Bug 611627 - SELinux está negando a /bin/bash el acceso "getattr" on /sbin/iptables-multi
Summary: SELinux está negando a /bin/bash el acceso "getattr" on /sbin/iptabl...
Keywords:
Status: CLOSED INSUFFICIENT_DATA
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: 13
Hardware: i386
OS: Linux
low
medium
Target Milestone: ---
Assignee: Miroslav Grepl
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:dfbd9cded49...
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-07-06 00:49 UTC by Sebastián Ramírez
Modified: 2010-11-03 15:52 UTC (History)
3 users (show)

Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed: 2010-11-03 15:52:53 UTC
Type: ---
Embargoed:


Attachments (Terms of Use)

Description Sebastián Ramírez 2010-07-06 00:49:06 UTC
Resúmen:

SELinux está negando a /bin/bash el acceso "getattr" on /sbin/iptables-multi

Descripción Detallada:

SELinux negó el acceso requerido por 0clampmss. No se esperaba que este acceso
fuera requerido por 0clampmss, y puede ser indicio de un intento de ataque.
También es posible que la versión específica o la configuración de la
aplicación esté provocando esta necesidad de acceso adicional

Permitiendo Acceso:

Puede generar un módulo de política local para permitir este acceso. Vea FAQ
(http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Por favor, informe
este error.

Información Adicional:

Contexto Fuente               system_u:system_r:pppd_t:s0
Contexto Destino              system_u:object_r:iptables_exec_t:s0
Objetos Destino               /sbin/iptables-multi [ file ]
Fuente                        0clampmss
Dirección de Fuente          /bin/bash
Puerto                        <Desconocido>
Nombre de Equipo              (eliminado)
Paquetes RPM Fuentes          bash-4.1.7-1.fc13
Paquetes RPM Destinos         iptables-1.4.7-2.fc13
RPM de Políticas             selinux-policy-3.7.19-28.fc13
SELinux Activado              True
Tipo de Política             targeted
Modo Obediente                Enforcing
Nombre de Plugin              catchall
Nombre de Equipo              (eliminado)
Plataforma                    Linux (eliminado) 2.6.33.5-124.fc13.i686 #1
                              SMP Fri Jun 11 09:48:40 UTC 2010 i686 i686
Cantidad de Alertas           2
Visto por Primera Vez         lun 05 jul 2010 21:40:13 UYT
Visto por Última Vez         lun 05 jul 2010 21:42:55 UYT
ID Local                      8643b31a-ef8f-468b-9732-97215fc1142a
Números de Línea            

Mensajes de Auditoría Crudos 

node=(eliminado) type=AVC msg=audit(1278376975.252:95): avc:  denied  { getattr } for  pid=7277 comm="0clampmss" path="/sbin/iptables-multi" dev=sda3 ino=8456 scontext=system_u:system_r:pppd_t:s0 tcontext=system_u:object_r:iptables_exec_t:s0 tclass=file

node=(eliminado) type=SYSCALL msg=audit(1278376975.252:95): arch=40000003 syscall=195 success=no exit=-13 a0=9394af8 a1=bfe9b370 a2=933ff4 a3=9394af8 items=0 ppid=7260 pid=7277 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="0clampmss" exe="/bin/bash" subj=system_u:system_r:pppd_t:s0 key=(null)



Hash String generated from  catchall,0clampmss,pppd_t,iptables_exec_t,file,getattr
audit2allow suggests:

#============= pppd_t ==============
allow pppd_t iptables_exec_t:file getattr;

Comment 1 Miroslav Grepl 2010-07-07 11:52:43 UTC
Jiri,
any idea why pppd needs this access?

Comment 2 Jiri Skala 2010-07-12 07:57:39 UTC
No idea, there is no reference to iptables* in ppp. I don't think ppp has hand in changing context of iptables-multi.

Comment 3 Daniel Walsh 2010-07-12 21:30:16 UTC
Looks like this could have something to do with 0clampmss?

Comment 4 Miroslav Grepl 2010-11-03 15:52:53 UTC
Are you still seeing it? If so, please reopen the bug.


Note You need to log in before you can comment on or make changes to this bug.