Zusammenfassung: SELinux hindert den restorecon daran, evtl. falsch gekennzeichnete Dateien zu verwenden (/tmp/kde-simon/konsolehX2640.tmp). Detaillierte Beschreibung: SELinux verweigerte restorecon den Zugriff auf potentiell falsch gekennzeichnete Dateien (/tmp/kde-simon/konsolehX2640.tmp). Dies bedeutet, dass SELinux restorecon die Verwendung dieser Dateien untersagt. Es ist üblich, dass Benutzer Dateien in Ihrem Benutzerverzeichnis oder in temporären Verzeichnissen editieren und dann in Systemverzeichnisse verschieben (mv). Das Problem ist, dass diese dort mit einem Dateikontext abgelegt werden, auf den bestimmte Anwendungen nicht zugreifen dürfen. Zugriff erlauben: Wenn Sie restorecon den Zugriff auf diese Dateien erlauben möchten, müssen Sie diese mit restorecon -v /tmp/kde-simon/konsolehX2640.tmp neu kennzeichnen. Sie können auch gleich das ganze Verzeichnis mit restorecon -R -v /tmp/kde-simon neu kennzeichnen. Zusätzliche Informationen: Quellkontext unconfined_u:unconfined_r:setfiles_t:s0 Zielkontext unconfined_u:object_r:user_tmp_t:s0 Zielobjekte /tmp/kde-simon/konsolehX2640.tmp [ file ] Quelle restorecon Quellen-Pfad /sbin/setfiles Port <Unbekannt> Host hp550-01 Quellen-RPM-Pakete policycoreutils-2.0.57-17.fc10 Ziel-RPM-Pakete RPM-Richtlinie selinux-policy-3.5.13-47.fc10 SELinux aktiviert True Richtlinienversion targeted MLS aktiviert True Enforcing-Modus Enforcing Plugin-Name home_tmp_bad_labels Hostname hp550-01 Plattform Linux hp550-01 2.6.27.19-170.2.35.fc10.x86_64 #1 SMP Mon Feb 23 13:00:23 EST 2009 x86_64 x86_64 Anzahl der Alarme 3 Zuerst gesehen Mo 16 Mär 2009 17:53:19 CET Zuletzt gesehen Mo 16 Mär 2009 17:54:56 CET Lokale ID 53c9b682-3361-4873-b105-31417931b8a7 Zeilennummern Raw-Audit-Meldungen node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc: denied { read } for pid=2686 comm="restorecon" path="/tmp/kde-simon/konsolehX2640.tmp" dev=sda6 ino=370188 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc: denied { read } for pid=2686 comm="restorecon" path="/tmp/kde-simon/konsoleSL2640.tmp" dev=sda6 ino=370189 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc: denied { read } for pid=2686 comm="restorecon" path="/tmp/kde-simon/konsolenn2640.tmp" dev=sda6 ino=370190 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file node=hp550-01 type=SYSCALL msg=audit(1237222496.744:22): arch=c000003e syscall=59 success=yes exit=0 a0=12d7850 a1=12d3020 a2=12c5ea0 a3=8 items=0 ppid=2651 pid=2686 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="restorecon" exe="/sbin/setfiles" subj=unconfined_u:unconfined_r:setfiles_t:s0 key=(null)
THis is caused by a leaked file descriptor in konsole. Can be ignored from an SELinux point of view. kde code should be cleaned up to close open file descriptors before exec fcntl(fd, F_SETFD, FD_CLOEXEC)
*** This bug has been marked as a duplicate of bug 484370 ***