Bug 597800 - SELinux powstrzymuje /home/marek/qBT_dir/sanctuary/bin/Sanctuary przed wczytaniem /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so, który wymaga relokacji tekstu.
SELinux powstrzymuje /home/marek/qBT_dir/sanctuary/bin/Sanctuary przed wczyta...
Status: CLOSED NOTABUG
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
x86_64 Linux
low Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:53e918267b1...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-05-30 11:10 EDT by Marek Zdunek
Modified: 2010-05-31 05:56 EDT (History)
2 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-05-31 05:56:29 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Marek Zdunek 2010-05-30 11:10:02 EDT
Podsumowanie:

SELinux powstrzymuje /home/marek/qBT_dir/sanctuary/bin/Sanctuary przed
wczytaniem /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so, który wymaga
relokacji tekstu.

Szczegółowy opis:

Aplikacja Sanctuary próbowała wczytać
/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so, który wymaga relokacji
tekstu. Jest to potencjalny problem z bezpieczeństwem. Większość bibliotek
nie musi mieć tego pozwolenia. Mogą one czasem być niepoprawnie napisane i
żądać tego pozwolenia. Strona WWW Testy ochrony pamięci SELinuksa
(http://people.redhat.com/drepper/selinux-mem.html) wyjaśnia, jak usunąć te
wymaganie. Można tymczasowo skonfigurować obejście SELinuksa, aby pozwalał
/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so na użycie relokacji,
dopóki biblioteka nie zostanie naprawiona. proszę z

Zezwalanie na dostęp:

Jeśli /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so ma zaufanie, że
będzie poprawne się uruchomiał, można zmienić kontekst pliku na
textrel_shlib_t. "chcon -t textrel_shlib_t
'/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so'" Należy także zmienić
domyślny kontekst plików w systemie, aby zachować go nawet po pełnym
ponownym nadaniu etykiet. "semanage fcontext -a -t textrel_shlib_t
'/home/marek/qBT_dir/sanctuary/bin/libUnigine

Polecenie naprawy:

chcon -t textrel_shlib_t '/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so'

Dodatkowe informacje:

Kontekst źródłowy          unconfined_u:unconfined_r:unconfined_execmem_t:s0-
                              s0:c0.c1023
Kontekst docelowy             unconfined_u:object_r:user_home_t:s0
Obiekty docelowe              /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.s
                              o [ file ]
Źródło                     Sanctuary
Ścieżka źródłowa         /home/marek/qBT_dir/sanctuary/bin/Sanctuary
Port                          <Nieznane>
Komputer                      (usunięto)
Źródłowe pakiety RPM       
Docelowe pakiety RPM          
Pakiet RPM polityki           selinux-policy-3.7.19-21.fc13
SELinux jest włączony       True
Typ polityki                  targeted
Tryb wymuszania               Enforcing
Nazwa wtyczki                 allow_execmod
Nazwa komputera               (usunięto)
Platforma                     Linux amd64 2.6.33.4-95.fc13.x86_64 #1 SMP Thu May
                              13 05:16:23 UTC 2010 x86_64 x86_64
Liczba alarmów               2
Po raz pierwszy               nie, 30 maj 2010, 16:54:45
Po raz ostatni                nie, 30 maj 2010, 16:56:19
Lokalny identyfikator         e7a81a88-c435-49ae-844e-1fc1e0569778
Liczba wierszy                

Surowe komunikaty audytu      

node=amd64 type=AVC msg=audit(1275231379.445:24003): avc:  denied  { execmod } for  pid=8374 comm="Sanctuary" path="/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so" dev=sdb6 ino=1837070 scontext=unconfined_u:unconfined_r:unconfined_execmem_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file

node=amd64 type=SYSCALL msg=audit(1275231379.445:24003): arch=40000003 syscall=125 success=no exit=-13 a0=48a000 a1=fc7000 a2=5 a3=ffb48a20 items=0 ppid=8373 pid=8374 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts2 ses=1 comm="Sanctuary" exe="/home/marek/qBT_dir/sanctuary/bin/Sanctuary" subj=unconfined_u:unconfined_r:unconfined_execmem_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  allow_execmod,Sanctuary,unconfined_execmem_t,user_home_t,file,execmod
audit2allow suggests:

#============= unconfined_execmem_t ==============
#!!!! This avc can be allowed using the boolean 'allow_execmod'

allow unconfined_execmem_t user_home_t:file execmod;
Comment 1 Miroslav Grepl 2010-05-31 05:56:29 EDT
Alert tells you what you can do.  

chcon -t textrel_shlib_t '/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so'


Or you can turn off the protection by executing

setsebool -P allow_execmod 1

Note You need to log in before you can comment on or make changes to this bug.