Bug 615759 - SELinux empêche Samba (/usr/sbin/smbd) d'"write" au périphérique /donnees/srvr/donnees/Carine.
Summary: SELinux empêche Samba (/usr/sbin/smbd) d'"write" au périphérique /donnees/srv...
Keywords:
Status: CLOSED NOTABUG
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: 13
Hardware: x86_64
OS: Linux
low
medium
Target Milestone: ---
Assignee: Miroslav Grepl
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:a1c890bef7e...
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-07-18 14:21 UTC by Dof
Modified: 2010-07-19 13:01 UTC (History)
2 users (show)

Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed: 2010-07-19 13:01:21 UTC
Type: ---
Embargoed:


Attachments (Terms of Use)

Description Dof 2010-07-18 14:21:24 UTC
Résumé:

SELinux empêche Samba (/usr/sbin/smbd) d'"write" au périphérique
/donnees/srvr/donnees/Carine.

Description détaillée:

SELinux a refusé à samba l'accès à /donnees/srvr/donnees/Carine. Si vous
souhaitez partager ce répertoire avec samba, il doit comporter un étiquetage
de contexte de fichier tel que samba_share_t. Si vous n'avez pas l'intention
d'utiliser /donnees/srvr/donnees/Carine en tant que répertoire samba cela peut
soit signifier un bogue, soit une tentative d'intrusion. Veuillez vous référer
à la page de manuel 'man samba_selinux' pour plus d'informations sur la
manière de configurer Samba et SE

Autoriser l'accès:

Vous pouvez modifier le contexte de fichier en exécutant chcon -R -t
samba_share_t '/donnees/srvr/donnees/Carine' Vous devez aussi changer le dossier
par défaut des fichiers de contexte de votre système, même lors d'un
réétiquetage complet, de manière à les préserver. "semanage fcontext -a -t
samba_share_t '/donnees/srvr/donnees/Cari

Commande de correction:

chcon -R -t samba_share_t '/donnees/srvr/donnees/Carine'

Informations complémentaires:

Contexte source               unconfined_u:system_r:smbd_t:s0
Contexte cible                unconfined_u:object_r:etc_runtime_t:s0
Objets du contexte            /donnees/srvr/donnees/Carine [ dir ]
source                        smbd
Chemin de la source           /usr/sbin/smbd
Port                          <Inconnu>
Hôte                         (supprimé)
Paquetages RPM source         samba-3.5.4-62.fc13
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.7.19-33.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 samba_share
Nom de l'hôte                (supprimé)
Plateforme                    Linux (supprimé) 2.6.33.6-147.fc13.x86_64
                              #1 SMP Tue Jul 6 22:32:17 UTC 2010 x86_64 x86_64
Compteur d'alertes            8
Première alerte              dim. 18 juil. 2010 16:06:11 CEST
Dernière alerte              dim. 18 juil. 2010 16:06:40 CEST
ID local                      c184f822-c505-419e-b43b-f941a19dee7c
Numéros des lignes           

Messages d'audit bruts        

node=(supprimé) type=AVC msg=audit(1279462000.8:25208): avc:  denied  { write } for  pid=3676 comm="smbd" name="Carine" dev=dm-6 ino=565249 scontext=unconfined_u:system_r:smbd_t:s0 tcontext=unconfined_u:object_r:etc_runtime_t:s0 tclass=dir

node=(supprimé) type=SYSCALL msg=audit(1279462000.8:25208): arch=c000003e syscall=2 success=no exit=-13 a0=7f22d5929c20 a1=c2 a2=1e4 a3=1 items=0 ppid=3634 pid=3676 auid=500 uid=0 gid=0 euid=503 suid=503 fsuid=503 egid=505 sgid=505 fsgid=505 tty=(none) ses=2 comm="smbd" exe="/usr/sbin/smbd" subj=unconfined_u:system_r:smbd_t:s0 key=(null)



Hash String generated from  samba_share,smbd,smbd_t,etc_runtime_t,dir,write
audit2allow suggests:

#============= smbd_t ==============
#!!!! This avc can be allowed using the boolean 'samba_export_all_rw'

allow smbd_t etc_runtime_t:dir write;

Comment 1 Miroslav Grepl 2010-07-19 10:36:56 UTC
Not sure why this directory is labeled as etc_runtime_t. Did you add this label?

Comment 2 Miroslav Grepl 2010-07-19 10:39:55 UTC
You either need to label it as samba_share_t as described in the alert or turn
on the samba_export_all_rw boolean if you are sharing the entire disk.

Comment 3 Daniel Walsh 2010-07-19 13:01:21 UTC
man samba_selinux


Note You need to log in before you can comment on or make changes to this bug.