490751 – SELinux hindert den restorecon daran, evtl. falsch gekennzeichnete Dateien zu verwenden (/tmp/kde-simon/konsolehX2640.tmp).

Bug 490751 - SELinux hindert den restorecon daran, evtl. falsch gekennzeichnete Dateien zu verwenden (/tmp/kde-simon/konsolehX2640.tmp).

Summary: SELinux hindert den restorecon daran, evtl. falsch gekennzeichnete Dateien zu...

Keywords:
Status:	CLOSED DUPLICATE of bug 484370
Alias:	None
Product:	Fedora
Classification:	Fedora
Component:	kdebase
Sub Component:
Version:	10
Hardware:	x86_64
OS:	Linux
Priority:	low
Severity:	urgent
Target Milestone:	---
Assignee:	Than Ngo
QA Contact:	Fedora Extras Quality Assurance
Docs Contact:
URL:
Whiteboard:
Depends On:
Blocks:
TreeView+	depends on / blocked

Reported:	2009-03-17 19:57 UTC by Simon Lewis
Modified:	2009-03-18 13:23 UTC (History)
CC List:	11 users (show)
Fixed In Version:
Doc Type:	Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed:	2009-03-18 13:23:09 UTC
Type:	---
Embargoed:
Dependent Products:

Attachments	(Terms of Use)

Description Simon Lewis 2009-03-17 19:57:20 UTC

Zusammenfassung:

SELinux hindert den restorecon daran, evtl. falsch gekennzeichnete Dateien zu
verwenden (/tmp/kde-simon/konsolehX2640.tmp).

Detaillierte Beschreibung:

SELinux verweigerte restorecon den Zugriff auf potentiell falsch gekennzeichnete
Dateien (/tmp/kde-simon/konsolehX2640.tmp). Dies bedeutet, dass SELinux
restorecon die Verwendung dieser Dateien untersagt. Es ist üblich, dass
Benutzer Dateien in Ihrem Benutzerverzeichnis oder in temporären Verzeichnissen
editieren und dann in Systemverzeichnisse verschieben (mv). Das Problem ist,
dass diese dort mit einem Dateikontext abgelegt werden, auf den bestimmte
Anwendungen nicht zugreifen dürfen.

Zugriff erlauben:

Wenn Sie restorecon den Zugriff auf diese Dateien erlauben möchten, müssen Sie
diese mit restorecon -v /tmp/kde-simon/konsolehX2640.tmp neu kennzeichnen. Sie
können auch gleich das ganze Verzeichnis mit restorecon -R -v /tmp/kde-simon
neu kennzeichnen.

Zusätzliche Informationen:

Quellkontext                  unconfined_u:unconfined_r:setfiles_t:s0
Zielkontext                   unconfined_u:object_r:user_tmp_t:s0
Zielobjekte                   /tmp/kde-simon/konsolehX2640.tmp [ file ]
Quelle                        restorecon
Quellen-Pfad                  /sbin/setfiles
Port                          <Unbekannt>
Host                          hp550-01
Quellen-RPM-Pakete            policycoreutils-2.0.57-17.fc10
Ziel-RPM-Pakete               
RPM-Richtlinie                selinux-policy-3.5.13-47.fc10
SELinux aktiviert             True
Richtlinienversion            targeted
MLS aktiviert                 True
Enforcing-Modus               Enforcing
Plugin-Name                   home_tmp_bad_labels
Hostname                      hp550-01
Plattform                     Linux hp550-01 2.6.27.19-170.2.35.fc10.x86_64 #1
                              SMP Mon Feb 23 13:00:23 EST 2009 x86_64 x86_64
Anzahl der Alarme             3
Zuerst gesehen                Mo 16 Mär 2009 17:53:19 CET
Zuletzt gesehen               Mo 16 Mär 2009 17:54:56 CET
Lokale ID                     53c9b682-3361-4873-b105-31417931b8a7
Zeilennummern                 

Raw-Audit-Meldungen           

node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc:  denied  { read } for  pid=2686 comm="restorecon" path="/tmp/kde-simon/konsolehX2640.tmp" dev=sda6 ino=370188 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file

node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc:  denied  { read } for  pid=2686 comm="restorecon" path="/tmp/kde-simon/konsoleSL2640.tmp" dev=sda6 ino=370189 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file

node=hp550-01 type=AVC msg=audit(1237222496.744:22): avc:  denied  { read } for  pid=2686 comm="restorecon" path="/tmp/kde-simon/konsolenn2640.tmp" dev=sda6 ino=370190 scontext=unconfined_u:unconfined_r:setfiles_t:s0 tcontext=unconfined_u:object_r:user_tmp_t:s0 tclass=file

node=hp550-01 type=SYSCALL msg=audit(1237222496.744:22): arch=c000003e syscall=59 success=yes exit=0 a0=12d7850 a1=12d3020 a2=12c5ea0 a3=8 items=0 ppid=2651 pid=2686 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=1 comm="restorecon" exe="/sbin/setfiles" subj=unconfined_u:unconfined_r:setfiles_t:s0 key=(null)

Comment 1 Daniel Walsh 2009-03-18 13:17:11 UTC

THis is caused by a leaked file descriptor in konsole.

Can be ignored from an SELinux point of view.  kde code should be cleaned up to close open file descriptors before exec

fcntl(fd, F_SETFD, FD_CLOEXEC)

Comment 2 Kevin Kofler 2009-03-18 13:23:09 UTC


*** This bug has been marked as a duplicate of bug 484370 ***

Note You need to log in before you can comment on or make changes to this bug.