Résumé: SELinux empêche /bin/ping d'accéder au descripteur de fichier compromis /var/log/nagios/spool/checkresults/checkFbXH15. Description détaillée: [ping a un type permissif (ping_t). Cet accès n'a pas été refusé.] SELinux a refusé l'accès requis par la commande ping. Il se pourrait que ce soit un descripteur «fuité» ou bien que la sortie de ping soit redirigée vers un fichier interdit d'accès. Les fuites peuvent généralement être ignorées puisque SELinux referme ces fuites et rapporte l'erreur. L'application n'utilise pas le descripteur, il fonctionnera donc correctement. Si c'est une redirection, vous n'aurez pas de sortie dans /var/log/nagios/spool/checkresults/checkFbXH15. Vous devriez signaler un bug à bugzilla sur selinux-policy et il sera redirigé vers le paquet approprié. Vous pouvez en toute sécurité ignorer Autoriser l'accès: Vous pouvez générer un module de politique de sécurité local afin d'autoriser cet accès - voir FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Informations complémentaires: Contexte source system_u:system_r:ping_t:s0 Contexte cible system_u:object_r:nagios_log_t:s0 Objets du contexte /var/log/nagios/spool/checkresults/checkFbXH15 [ file ] source ping Chemin de la source /bin/ping Port <Inconnu> Hôte (supprimé) Paquetages RPM source iputils-20071127-10.fc13 Paquetages RPM cible Politique RPM selinux-policy-3.7.19-21.fc13 Selinux activé True Type de politique targeted Mode strict Enforcing Nom du plugin leaks Nom de l'hôte (supprimé) Plateforme Linux (supprimé) 2.6.33.4-95.fc13.x86_64 #1 SMP Thu May 13 05:16:23 UTC 2010 x86_64 x86_64 Compteur d'alertes 3 Première alerte dim. 30 mai 2010 11:29:42 CEST Dernière alerte dim. 30 mai 2010 11:32:11 CEST ID local f7cbc9fe-bf27-4e9f-957a-14d5298a939e Numéros des lignes Messages d'audit bruts node=(supprimé) type=AVC msg=audit(1275211931.220:46774): avc: denied { read write } for pid=7224 comm="ping" path="/var/log/nagios/spool/checkresults/checkFbXH15" dev=sda5 ino=3805304 scontext=system_u:system_r:ping_t:s0 tcontext=system_u:object_r:nagios_log_t:s0 tclass=file node=(supprimé) type=SYSCALL msg=audit(1275211931.220:46774): arch=c000003e syscall=59 success=yes exit=0 a0=1988320 a1=1988350 a2=7fff19a9cb70 a3=3bb9a17240 items=0 ppid=7223 pid=7224 auid=4294967295 uid=485 gid=465 euid=0 suid=0 fsuid=0 egid=465 sgid=465 fsgid=465 tty=(none) ses=4294967295 comm="ping" exe="/bin/ping" subj=system_u:system_r:ping_t:s0 key=(null) Hash String generated from leaks,ping,ping_t,nagios_log_t,file,read,write audit2allow suggests: #============= ping_t ============== allow ping_t nagios_log_t:file { read write };
Fixed in selinux-policy-3.7.19-22.fc13.