618775 – SELinux verhindert /bin/bash "write" Zugriff on resolv.conf.

Bug 618775 - SELinux verhindert /bin/bash "write" Zugriff on resolv.conf.

Summary: SELinux verhindert /bin/bash "write" Zugriff on resolv.conf.

Keywords:
Status:	CLOSED NOTABUG
Alias:	None
Product:	Fedora
Classification:	Fedora
Component:	selinux-policy
Sub Component:
Version:	13
Hardware:	i386
OS:	Linux
Priority:	low
Severity:	medium
Target Milestone:	---
Assignee:	Daniel Walsh
QA Contact:	Fedora Extras Quality Assurance
Docs Contact:
URL:
Whiteboard:	setroubleshoot_trace_hash:07681573f7f...
Depends On:
Blocks:
TreeView+	depends on / blocked

Reported:	2010-07-27 17:19 UTC by jambus85
Modified:	2010-07-27 20:40 UTC (History)
CC List:	2 users (show)
Fixed In Version:
Doc Type:	Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed:	2010-07-27 20:40:32 UTC
Type:	---
Embargoed:
Dependent Products:

Attachments	(Terms of Use)

Description jambus85 2010-07-27 17:19:35 UTC

Zusammenfassung:

SELinux verhindert /bin/bash "write" Zugriff on resolv.conf.

Detaillierte Beschreibung:

[SELinux ist in freizügigem Modus. Dieser Zugriff wurde nicht verweigert.]

SELinux verweigerte den von dhclient-script angeforderten Zugriff. Da nicht
davon ausgegangen wird, dass dieser Zugriff von dhclient-script benötigt wird,
signalisiert dies möglicherweise einen Einbruchsversuch. Es ist ausserdem
möglich, dass diese spezielle Version oder Konfiguration der Anwendung den
zusätzlichen Zugriff verursacht.

Zugriff erlauben:

Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu
erlauben siehe FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385)
Bitte reichen Sie einen Fehlerbericht ein.

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:dhcpc_t:s0
Zielkontext                   unconfined_u:object_r:NetworkManager_var_lib_t:s0
Zielobjekte                   resolv.conf [ file ]
Quelle                        dhclient-script
Quellpfad                     /bin/bash
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         bash-4.1.7-1.fc13
RPM-Pakete des Ziels          
Richtlinien-RPM               selinux-policy-3.7.19-21.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Permissive
Plugin-Name                   catchall
Rechnername                   (entfernt)
Plattform                     Linux (entfernt) 2.6.33.5-112.fc13.i686 #1 SMP
                              Thu May 27 03:11:56 UTC 2010 i686 i686
Anzahl der Alarme             1
Zuerst gesehen                Mo 07 Jun 2010 17:16:22 CEST
Zuletzt gesehen               Mo 07 Jun 2010 17:16:22 CEST
Lokale ID                     91bb86a6-c9d4-4ae6-b66d-68bf93a51fa9
Zeilennummern                 

Raw-Audit-Meldungen           

node=(entfernt) type=AVC msg=audit(1275923782.65:21): avc:  denied  { write } for  pid=1861 comm="dhclient-script" name="resolv.conf" dev=dm-2 ino=12867 scontext=system_u:system_r:dhcpc_t:s0 tcontext=unconfined_u:object_r:NetworkManager_var_lib_t:s0 tclass=file

node=(entfernt) type=SYSCALL msg=audit(1275923782.65:21): arch=40000003 syscall=5 success=yes exit=4 a0=8df3998 a1=8241 a2=1b6 a3=0 items=0 ppid=1836 pid=1861 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="dhclient-script" exe="/bin/bash" subj=system_u:system_r:dhcpc_t:s0 key=(null)



Hash String generated from  catchall,dhclient-script,dhcpc_t,NetworkManager_var_lib_t,file,write
audit2allow suggests:

#============= dhcpc_t ==============
allow dhcpc_t NetworkManager_var_lib_t:file write;

Comment 1 Daniel Walsh 2010-07-27 20:40:32 UTC

Some how /etc/resolv.conf got mislabeled.  restorecon -v /etc/resolv.conf

Should fix.  If this happens again please reopen the bugzilla.

Note You need to log in before you can comment on or make changes to this bug.