Bug 588579 - SELinux empêche les utilisateurs de lancer des serveurs TCP dans leur domaine utilisateur.
SELinux empêche les utilisateurs de lancer des serveurs TCP dans leur domaine...
Status: CLOSED INSUFFICIENT_DATA
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
x86_64 Linux
medium Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:de909d6e244...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-05-03 20:30 EDT by Carl G.
Modified: 2010-07-04 23:13 EDT (History)
2 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-07-04 23:13:35 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Carl G. 2010-05-03 20:30:19 EDT
Résumé:

SELinux empêche les utilisateurs de lancer des serveurs TCP dans leur domaine
utilisateur.

Description détaillée:

[gnome-dvb-daemo a un type permissif (staff_t). Cet accès n'a pas été
refusé.]

SELinux a refusé au programme gnome-dvb-daemo de se connecter au port réseau
8554 qui n'est pas associé à un type SELinux. gnome-dvb-daemo n'a pas de
stratégie SELinux définie lorsqu'il est exécuté par l'utilisateur et il
s'exécute donc dans le domaine de l'utilisateur. SELinux est actuellement
configuré pour refuser aux serveurs TCP de fonctionner dans le domaine de
l'utilisateur. Si vous ne vous attendez pas à ce qu'un programme comme
gnome-dvb-daemo se connecte à un port du réseau, alors il peut s'agir d'une
tentative d'intrusion. Si le système fonctionne comme un client NIS, activer le
booléen allow_ypbind peut corriger le problème. setsebool -P allo

Autoriser l'accès:

Si vous souhaitez que le ftp autorise aux utilisateurs l'accès à leurs
répertoires personnels vous devez activer le booléen user_tcp_server :
"setsebool -P user_tcp_server=1"

Commande de correction:

setsebool -P user_tcp_server=1

Informations complémentaires:

Contexte source               staff_u:staff_r:staff_t:s0
Contexte cible                system_u:object_r:port_t:s0
Objets du contexte            None [ tcp_socket ]
source                        gnome-dvb-daemo
Chemin de la source           /usr/bin/gnome-dvb-daemon
Port                          8554
Hôte                         (removed)
Paquetages RPM source         gnome-dvb-daemon-0.1.16-1.fc13
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.7.19-10.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 user_tcp_server
Nom de l'hôte                (removed)
Plateforme                    Linux (removed) 2.6.33.3-72.fc13.x86_64
                              #1 SMP Wed Apr 28 15:48:01 UTC 2010 x86_64 x86_64
Compteur d'alertes            1
Première alerte              lun. 03 mai 2010 20:28:39 EDT
Dernière alerte              lun. 03 mai 2010 20:28:39 EDT
ID local                      bffde65e-07e6-4d9b-877e-8a3c6eba15d1
Numéros des lignes           

Messages d'audit bruts        

node=(removed) type=AVC msg=audit(1272932919.669:29212): avc:  denied  { name_bind } for  pid=2602 comm="gnome-dvb-daemo" src=8554 scontext=staff_u:staff_r:staff_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket

node=(removed) type=SYSCALL msg=audit(1272932919.669:29212): arch=c000003e syscall=49 success=yes exit=73014444160 a0=b a1=af92c8 a2=10 a3=7fff69fa7830 items=0 ppid=1 pid=2602 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="gnome-dvb-daemo" exe="/usr/bin/gnome-dvb-daemon" subj=staff_u:staff_r:staff_t:s0 key=(null)



Hash String generated from  user_tcp_server,gnome-dvb-daemo,staff_t,port_t,tcp_socket,name_bind
audit2allow suggests:

#============= staff_t ==============
#!!!! This avc can be allowed using one of the these booleans:
#     user_tcp_server, user_tcp_server

allow staff_t port_t:tcp_socket name_bind;
Comment 1 Miroslav Grepl 2010-05-04 10:31:28 EDT
It can be allowed by 'user_tcp_server' boolean. But are you seeing any AVC messages after that?
Comment 2 Carl G. 2010-07-04 23:13:35 EDT
(In reply to comment #1)
> It can be allowed by 'user_tcp_server' boolean. But are you seeing any AVC
> messages after that?    

Nope, i'm going to close it because i'm no longer using GNOME and i can't provide any further information.

Note You need to log in before you can comment on or make changes to this bug.