Bug 592076 - SELinux empêche l'accès en "unlink" à /usr/sbin/tmpwatch on yum.l
SELinux empêche l'accès en "unlink" à /usr/sbin/tmpwatch on yum.l
Status: CLOSED NOTABUG
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
x86_64 Linux
medium Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:0488b5ac833...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-05-13 15:38 EDT by Carl G.
Modified: 2010-05-14 08:40 EDT (History)
2 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-05-14 08:40:24 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Carl G. 2010-05-13 15:38:40 EDT
Résumé:

SELinux empêche l'accès en "unlink" à /usr/sbin/tmpwatch on yum.l

Description détaillée:

SELinux a refusé l'accès demandé par tmpwatch. Il n'est pas prévu que cet
accès soit requis par tmpwatch et cet accès peut signaler une tentative
d'intrusion. Il est également possible que cette version ou cette configuration
spécifique de l'application provoque cette demande d'accès supplémenta

Autoriser l'accès:

Vous pouvez créer un module de stratégie locale pour autoriser cet accès -
lisez la FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Merci de
remplir un rapport de bogue.

Informations complémentaires:

Contexte source               system_u:system_r:tmpreaper_t:s0-s0:c0.c1023
Contexte cible                system_u:object_r:root_t:s0
Objets du contexte            yum.log [ file ]
source                        tmpwatch
Chemin de la source           /usr/sbin/tmpwatch
Port                          <Inconnu>
Hôte                         (supprimé)
Paquetages RPM source         tmpwatch-2.9.17-2.fc13
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.7.19-13.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 catchall
Nom de l'hôte                (supprimé)
Plateforme                    Linux (supprimé) 2.6.33.3-85.fc13.x86_64
                              #1 SMP Thu May 6 18:09:49 UTC 2010 x86_64 x86_64
Compteur d'alertes            1
Première alerte              jeu. 13 mai 2010 15:35:14 EDT
Dernière alerte              jeu. 13 mai 2010 15:35:14 EDT
ID local                      1e94a510-a660-4586-9033-7b7d04735fa4
Numéros des lignes           

Messages d'audit bruts        

node=(supprimé) type=AVC msg=audit(1273779314.470:166): avc:  denied  { unlink } for  pid=16886 comm="tmpwatch" name="yum.log" dev=dm-2 ino=524290 scontext=system_u:system_r:tmpreaper_t:s0-s0:c0.c1023 tcontext=system_u:object_r:root_t:s0 tclass=file

node=(supprimé) type=SYSCALL msg=audit(1273779314.470:166): arch=c000003e syscall=87 success=no exit=-13 a0=135f89b a1=403333 a2=7fff6a500c5f a3=7fff6a500ec8 items=0 ppid=16884 pid=16886 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=13 comm="tmpwatch" exe="/usr/sbin/tmpwatch" subj=system_u:system_r:tmpreaper_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  catchall,tmpwatch,tmpreaper_t,root_t,file,unlink
audit2allow suggests:

#============= tmpreaper_t ==============
allow tmpreaper_t root_t:file unlink;
Comment 1 Daniel Walsh 2010-05-14 08:40:24 EDT
Looks like you have a mislabeled file yum.log.  It should not be labeled root_t.

I have  no idea how you got this label, since the only file that should be labeled root_t is /.

I would just delete the file.

Note You need to log in before you can comment on or make changes to this bug.