Bug 492299 - (staff_u) couple of Xserver AVC denials
(staff_u) couple of Xserver AVC denials
Status: CLOSED WONTFIX
Product: Fedora
Classification: Fedora
Component: xorg-x11-server (Show other bugs)
10
All Linux
low Severity medium
: ---
: ---
Assigned To: Adam Jackson
Fedora Extras Quality Assurance
: SELinux
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2009-03-26 07:44 EDT by Matěj Cepl
Modified: 2009-03-26 20:47 EDT (History)
2 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2009-03-26 20:47:07 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)
/var/log/Xorg.0.log (112.03 KB, text/plain)
2009-03-26 07:47 EDT, Matěj Cepl
no flags Details

  None (edit)
Description Matěj Cepl 2009-03-26 07:44:23 EDT
Souhrn:

SELinux is preventing X (staff_t) "sys_rawio" staff_t.

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by X. It is not expected that this access is
required by X and this access may signal an intrusion attempt. It is also
possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

You can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 staff_u:staff_r:staff_t:s0-s0:c0.c1023
Objekty cíle                 None [ capability ]
Zdroj                         X
Cesta zdroje                  /usr/bin/Xorg
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-server-Xorg-1.5.3-15.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           2
Poprvé viděno               Út 24. březen 2009, 14:03:17 CET
Naposledy viděno             Út 24. březen 2009, 14:03:19 CET
Místní ID                   c8d3650d-c8ea-4e99-957a-8c3c05708ca9
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899799.44:62): avc:  denied  { sys_rawio } for  pid=3920 comm="X" capability=17 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899799.44:62): arch=c000003e syscall=2 success=yes exit=15 a0=56cc5b a1=2 a2=10000 a3=0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


==============


Souhrn:

SELinux is preventing X (staff_t) "dac_override" staff_t.

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by X. It is not expected that this access is
required by X and this access may signal an intrusion attempt. It is also
possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

You can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 staff_u:staff_r:staff_t:s0-s0:c0.c1023
Objekty cíle                 None [ capability ]
Zdroj                         X
Cesta zdroje                  /usr/bin/Xorg
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-server-Xorg-1.5.3-15.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           2
Poprvé viděno               Út 24. březen 2009, 14:03:17 CET
Naposledy viděno             Út 24. březen 2009, 14:03:19 CET
Místní ID                   f41e73d4-d8aa-4181-aab9-b59ec80b6736
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899799.969:63): avc:  denied  { dac_override } for  pid=3920 comm="X" capability=1 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899799.969:63): arch=c000003e syscall=2 success=yes exit=15 a0=7fffd68f1710 a1=2 a2=0 a3=10ecb60 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


====



Souhrn:

SELinux is preventing X (staff_t) "sys_admin" staff_t.

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by X. It is not expected that this access is
required by X and this access may signal an intrusion attempt. It is also
possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

You can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 staff_u:staff_r:staff_t:s0-s0:c0.c1023
Objekty cíle                 None [ capability ]
Zdroj                         X
Cesta zdroje                  /usr/bin/Xorg
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-server-Xorg-1.5.3-15.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:03:19 CET
Naposledy viděno             Út 24. březen 2009, 14:03:19 CET
Místní ID                   268479c5-97a6-4cca-aca0-9d8b20f37849
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899799.43:61): avc:  denied  { sys_admin } for  pid=3920 comm="X" capability=21 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899799.43:61): arch=c000003e syscall=16 success=yes exit=0 a0=e a1=c0286415 a2=7fffd68f1910 a3=7fffd68f16d0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


=======


Souhrn:

SELinux is preventing X (staff_t) "read write" to agpgart (agp_device_t).

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by X. It is not expected that this access is
required by X and this access may signal an intrusion attempt. It is also
possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

Sometimes labeling problems can cause SELinux denials. You could try to restore
the default system file context for agpgart,

restorecon -v 'agpgart'

If this does not work, there is currently no automatic way to allow this access.
Instead, you can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 system_u:object_r:agp_device_t:s0
Objekty cíle                 agpgart [ chr_file ]
Zdroj                         X
Cesta zdroje                  /usr/bin/Xorg
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-server-Xorg-1.5.3-15.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall_file
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:03:18 CET
Naposledy viděno             Út 24. březen 2009, 14:03:18 CET
Místní ID                   1273a60c-b3c8-4909-b280-3bc2e15b5fea
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899798.673:57): avc:  denied  { read write } for  pid=3920 comm="X" name="agpgart" dev=tmpfs ino=553 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:agp_device_t:s0 tclass=chr_file

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899798.673:57): arch=c000003e syscall=2 success=yes exit=13 a0=56cd2b a1=2 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


==========


Souhrn:

SELinux is preventing modprobe (staff_t) "sys_module" staff_t.

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by modprobe. It is not expected that this access
is required by modprobe and this access may signal an intrusion attempt. It is
also possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

You can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 staff_u:staff_r:staff_t:s0-s0:c0.c1023
Objekty cíle                 None [ capability ]
Zdroj                         modprobe
Cesta zdroje                  /sbin/modprobe
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          module-init-tools-3.5-3.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:03:18 CET
Naposledy viděno             Út 24. březen 2009, 14:03:18 CET
Místní ID                   9c11918b-a7b6-4a57-9326-7765c4f8b5d7
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899798.716:60): avc:  denied  { sys_module } for  pid=3924 comm="modprobe" capability=16 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899798.716:60): arch=c000003e syscall=175 success=yes exit=0 a0=1531ab0 a1=8068 a2=1529510 a3=1529510 items=0 ppid=3920 pid=3924 auid=500 uid=0 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="modprobe" exe="/sbin/modprobe" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


=================



Souhrn:

SELinux is preventing X (staff_t) "ioctl" to /dev/agpgart (agp_device_t).

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by X. It is not expected that this access is
required by X and this access may signal an intrusion attempt. It is also
possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

Sometimes labeling problems can cause SELinux denials. You could try to restore
the default system file context for /dev/agpgart,

restorecon -v '/dev/agpgart'

If this does not work, there is currently no automatic way to allow this access.
Instead, you can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 system_u:object_r:agp_device_t:s0
Objekty cíle                 /dev/agpgart [ chr_file ]
Zdroj                         X
Cesta zdroje                  /usr/bin/Xorg
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-server-Xorg-1.5.3-15.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall_file
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:03:18 CET
Naposledy viděno             Út 24. březen 2009, 14:03:18 CET
Místní ID                   1cbc7799-f31d-44dd-a586-cd80022a4526
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899798.674:58): avc:  denied  { ioctl } for  pid=3920 comm="X" path="/dev/agpgart" dev=tmpfs ino=553 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:agp_device_t:s0 tclass=chr_file

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899798.674:58): arch=c000003e syscall=16 success=yes exit=0 a0=d a1=4101 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


===============


Souhrn:

SELinux is preventing X (staff_t) "read write" to mem (memory_device_t).

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by X. It is not expected that this access is
required by X and this access may signal an intrusion attempt. It is also
possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

Sometimes labeling problems can cause SELinux denials. You could try to restore
the default system file context for mem,

restorecon -v 'mem'

If this does not work, there is currently no automatic way to allow this access.
Instead, you can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 system_u:object_r:memory_device_t:s0
Objekty cíle                 mem [ chr_file ]
Zdroj                         X
Cesta zdroje                  /usr/bin/Xorg
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-server-Xorg-1.5.3-15.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall_file
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:03:17 CET
Naposledy viděno             Út 24. březen 2009, 14:03:17 CET
Místní ID                   510fddc6-b56b-4044-ad95-78d36b58f33f
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899797.360:55): avc:  denied  { read write } for  pid=3920 comm="X" name="mem" dev=tmpfs ino=484 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:memory_device_t:s0 tclass=chr_file

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899797.360:55): arch=c000003e syscall=2 success=yes exit=12 a0=56cc5b a1=2 a2=10000 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


=====================


Souhrn:

SELinux is preventing X (staff_t) "read" to /proc/mtrr (mtrr_device_t).

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux denied access requested by X. It is not expected that this access is
required by X and this access may signal an intrusion attempt. It is also
possible that the specific version or configuration of the application is
causing it to require additional access.

Povolení přístupu:

Sometimes labeling problems can cause SELinux denials. You could try to restore
the default system file context for /proc/mtrr,

restorecon -v '/proc/mtrr'

If this does not work, there is currently no automatic way to allow this access.
Instead, you can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Další informace:

Kontext zdroje                staff_u:staff_r:staff_t:s0-s0:c0.c1023
Kontext cíle                 system_u:object_r:mtrr_device_t:s0
Objekty cíle                 /proc/mtrr [ file ]
Zdroj                         X
Cesta zdroje                  /usr/bin/Xorg
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-server-Xorg-1.5.3-15.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     catchall_file
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:03:17 CET
Naposledy viděno             Út 24. březen 2009, 14:03:17 CET
Místní ID                   79c2ae99-08a4-4481-a7df-c6418c3eeff4
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899797.361:56): avc:  denied  { read } for  pid=3920 comm="X" path="/proc/mtrr" dev=proc ino=4026531909 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:mtrr_device_t:s0 tclass=file

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899797.361:56): arch=c000003e syscall=16 success=no exit=730791896 a0=c a1=c0184d03 a2=7fffd68f1750 a3=1 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)


==============


Souhrn:

SELinux is preventing the xauth from using potentially mislabeled files
(./.serverauth.3902-c).

Podrobný popis:

[SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena
kvůli uvolněnému režimu.]

SELinux has denied xauth access to potentially mislabeled file(s)
(./.serverauth.3902-c). This means that SELinux will not allow xauth to use
these files. It is common for users to edit files in their home directory or tmp
directories and then move (mv) them to system directories. The problem is that
the files end up with the wrong file context which confined applications are not
allowed to access.

Povolení přístupu:

If you want xauth to access this files, you need to relabel them using
restorecon -v './.serverauth.3902-c'. You might want to relabel the entire
directory using restorecon -R -v '.'.

Další informace:

Kontext zdroje                staff_u:staff_r:xauth_t:s0-s0:c0.c1023
Kontext cíle                 system_u:object_r:user_home_t:s0
Objekty cíle                 ./.serverauth.3902-c [ file ]
Zdroj                         xauth
Cesta zdroje                  /usr/bin/xauth
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-xauth-1.0.2-5.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Permissive
Název zásuvného modulu     home_tmp_bad_labels
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:03:16 CET
Naposledy viděno             Út 24. březen 2009, 14:03:16 CET
Místní ID                   ea173510-56aa-4d40-8c7a-f5a1087cc4c8
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899796.286:40): avc:  denied  { link } for  pid=3909 comm="xauth" name=".serverauth.3902-c" dev=dm-6 ino=6639013 scontext=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899796.286:40): arch=c000003e syscall=86 success=yes exit=0 a0=7fff306b54a0 a1=7fff306b5090 a2=180 a3=7fff306b5090 items=0 ppid=3902 pid=3909 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="xauth" exe="/usr/bin/xauth" subj=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 key=(null)


é===============


Souhrn:

SELinux is preventing the xauth from using potentially mislabeled files
(./.serverauth.3848-c).

Podrobný popis:

SELinux has denied xauth access to potentially mislabeled file(s)
(./.serverauth.3848-c). This means that SELinux will not allow xauth to use
these files. It is common for users to edit files in their home directory or tmp
directories and then move (mv) them to system directories. The problem is that
the files end up with the wrong file context which confined applications are not
allowed to access.

Povolení přístupu:

If you want xauth to access this files, you need to relabel them using
restorecon -v './.serverauth.3848-c'. You might want to relabel the entire
directory using restorecon -R -v '.'.

Další informace:

Kontext zdroje                staff_u:staff_r:xauth_t:s0-s0:c0.c1023
Kontext cíle                 system_u:object_r:user_home_t:s0
Objekty cíle                 ./.serverauth.3848-c [ file ]
Zdroj                         xauth
Cesta zdroje                  /usr/bin/xauth
Port                          <Neznámé>
Počítač                    viklef.ceplovi.cz
RPM balíčky zdroje          xorg-x11-xauth-1.0.2-5.fc10
RPM balíčky cíle           
RPM politiky                  selinux-policy-3.5.13-49.fc10
Selinux povolen               True
Typ politiky                  targeted
MLS povoleno                  True
Vynucovací režim            Enforcing
Název zásuvného modulu     home_tmp_bad_labels
Název počítače            viklef.ceplovi.cz
Platforma                     Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1
                              SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64
Počet upozornění           1
Poprvé viděno               Út 24. březen 2009, 14:01:07 CET
Naposledy viděno             Út 24. březen 2009, 14:01:07 CET
Místní ID                   d34ffa7f-81cd-401a-b100-b1598c9de3b2
Čísla řádků              

Původní zprávy auditu      

node=viklef.ceplovi.cz type=AVC msg=audit(1237899667.220:29): avc:  denied  { link } for  pid=3863 comm="xauth" name=".serverauth.3848-c" dev=dm-6 ino=6635831 scontext=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file

node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899667.220:29): arch=c000003e syscall=86 success=no exit=-13 a0=7fff1d585370 a1=7fff1d584f60 a2=180 a3=7fff1d584f60 items=0 ppid=3848 pid=3863 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="xauth" exe="/usr/bin/xauth" subj=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 key=(null)


===============

Maybe just a grep of /var/log/audit/audit.log is more helpful:

[root@viklef tmp]# grep Xorg /var/log/audit/audit.log
type=SYSCALL msg=audit(1237899667.632:30): arch=c000003e syscall=92 success=no exit=748593112 a0=56ca07 a1=0 a2=0 a3=444f4d5445475f54 items=0 ppid=3864 pid=3865 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(1237899796.322:45): avc:  denied  { remove_name } for  pid=3920 comm="X" name="Xorg.0.log" dev=dm-5 ino=2576 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_log_t:s0 tclass=dir
type=AVC msg=audit(1237899796.322:45): avc:  denied  { rename } for  pid=3920 comm="X" name="Xorg.0.log" dev=dm-5 ino=2576 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:xserver_log_t:s0 tclass=file
type=AVC msg=audit(1237899796.322:45): avc:  denied  { add_name } for  pid=3920 comm="X" name="Xorg.0.log.old" dev=dm-5 ino=2290 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_log_t:s0 tclass=dir
type=AVC msg=audit(1237899796.322:45): avc:  denied  { unlink } for  pid=3920 comm="X" name="Xorg.0.log.old" dev=dm-5 ino=2290 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:xserver_log_t:s0 tclass=file
type=SYSCALL msg=audit(1237899796.322:45): arch=c000003e syscall=82 success=yes exit=0 a0=10ec530 a1=10eca30 a2=21 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=AVC msg=audit(1237899796.323:46): avc:  denied  { create } for  pid=3920 comm="X" name="Xorg.0.log" scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:object_r:var_log_t:s0 tclass=file
type=AVC msg=audit(1237899796.323:46): avc:  denied  { write } for  pid=3920 comm="X" name="Xorg.0.log" dev=dm-5 ino=2799 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:object_r:var_log_t:s0 tclass=file
type=SYSCALL msg=audit(1237899796.323:46): arch=c000003e syscall=2 success=yes exit=0 a0=10ec530 a1=241 a2=1b6 a3=7fb8ce8cd790 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899796.794:47): arch=c000003e syscall=2 success=yes exit=7 a0=56ca07 a1=1 a2=0 a3=3c5c96da70 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899796.794:48): arch=c000003e syscall=16 success=yes exit=0 a0=7 a1=5600 a2=7b1884 a3=3c5c96da70 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899796.794:49): arch=c000003e syscall=2 success=yes exit=7 a0=7b7500 a1=802 a2=0 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899796.803:50): arch=c000003e syscall=92 success=yes exit=0 a0=7b7500 a1=1f4 a2=1f4 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899796.811:51): arch=c000003e syscall=2 success=yes exit=8 a0=3c5f20482d a1=1 a2=3c5f405120 a3=3c5c96da70 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899796.812:52): arch=c000003e syscall=2 success=yes exit=9 a0=7fffd68f1760 a1=2 a2=28 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899797.261:53): arch=c000003e syscall=173 success=yes exit=0 a0=0 a1=400 a2=1 a3=10ecb60 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899797.289:54): arch=c000003e syscall=2 success=yes exit=11 a0=7fffd68f18a0 a1=2 a2=25 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899797.360:55): arch=c000003e syscall=2 success=yes exit=12 a0=56cc5b a1=2 a2=10000 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899797.361:56): arch=c000003e syscall=16 success=no exit=730791896 a0=c a1=c0184d03 a2=7fffd68f1750 a3=1 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899798.673:57): arch=c000003e syscall=2 success=yes exit=13 a0=56cd2b a1=2 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899798.674:58): arch=c000003e syscall=16 success=yes exit=0 a0=d a1=4101 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899799.043:61): arch=c000003e syscall=16 success=yes exit=0 a0=e a1=c0286415 a2=7fffd68f1910 a3=7fffd68f16d0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899799.044:62): arch=c000003e syscall=2 success=yes exit=15 a0=56cc5b a1=2 a2=10000 a3=0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899799.969:63): arch=c000003e syscall=2 success=yes exit=15 a0=7fffd68f1710 a1=2 a2=0 a3=10ecb60 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
type=SYSCALL msg=audit(1237899855.778:65): arch=c000003e syscall=2 success=yes exit=15 a0=7fffd68f1990 a1=2 a2=7fffd68f19bb a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null)
[root@viklef tmp]#
Comment 1 Matěj Cepl 2009-03-26 07:47:34 EDT
Created attachment 336781 [details]
/var/log/Xorg.0.log

And just to make myself happy ... this is my /var/log/Xorg.0.log and I have no /etc/X11/xorg.conf
Comment 2 Matěj Cepl 2009-03-26 08:00:12 EDT
audit2allow suggests

[root@viklef tmp]# ausearch -m AVC -x Xorg|audit2allow

#============= staff_t ==============
allow staff_t agp_device_t:chr_file { read write ioctl };
allow staff_t memory_device_t:chr_file { read write };
allow staff_t mtrr_device_t:file { write read };
allow staff_t self:capability { sys_rawio sys_admin dac_override };
allow staff_t sysfs_t:file write;
allow staff_t tty_device_t:chr_file { write read ioctl setattr };
allow staff_t var_log_t:dir { write remove_name add_name };
allow staff_t var_log_t:file { write create };
allow staff_t xserver_log_t:file { rename unlink };
Comment 3 Daniel Walsh 2009-03-26 20:47:07 EDT
You are not allowed to run X if you are a confined user domain,  you must use init 5

A confined user domain that can run the X Server can take over the machine.

Note You need to log in before you can comment on or make changes to this bug.