 Primo visto 2023-05-25 19:53:30 CEST Ultimo visto 2023-05-25 19:53:30 CEST ID locale 0dea554a-90b0-49be-848d-f5b0d7efe21f Messaggi Raw Audit type=AVC msg=audit(1685037210.661:276): avc: denied { read } for pid=6519 comm="key.dns_resolve" name="resolv.conf" dev="sde4" ino=13064657 scontext=system_u:system_r:keyutils_request_t:s0 tcontext=system_u:object_r:net_conf_t:s0 tclass=file permissive=1 Hash: key.dns_resolve,keyutils_request_t,net_conf_t,file,read =============================================================================== SELinux impedisce a key.dns_resolve un accesso open su file /etc/resolv.conf. ⏎ ⏎ ***** Plugin catchall(100. confidenza) suggerisce************************** Se ci credi key.dns_resolve dovrebbe essere consentito open accesso al resolv.conf file per impostazione predefinita. Quindi si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso. Fai consentire questo accesso per ora eseguendo: # ausearch -c 'key.dns_resolve' --raw | audit2allow -M my-$MODULE_NOME # semodule -X 300 -i miei-keydnsresolve.pp Informazioni addizionali: Contesto della sorgente system_u:system_r:keyutils_request_t:s0 Contesto target system_u:object_r:net_conf_t:s0 Oggetti target /etc/resolv.conf [ file ] Sorgente key.dns_resolve Percorso della sorgente key.dns_resolve Porta <Sconosciuto> Host dave.idp.it Sorgente Pacchetti RPM Pacchetti RPM target SELinux Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Local Policy RPM selinux-policy-targeted-38.12-1.fc38.noarch Selinux abilitato True Tipo di politica targeted Modalità Enforcing Permissive Host Name dave.idp.it Piattaforma Linux dave.idp.it 6.2.15-300.fc38.x86_64 #1 SMP PREEMPT_DYNAMIC Thu May 11 17:37:39 UTC 2023 x86_64 Conteggio avvisi 1 Primo visto 2023-05-25 19:53:30 CEST Ultimo visto 2023-05-25 19:53:30 CEST ID locale c7a04017-7d78-402a-adc7-fc4870598a79 Messaggi Raw Audit type=AVC msg=audit(1685037210.661:277): avc: denied { open } for pid=6519 comm="key.dns_resolve" path="/etc/resolv.conf" dev="sde4" ino=13064657 scontext=system_u:system_r:keyutils_request_t:s0 tcontext=system_u:object_r:net_conf_t:s0 tclass=file permissive=1 Hash: key.dns_resolve,keyutils_request_t,net_conf_t,file,open ==============================================================================
*** This bug has been marked as a duplicate of bug 2182643 ***