Bug 597717 - SELinux empêche /bin/ping d'accéder au descripteur de fichier compromis /var/log/nagios/spool/checkresults/checkFbXH15.
SELinux empêche /bin/ping d'accéder au descripteur de fichier compromis /var/...
Status: CLOSED ERRATA
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
x86_64 Linux
low Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:cffd029d41c...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-05-30 05:32 EDT by galerien
Modified: 2010-07-08 20:23 EDT (History)
3 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-07-08 20:23:46 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description galerien 2010-05-30 05:32:33 EDT
Résumé:

SELinux empêche /bin/ping d'accéder au descripteur de fichier compromis
/var/log/nagios/spool/checkresults/checkFbXH15.

Description détaillée:

[ping a un type permissif (ping_t). Cet accès n'a pas été refusé.]

SELinux a refusé l'accès requis par la commande ping. Il se pourrait que ce
soit un descripteur «fuité» ou bien que la sortie de ping soit redirigée
vers un fichier interdit d'accès. Les fuites peuvent généralement être
ignorées puisque SELinux referme ces fuites et rapporte l'erreur. L'application
n'utilise pas le descripteur, il fonctionnera donc correctement. Si c'est une
redirection, vous n'aurez pas de sortie dans
/var/log/nagios/spool/checkresults/checkFbXH15. Vous devriez signaler un bug à
bugzilla sur selinux-policy et il sera redirigé vers le paquet approprié. Vous
pouvez en toute sécurité ignorer

Autoriser l'accès:

Vous pouvez générer un module de politique de sécurité local afin
d'autoriser cet accès - voir FAQ
(http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385)

Informations complémentaires:

Contexte source               system_u:system_r:ping_t:s0
Contexte cible                system_u:object_r:nagios_log_t:s0
Objets du contexte            /var/log/nagios/spool/checkresults/checkFbXH15 [
                              file ]
source                        ping
Chemin de la source           /bin/ping
Port                          <Inconnu>
Hôte                         (supprimé)
Paquetages RPM source         iputils-20071127-10.fc13
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.7.19-21.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 leaks
Nom de l'hôte                (supprimé)
Plateforme                    Linux (supprimé)
                              2.6.33.4-95.fc13.x86_64 #1 SMP Thu May 13 05:16:23
                              UTC 2010 x86_64 x86_64
Compteur d'alertes            3
Première alerte              dim. 30 mai 2010 11:29:42 CEST
Dernière alerte              dim. 30 mai 2010 11:32:11 CEST
ID local                      f7cbc9fe-bf27-4e9f-957a-14d5298a939e
Numéros des lignes           

Messages d'audit bruts        

node=(supprimé) type=AVC msg=audit(1275211931.220:46774): avc:  denied  { read write } for  pid=7224 comm="ping" path="/var/log/nagios/spool/checkresults/checkFbXH15" dev=sda5 ino=3805304 scontext=system_u:system_r:ping_t:s0 tcontext=system_u:object_r:nagios_log_t:s0 tclass=file

node=(supprimé) type=SYSCALL msg=audit(1275211931.220:46774): arch=c000003e syscall=59 success=yes exit=0 a0=1988320 a1=1988350 a2=7fff19a9cb70 a3=3bb9a17240 items=0 ppid=7223 pid=7224 auid=4294967295 uid=485 gid=465 euid=0 suid=0 fsuid=0 egid=465 sgid=465 fsgid=465 tty=(none) ses=4294967295 comm="ping" exe="/bin/ping" subj=system_u:system_r:ping_t:s0 key=(null)



Hash String generated from  leaks,ping,ping_t,nagios_log_t,file,read,write
audit2allow suggests:

#============= ping_t ==============
allow ping_t nagios_log_t:file { read write };
Comment 1 Miroslav Grepl 2010-05-31 05:58:48 EDT
Fixed in selinux-policy-3.7.19-22.fc13.

Note You need to log in before you can comment on or make changes to this bug.