Résumé: SELinux empêche /usr/sbin/prelink d'"read" au périphérique /etc/pki/tls/certs/Makefile. Description détaillée: [prelink a un type permissif (prelink_t). Cet accès n'a pas été refusé.] SELinux a empêché prelink d'read à /etc/pki/tls/certs/Makefile. Le programme prelink n'est autorisé qu'à manipuler des fichiers qui sont identifiés par SELinux en tant que exécutables ou bibliothèques partagées. Les bibliothèques placées dans les répertoires de bibliothèques sont étiquetées par défaut comme des bibliothèques partagées. De la même manière, les exécutables placés dans les répertoires bin ou sbin sont étiquetés comme des exécutables par SELinux. Cependant, si ces fichiers sont installés dans d'autres répertoires, ils peuvent ne pas avoir le même étiquetage. Si prelink essaye de manipuler un fichier qui n'est pas un fichier binaire ou de partager une bibliothèque, cela peut indiquer une Autoriser l'accès: Vous pouvez modifier le contexte de fichier en exécutant "chcon -t bin_t '/etc/pki/tls/certs/Makefile'" ou "chcon -t lib_t '/etc/pki/tls/certs/Makefile'" s'il s'agit d'une bibliothèque partagée. Si vous souhaitez rendre ces modifications permanentes, vous devez exécuter la commande semanage. "semanage fcontext -a -t bin_t '/etc/pki/tls/certs/Makefile'" ou "semanage fcontext -a -t lib_t '/etc/pki/tls/certs/Makefile'". Si vous pressentez que cet exécutable ou que cette bibliothèque partagée est dans un répertoire inapproprié, merci de remplir un rapport de bug sur la paquet qui comprend le fichier. Si vous pensez que SELinux devrait connaître ce fichier et son étiquetage, merci de remplir un rapport de bogue sur SELinux po Informations complémentaires: Contexte source system_u:system_r:prelink_t:s0-s0:c0.c1023 Contexte cible system_u:object_r:cert_t:s0 Objets du contexte /etc/pki/tls/certs/Makefile [ file ] source prelink Chemin de la source /usr/sbin/prelink Port <Inconnu> Hôte (supprimé) Paquetages RPM source prelink-0.4.3-3.fc13 Paquetages RPM cible openssl-1.0.0-1.fc13 Politique RPM selinux-policy-3.7.19-15.fc13 Selinux activé True Type de politique targeted Mode strict Enforcing Nom du plugin prelink_mislabled Nom de l'hôte (supprimé) Plateforme Linux (supprimé) 2.6.33.4-95.fc13.x86_64 #1 SMP Thu May 13 05:16:23 UTC 2010 x86_64 x86_64 Compteur d'alertes 14 Première alerte mer. 26 mai 2010 14:36:04 EDT Dernière alerte mer. 26 mai 2010 14:36:04 EDT ID local 0fa18a2a-0bc6-4537-aca5-c47ac5ff65c1 Numéros des lignes Messages d'audit bruts node=(supprimé) type=AVC msg=audit(1274898964.859:325): avc: denied { read } for pid=29630 comm="prelink" path="/etc/pki/tls/certs/Makefile" dev=dm-2 ino=131348 scontext=system_u:system_r:prelink_t:s0-s0:c0.c1023 tcontext=system_u:object_r:cert_t:s0 tclass=file node=(supprimé) type=AVC msg=audit(1274898964.859:325): avc: denied { read } for pid=29630 comm="prelink" path="/etc/pki/tls/certs/make-dummy-cert" dev=dm-2 ino=131349 scontext=system_u:system_r:prelink_t:s0-s0:c0.c1023 tcontext=system_u:object_r:cert_t:s0 tclass=file node=(supprimé) type=AVC msg=audit(1274898964.859:325): avc: denied { read } for pid=29630 comm="prelink" path="/etc/pki/tls/misc/CA" dev=dm-2 ino=131351 scontext=system_u:system_r:prelink_t:s0-s0:c0.c1023 tcontext=system_u:object_r:cert_t:s0 tclass=file node=(supprimé) type=AVC msg=audit(1274898964.859:325): avc: denied { read } for pid=29630 comm="prelink" path="/etc/pki/tls/misc/c_hash" dev=dm-2 ino=131352 scontext=system_u:system_r:prelink_t:s0-s0:c0.c1023 tcontext=system_u:object_r:cert_t:s0 tclass=file node=(supprimé) type=AVC msg=audit(1274898964.859:325): avc: denied { read } for pid=29630 comm="prelink" path="/etc/pki/tls/misc/c_info" dev=dm-2 ino=131353 scontext=system_u:system_r:prelink_t:s0-s0:c0.c1023 tcontext=system_u:object_r:cert_t:s0 tclass=file node=(supprimé) type=AVC msg=audit(1274898964.859:325): avc: denied { read } for pid=29630 comm="prelink" path="/etc/pki/tls/misc/c_issuer" dev=dm-2 ino=131354 scontext=system_u:system_r:prelink_t:s0-s0:c0.c1023 tcontext=system_u:object_r:cert_t:s0 tclass=file node=(supprimé) type=AVC msg=audit(1274898964.859:325): avc: denied { read } for pid=29630 comm="prelink" path="/etc/pki/tls/misc/c_name" dev=dm-2 ino=131355 scontext=system_u:system_r:prelink_t:s0-s0:c0.c1023 tcontext=system_u:object_r:cert_t:s0 tclass=file node=(supprimé) type=SYSCALL msg=audit(1274898964.859:325): arch=c000003e syscall=59 success=yes exit=0 a0=40dd7a a1=7fff78dacb10 a2=7fff78db2528 a3=3144a17240 items=0 ppid=29621 pid=29630 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="prelink" exe="/usr/sbin/prelink" subj=system_u:system_r:prelink_t:s0-s0:c0.c1023 key=(null) yum update gnutls? Hash String generated from prelink_mislabled,prelink,prelink_t,cert_t,file,read audit2allow suggests: #============= prelink_t ============== allow prelink_t cert_t:file read;
Why is prelink in reading these files? Are they all marked as executables?
-rw-r--r--. 1 root root 720649 15 janv. 12:11 ca-bundle.crt -rwxr-xr-x. 1 root root 610 18 mai 12:12 make-dummy-cert -rw-r--r--. 1 root root 2242 18 mai 12:12 Makefile -rwxr-xr-x. 1 root root 5178 18 mai 12:11 CA -rwxr-xr-x. 1 root root 119 18 mai 12:11 c_hash -rwxr-xr-x. 1 root root 152 18 mai 12:11 c_info -rwxr-xr-x. 1 root root 112 18 mai 12:11 c_issuer -rwxr-xr-x. 1 root root 110 18 mai 12:11 c_name The AVC appeared when i was executing yum updates (GnuTLS got updated).
system_u:object_r:cert_t:s0 is the label of the files above.
Right are these files executables. The problem is prelink needs to be able to /read/write all executables on the system. Since these are in the cert directory it seems pretty strange place for exes. If you relabel them to bin_t this AVC will go away. Should we label these as bin_t by default?
(In reply to comment #4) > Right are these files executables. The problem is prelink needs to be able to > /read/write all executables on the system. Since these are in the cert > directory it seems pretty strange place for exes. If you relabel them to bin_t > this AVC will go away. Should we label these as bin_t by default? CC tmraz?
Miroslav add labeling /etc/pki/tls/certs/make-dummy-cert -- gen_context(system_u:object_r:bin_t,s0) /etc/pki/tls/misc(/.*)? -- gen_context(system_u:object_r:bin_t,s0)
Fixed in selinux-policy-3.7.19-30.fc13
selinux-policy-3.7.19-33.fc13 has been submitted as an update for Fedora 13. http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-33.fc13
selinux-policy-3.7.19-33.fc13 has been pushed to the Fedora 13 testing repository. If problems still persist, please make note of it in this bug report. If you want to test the update, you can install it with su -c 'yum --enablerepo=updates-testing update selinux-policy'. You can provide feedback for this update here: http://admin.fedoraproject.org/updates/selinux-policy-3.7.19-33.fc13
selinux-policy-3.7.19-33.fc13 has been pushed to the Fedora 13 stable repository. If problems still persist, please make note of it in this bug report.