Bug 588715 - O SELinux está impedindo que o /sbin/ip acesse um descritor de arquivo vazado do /var/log/pm-suspend.log.
O SELinux está impedindo que o /sbin/ip acesse um descritor de arquivo vazado...
Status: CLOSED ERRATA
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
i386 Linux
low Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:b3931dc63e9...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-05-04 07:19 EDT by Edney Matias
Modified: 2010-07-06 13:09 EDT (History)
2 users (show)

See Also:
Fixed In Version: selinux-policy-3.7.19-33.fc13
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-07-06 13:09:46 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Edney Matias 2010-05-04 07:19:08 EDT
Sumário:

O SELinux está impedindo que o /sbin/ip acesse um descritor de arquivo vazado
do /var/log/pm-suspend.log.

Descrição detalhada:

[ip tem um tipo permissivo (ifconfig_t). Esse acesso não foi negado.]

O SELinux impediu o acesso requisitado pelo comando ip. Parece que isso é um
descritor vazado ou uma saída que foi direcionada para um arquivo que não é
permitido de ser acessado. Os vazamentos normalmente podem ser ignorados já que
o SELinux apenas está os fechando e relatando o erro. Se o aplicativo não usa
esse descritor, ele irá executar apropriadamente. Se esse for um
redirecionamento, você não obterá uma saída no /var/log/pm-suspend.log.
Você deve gerar um bugzilla para o selinux-policy e ele será encaminhado para
o pacote apropriado. Você pode ignorar seguramente

Permitindo acesso:

Você pode gerar um módulo de política local para permitir este acesso - veja
o FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385)

Informações adicionais:

Contexto de origem            system_u:system_r:ifconfig_t:s0
Contexto de destino           system_u:object_r:hald_log_t:s0
Objetos de destino            /var/log/pm-suspend.log [ file ]
Origem                        ip
Caminho da origem             /sbin/ip
Porta                         <Desconhecido>
Máquina                      (removido)
Pacotes RPM de origem         iproute-2.6.32-1.fc13
Pacotes RPM de destino        pm-utils-1.2.6.1-1.fc13
RPM da política              selinux-policy-3.7.19-6.fc13
Selinux habilitado            True
Tipo de política             targeted
Modo reforçado               Enforcing
Nome do plugin                leaks
Nome da máquina              (removido)
Plataforma                    Linux (removido) 2.6.33.2-57.fc13.i686 #1 SMP Tue Apr
                              20 09:28:45 UTC 2010 i686 i686
Contador de alertas           2
Visto pela primeira vez em    Dom 02 Mai 2010 00:12:56 BRT
Visto pela última vez em     Dom 02 Mai 2010 00:12:56 BRT
ID local                      f9c21633-543b-4128-a0f8-e77dade1de67
Números de linha             

Mensagens de auditoria não p 

node=(removido) type=AVC msg=audit(1272769976.339:24): avc:  denied  { write } for  pid=2482 comm="ip" path="/var/log/pm-suspend.log" dev=dm-0 ino=23922 scontext=system_u:system_r:ifconfig_t:s0 tcontext=system_u:object_r:hald_log_t:s0 tclass=file

node=(removido) type=SYSCALL msg=audit(1272769976.339:24): arch=40000003 syscall=11 success=yes exit=0 a0=9e118e8 a1=9e040c0 a2=9e04208 a3=9e040c0 items=0 ppid=2479 pid=2482 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="ip" exe="/sbin/ip" subj=system_u:system_r:ifconfig_t:s0 key=(null)



Hash String generated from  leaks,ip,ifconfig_t,hald_log_t,file,write
audit2allow suggests:

#============= ifconfig_t ==============
allow ifconfig_t hald_log_t:file write;
Comment 1 Edney Matias 2010-05-04 07:21:50 EDT
I just log in and bam! Every started session i get this!

Thank you.
Comment 2 Daniel Walsh 2010-05-04 16:06:18 EDT
Fixed in selinux-policy-3.7.19-11.fc13
Comment 3 Fedora Update System 2010-05-06 16:50:30 EDT
selinux-policy-3.7.19-13.fc13 has been submitted as an update for Fedora 13.
http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-13.fc13
Comment 4 Fedora Update System 2010-05-07 01:49:02 EDT
selinux-policy-3.7.19-13.fc13 has been pushed to the Fedora 13 testing repository.  If problems still persist, please make note of it in this bug report.
 If you want to test the update, you can install it with 
 su -c 'yum --enablerepo=updates-testing update selinux-policy'.  You can provide feedback for this update here: http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-13.fc13
Comment 5 Fedora Update System 2010-06-30 15:55:33 EDT
selinux-policy-3.7.19-33.fc13 has been submitted as an update for Fedora 13.
http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-33.fc13
Comment 6 Fedora Update System 2010-07-01 14:49:31 EDT
selinux-policy-3.7.19-33.fc13 has been pushed to the Fedora 13 testing repository.  If problems still persist, please make note of it in this bug report.
 If you want to test the update, you can install it with 
 su -c 'yum --enablerepo=updates-testing update selinux-policy'.  You can provide feedback for this update here: http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-33.fc13
Comment 7 Fedora Update System 2010-07-06 13:07:52 EDT
selinux-policy-3.7.19-33.fc13 has been pushed to the Fedora 13 stable repository.  If problems still persist, please make note of it in this bug report.

Note You need to log in before you can comment on or make changes to this bug.