Bug 611627 - SELinux está negando a /bin/bash el acceso "getattr" on /sbin/iptables-multi
SELinux está negando a /bin/bash el acceso "getattr" on /sbin/iptabl...
Status: CLOSED INSUFFICIENT_DATA
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
i386 Linux
low Severity medium
: ---
: ---
Assigned To: Miroslav Grepl
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:dfbd9cded49...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-07-05 20:49 EDT by Sebastián Ramírez
Modified: 2010-11-03 11:52 EDT (History)
3 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-11-03 11:52:53 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Sebastián Ramírez 2010-07-05 20:49:06 EDT
Resúmen:

SELinux está negando a /bin/bash el acceso "getattr" on /sbin/iptables-multi

Descripción Detallada:

SELinux negó el acceso requerido por 0clampmss. No se esperaba que este acceso
fuera requerido por 0clampmss, y puede ser indicio de un intento de ataque.
También es posible que la versión específica o la configuración de la
aplicación esté provocando esta necesidad de acceso adicional

Permitiendo Acceso:

Puede generar un módulo de política local para permitir este acceso. Vea FAQ
(http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Por favor, informe
este error.

Información Adicional:

Contexto Fuente               system_u:system_r:pppd_t:s0
Contexto Destino              system_u:object_r:iptables_exec_t:s0
Objetos Destino               /sbin/iptables-multi [ file ]
Fuente                        0clampmss
Dirección de Fuente          /bin/bash
Puerto                        <Desconocido>
Nombre de Equipo              (eliminado)
Paquetes RPM Fuentes          bash-4.1.7-1.fc13
Paquetes RPM Destinos         iptables-1.4.7-2.fc13
RPM de Políticas             selinux-policy-3.7.19-28.fc13
SELinux Activado              True
Tipo de Política             targeted
Modo Obediente                Enforcing
Nombre de Plugin              catchall
Nombre de Equipo              (eliminado)
Plataforma                    Linux (eliminado) 2.6.33.5-124.fc13.i686 #1
                              SMP Fri Jun 11 09:48:40 UTC 2010 i686 i686
Cantidad de Alertas           2
Visto por Primera Vez         lun 05 jul 2010 21:40:13 UYT
Visto por Última Vez         lun 05 jul 2010 21:42:55 UYT
ID Local                      8643b31a-ef8f-468b-9732-97215fc1142a
Números de Línea            

Mensajes de Auditoría Crudos 

node=(eliminado) type=AVC msg=audit(1278376975.252:95): avc:  denied  { getattr } for  pid=7277 comm="0clampmss" path="/sbin/iptables-multi" dev=sda3 ino=8456 scontext=system_u:system_r:pppd_t:s0 tcontext=system_u:object_r:iptables_exec_t:s0 tclass=file

node=(eliminado) type=SYSCALL msg=audit(1278376975.252:95): arch=40000003 syscall=195 success=no exit=-13 a0=9394af8 a1=bfe9b370 a2=933ff4 a3=9394af8 items=0 ppid=7260 pid=7277 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="0clampmss" exe="/bin/bash" subj=system_u:system_r:pppd_t:s0 key=(null)



Hash String generated from  catchall,0clampmss,pppd_t,iptables_exec_t,file,getattr
audit2allow suggests:

#============= pppd_t ==============
allow pppd_t iptables_exec_t:file getattr;
Comment 1 Miroslav Grepl 2010-07-07 07:52:43 EDT
Jiri,
any idea why pppd needs this access?
Comment 2 Jiri Skala 2010-07-12 03:57:39 EDT
No idea, there is no reference to iptables* in ppp. I don't think ppp has hand in changing context of iptables-multi.
Comment 3 Daniel Walsh 2010-07-12 17:30:16 EDT
Looks like this could have something to do with 0clampmss?
Comment 4 Miroslav Grepl 2010-11-03 11:52:53 EDT
Are you still seeing it? If so, please reopen the bug.

Note You need to log in before you can comment on or make changes to this bug.