Souhrn: SELinux is preventing X (staff_t) "sys_rawio" staff_t. Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by X. It is not expected that this access is required by X and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: You can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle staff_u:staff_r:staff_t:s0-s0:c0.c1023 Objekty cíle None [ capability ] Zdroj X Cesta zdroje /usr/bin/Xorg Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-server-Xorg-1.5.3-15.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 2 Poprvé viděno Út 24. březen 2009, 14:03:17 CET Naposledy viděno Út 24. březen 2009, 14:03:19 CET Místní ID c8d3650d-c8ea-4e99-957a-8c3c05708ca9 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899799.44:62): avc: denied { sys_rawio } for pid=3920 comm="X" capability=17 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899799.44:62): arch=c000003e syscall=2 success=yes exit=15 a0=56cc5b a1=2 a2=10000 a3=0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) ============== Souhrn: SELinux is preventing X (staff_t) "dac_override" staff_t. Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by X. It is not expected that this access is required by X and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: You can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle staff_u:staff_r:staff_t:s0-s0:c0.c1023 Objekty cíle None [ capability ] Zdroj X Cesta zdroje /usr/bin/Xorg Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-server-Xorg-1.5.3-15.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 2 Poprvé viděno Út 24. březen 2009, 14:03:17 CET Naposledy viděno Út 24. březen 2009, 14:03:19 CET Místní ID f41e73d4-d8aa-4181-aab9-b59ec80b6736 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899799.969:63): avc: denied { dac_override } for pid=3920 comm="X" capability=1 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899799.969:63): arch=c000003e syscall=2 success=yes exit=15 a0=7fffd68f1710 a1=2 a2=0 a3=10ecb60 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) ==== Souhrn: SELinux is preventing X (staff_t) "sys_admin" staff_t. Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by X. It is not expected that this access is required by X and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: You can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle staff_u:staff_r:staff_t:s0-s0:c0.c1023 Objekty cíle None [ capability ] Zdroj X Cesta zdroje /usr/bin/Xorg Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-server-Xorg-1.5.3-15.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:03:19 CET Naposledy viděno Út 24. březen 2009, 14:03:19 CET Místní ID 268479c5-97a6-4cca-aca0-9d8b20f37849 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899799.43:61): avc: denied { sys_admin } for pid=3920 comm="X" capability=21 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899799.43:61): arch=c000003e syscall=16 success=yes exit=0 a0=e a1=c0286415 a2=7fffd68f1910 a3=7fffd68f16d0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) ======= Souhrn: SELinux is preventing X (staff_t) "read write" to agpgart (agp_device_t). Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by X. It is not expected that this access is required by X and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: Sometimes labeling problems can cause SELinux denials. You could try to restore the default system file context for agpgart, restorecon -v 'agpgart' If this does not work, there is currently no automatic way to allow this access. Instead, you can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle system_u:object_r:agp_device_t:s0 Objekty cíle agpgart [ chr_file ] Zdroj X Cesta zdroje /usr/bin/Xorg Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-server-Xorg-1.5.3-15.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall_file Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:03:18 CET Naposledy viděno Út 24. březen 2009, 14:03:18 CET Místní ID 1273a60c-b3c8-4909-b280-3bc2e15b5fea Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899798.673:57): avc: denied { read write } for pid=3920 comm="X" name="agpgart" dev=tmpfs ino=553 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:agp_device_t:s0 tclass=chr_file node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899798.673:57): arch=c000003e syscall=2 success=yes exit=13 a0=56cd2b a1=2 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) ========== Souhrn: SELinux is preventing modprobe (staff_t) "sys_module" staff_t. Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by modprobe. It is not expected that this access is required by modprobe and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: You can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle staff_u:staff_r:staff_t:s0-s0:c0.c1023 Objekty cíle None [ capability ] Zdroj modprobe Cesta zdroje /sbin/modprobe Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje module-init-tools-3.5-3.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:03:18 CET Naposledy viděno Út 24. březen 2009, 14:03:18 CET Místní ID 9c11918b-a7b6-4a57-9326-7765c4f8b5d7 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899798.716:60): avc: denied { sys_module } for pid=3924 comm="modprobe" capability=16 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tclass=capability node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899798.716:60): arch=c000003e syscall=175 success=yes exit=0 a0=1531ab0 a1=8068 a2=1529510 a3=1529510 items=0 ppid=3920 pid=3924 auid=500 uid=0 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="modprobe" exe="/sbin/modprobe" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) ================= Souhrn: SELinux is preventing X (staff_t) "ioctl" to /dev/agpgart (agp_device_t). Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by X. It is not expected that this access is required by X and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: Sometimes labeling problems can cause SELinux denials. You could try to restore the default system file context for /dev/agpgart, restorecon -v '/dev/agpgart' If this does not work, there is currently no automatic way to allow this access. Instead, you can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle system_u:object_r:agp_device_t:s0 Objekty cíle /dev/agpgart [ chr_file ] Zdroj X Cesta zdroje /usr/bin/Xorg Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-server-Xorg-1.5.3-15.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall_file Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:03:18 CET Naposledy viděno Út 24. březen 2009, 14:03:18 CET Místní ID 1cbc7799-f31d-44dd-a586-cd80022a4526 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899798.674:58): avc: denied { ioctl } for pid=3920 comm="X" path="/dev/agpgart" dev=tmpfs ino=553 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:agp_device_t:s0 tclass=chr_file node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899798.674:58): arch=c000003e syscall=16 success=yes exit=0 a0=d a1=4101 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) =============== Souhrn: SELinux is preventing X (staff_t) "read write" to mem (memory_device_t). Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by X. It is not expected that this access is required by X and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: Sometimes labeling problems can cause SELinux denials. You could try to restore the default system file context for mem, restorecon -v 'mem' If this does not work, there is currently no automatic way to allow this access. Instead, you can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle system_u:object_r:memory_device_t:s0 Objekty cíle mem [ chr_file ] Zdroj X Cesta zdroje /usr/bin/Xorg Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-server-Xorg-1.5.3-15.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall_file Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:03:17 CET Naposledy viděno Út 24. březen 2009, 14:03:17 CET Místní ID 510fddc6-b56b-4044-ad95-78d36b58f33f Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899797.360:55): avc: denied { read write } for pid=3920 comm="X" name="mem" dev=tmpfs ino=484 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:memory_device_t:s0 tclass=chr_file node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899797.360:55): arch=c000003e syscall=2 success=yes exit=12 a0=56cc5b a1=2 a2=10000 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) ===================== Souhrn: SELinux is preventing X (staff_t) "read" to /proc/mtrr (mtrr_device_t). Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux denied access requested by X. It is not expected that this access is required by X and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. Povolení přístupu: Sometimes labeling problems can cause SELinux denials. You could try to restore the default system file context for /proc/mtrr, restorecon -v '/proc/mtrr' If this does not work, there is currently no automatic way to allow this access. Instead, you can generate a local policy module to allow this access - see FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) against this package. Další informace: Kontext zdroje staff_u:staff_r:staff_t:s0-s0:c0.c1023 Kontext cíle system_u:object_r:mtrr_device_t:s0 Objekty cíle /proc/mtrr [ file ] Zdroj X Cesta zdroje /usr/bin/Xorg Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-server-Xorg-1.5.3-15.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu catchall_file Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:03:17 CET Naposledy viděno Út 24. březen 2009, 14:03:17 CET Místní ID 79c2ae99-08a4-4481-a7df-c6418c3eeff4 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899797.361:56): avc: denied { read } for pid=3920 comm="X" path="/proc/mtrr" dev=proc ino=4026531909 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:mtrr_device_t:s0 tclass=file node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899797.361:56): arch=c000003e syscall=16 success=no exit=730791896 a0=c a1=c0184d03 a2=7fffd68f1750 a3=1 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) ============== Souhrn: SELinux is preventing the xauth from using potentially mislabeled files (./.serverauth.3902-c). Podrobný popis: [SELinux je v uvolněném režimu, operace by byla odmítnuta, ale byla povolena kvůli uvolněnému režimu.] SELinux has denied xauth access to potentially mislabeled file(s) (./.serverauth.3902-c). This means that SELinux will not allow xauth to use these files. It is common for users to edit files in their home directory or tmp directories and then move (mv) them to system directories. The problem is that the files end up with the wrong file context which confined applications are not allowed to access. Povolení přístupu: If you want xauth to access this files, you need to relabel them using restorecon -v './.serverauth.3902-c'. You might want to relabel the entire directory using restorecon -R -v '.'. Další informace: Kontext zdroje staff_u:staff_r:xauth_t:s0-s0:c0.c1023 Kontext cíle system_u:object_r:user_home_t:s0 Objekty cíle ./.serverauth.3902-c [ file ] Zdroj xauth Cesta zdroje /usr/bin/xauth Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-xauth-1.0.2-5.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Permissive Název zásuvného modulu home_tmp_bad_labels Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:03:16 CET Naposledy viděno Út 24. březen 2009, 14:03:16 CET Místní ID ea173510-56aa-4d40-8c7a-f5a1087cc4c8 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899796.286:40): avc: denied { link } for pid=3909 comm="xauth" name=".serverauth.3902-c" dev=dm-6 ino=6639013 scontext=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899796.286:40): arch=c000003e syscall=86 success=yes exit=0 a0=7fff306b54a0 a1=7fff306b5090 a2=180 a3=7fff306b5090 items=0 ppid=3902 pid=3909 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="xauth" exe="/usr/bin/xauth" subj=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 key=(null) é=============== Souhrn: SELinux is preventing the xauth from using potentially mislabeled files (./.serverauth.3848-c). Podrobný popis: SELinux has denied xauth access to potentially mislabeled file(s) (./.serverauth.3848-c). This means that SELinux will not allow xauth to use these files. It is common for users to edit files in their home directory or tmp directories and then move (mv) them to system directories. The problem is that the files end up with the wrong file context which confined applications are not allowed to access. Povolení přístupu: If you want xauth to access this files, you need to relabel them using restorecon -v './.serverauth.3848-c'. You might want to relabel the entire directory using restorecon -R -v '.'. Další informace: Kontext zdroje staff_u:staff_r:xauth_t:s0-s0:c0.c1023 Kontext cíle system_u:object_r:user_home_t:s0 Objekty cíle ./.serverauth.3848-c [ file ] Zdroj xauth Cesta zdroje /usr/bin/xauth Port <Neznámé> Počítač viklef.ceplovi.cz RPM balíčky zdroje xorg-x11-xauth-1.0.2-5.fc10 RPM balíčky cíle RPM politiky selinux-policy-3.5.13-49.fc10 Selinux povolen True Typ politiky targeted MLS povoleno True Vynucovací režim Enforcing Název zásuvného modulu home_tmp_bad_labels Název počítače viklef.ceplovi.cz Platforma Linux viklef.ceplovi.cz 2.6.29-3.fc10.x86_64 #1 SMP Tue Mar 24 01:38:46 EDT 2009 x86_64 x86_64 Počet upozornění 1 Poprvé viděno Út 24. březen 2009, 14:01:07 CET Naposledy viděno Út 24. březen 2009, 14:01:07 CET Místní ID d34ffa7f-81cd-401a-b100-b1598c9de3b2 Čísla řádků Původní zprávy auditu node=viklef.ceplovi.cz type=AVC msg=audit(1237899667.220:29): avc: denied { link } for pid=3863 comm="xauth" name=".serverauth.3848-c" dev=dm-6 ino=6635831 scontext=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file node=viklef.ceplovi.cz type=SYSCALL msg=audit(1237899667.220:29): arch=c000003e syscall=86 success=no exit=-13 a0=7fff1d585370 a1=7fff1d584f60 a2=180 a3=7fff1d584f60 items=0 ppid=3848 pid=3863 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="xauth" exe="/usr/bin/xauth" subj=staff_u:staff_r:xauth_t:s0-s0:c0.c1023 key=(null) =============== Maybe just a grep of /var/log/audit/audit.log is more helpful: [root@viklef tmp]# grep Xorg /var/log/audit/audit.log type=SYSCALL msg=audit(1237899667.632:30): arch=c000003e syscall=92 success=no exit=748593112 a0=56ca07 a1=0 a2=0 a3=444f4d5445475f54 items=0 ppid=3864 pid=3865 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=AVC msg=audit(1237899796.322:45): avc: denied { remove_name } for pid=3920 comm="X" name="Xorg.0.log" dev=dm-5 ino=2576 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_log_t:s0 tclass=dir type=AVC msg=audit(1237899796.322:45): avc: denied { rename } for pid=3920 comm="X" name="Xorg.0.log" dev=dm-5 ino=2576 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:xserver_log_t:s0 tclass=file type=AVC msg=audit(1237899796.322:45): avc: denied { add_name } for pid=3920 comm="X" name="Xorg.0.log.old" dev=dm-5 ino=2290 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_log_t:s0 tclass=dir type=AVC msg=audit(1237899796.322:45): avc: denied { unlink } for pid=3920 comm="X" name="Xorg.0.log.old" dev=dm-5 ino=2290 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=system_u:object_r:xserver_log_t:s0 tclass=file type=SYSCALL msg=audit(1237899796.322:45): arch=c000003e syscall=82 success=yes exit=0 a0=10ec530 a1=10eca30 a2=21 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=AVC msg=audit(1237899796.323:46): avc: denied { create } for pid=3920 comm="X" name="Xorg.0.log" scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:object_r:var_log_t:s0 tclass=file type=AVC msg=audit(1237899796.323:46): avc: denied { write } for pid=3920 comm="X" name="Xorg.0.log" dev=dm-5 ino=2799 scontext=staff_u:staff_r:staff_t:s0-s0:c0.c1023 tcontext=staff_u:object_r:var_log_t:s0 tclass=file type=SYSCALL msg=audit(1237899796.323:46): arch=c000003e syscall=2 success=yes exit=0 a0=10ec530 a1=241 a2=1b6 a3=7fb8ce8cd790 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899796.794:47): arch=c000003e syscall=2 success=yes exit=7 a0=56ca07 a1=1 a2=0 a3=3c5c96da70 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899796.794:48): arch=c000003e syscall=16 success=yes exit=0 a0=7 a1=5600 a2=7b1884 a3=3c5c96da70 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty1 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899796.794:49): arch=c000003e syscall=2 success=yes exit=7 a0=7b7500 a1=802 a2=0 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899796.803:50): arch=c000003e syscall=92 success=yes exit=0 a0=7b7500 a1=1f4 a2=1f4 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899796.811:51): arch=c000003e syscall=2 success=yes exit=8 a0=3c5f20482d a1=1 a2=3c5f405120 a3=3c5c96da70 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899796.812:52): arch=c000003e syscall=2 success=yes exit=9 a0=7fffd68f1760 a1=2 a2=28 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899797.261:53): arch=c000003e syscall=173 success=yes exit=0 a0=0 a1=400 a2=1 a3=10ecb60 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899797.289:54): arch=c000003e syscall=2 success=yes exit=11 a0=7fffd68f18a0 a1=2 a2=25 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899797.360:55): arch=c000003e syscall=2 success=yes exit=12 a0=56cc5b a1=2 a2=10000 a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899797.361:56): arch=c000003e syscall=16 success=no exit=730791896 a0=c a1=c0184d03 a2=7fffd68f1750 a3=1 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899798.673:57): arch=c000003e syscall=2 success=yes exit=13 a0=56cd2b a1=2 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899798.674:58): arch=c000003e syscall=16 success=yes exit=0 a0=d a1=4101 a2=0 a3=7fffd68f1760 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899799.043:61): arch=c000003e syscall=16 success=yes exit=0 a0=e a1=c0286415 a2=7fffd68f1910 a3=7fffd68f16d0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899799.044:62): arch=c000003e syscall=2 success=yes exit=15 a0=56cc5b a1=2 a2=10000 a3=0 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899799.969:63): arch=c000003e syscall=2 success=yes exit=15 a0=7fffd68f1710 a1=2 a2=0 a3=10ecb60 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) type=SYSCALL msg=audit(1237899855.778:65): arch=c000003e syscall=2 success=yes exit=15 a0=7fffd68f1990 a1=2 a2=7fffd68f19bb a3=8101010101010100 items=0 ppid=3919 pid=3920 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=tty7 ses=3 comm="X" exe="/usr/bin/Xorg" subj=staff_u:staff_r:staff_t:s0-s0:c0.c1023 key=(null) [root@viklef tmp]#
Created attachment 336781 [details] /var/log/Xorg.0.log And just to make myself happy ... this is my /var/log/Xorg.0.log and I have no /etc/X11/xorg.conf
audit2allow suggests [root@viklef tmp]# ausearch -m AVC -x Xorg|audit2allow #============= staff_t ============== allow staff_t agp_device_t:chr_file { read write ioctl }; allow staff_t memory_device_t:chr_file { read write }; allow staff_t mtrr_device_t:file { write read }; allow staff_t self:capability { sys_rawio sys_admin dac_override }; allow staff_t sysfs_t:file write; allow staff_t tty_device_t:chr_file { write read ioctl setattr }; allow staff_t var_log_t:dir { write remove_name add_name }; allow staff_t var_log_t:file { write create }; allow staff_t xserver_log_t:file { rename unlink };
You are not allowed to run X if you are a confined user domain, you must use init 5 A confined user domain that can run the X Server can take over the machine.