Bug 618775 - SELinux verhindert /bin/bash "write" Zugriff on resolv.conf.
Summary: SELinux verhindert /bin/bash "write" Zugriff on resolv.conf.
Status: CLOSED NOTABUG
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
(Show other bugs)
Version: 13
Hardware: i386 Linux
low
medium
Target Milestone: ---
Assignee: Daniel Walsh
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:07681573f7f...
Keywords:
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-07-27 17:19 UTC by jambus85
Modified: 2010-07-27 20:40 UTC (History)
2 users (show)

Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-07-27 20:40:32 UTC
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

Description jambus85 2010-07-27 17:19:35 UTC
Zusammenfassung:

SELinux verhindert /bin/bash "write" Zugriff on resolv.conf.

Detaillierte Beschreibung:

[SELinux ist in freizügigem Modus. Dieser Zugriff wurde nicht verweigert.]

SELinux verweigerte den von dhclient-script angeforderten Zugriff. Da nicht
davon ausgegangen wird, dass dieser Zugriff von dhclient-script benötigt wird,
signalisiert dies möglicherweise einen Einbruchsversuch. Es ist ausserdem
möglich, dass diese spezielle Version oder Konfiguration der Anwendung den
zusätzlichen Zugriff verursacht.

Zugriff erlauben:

Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu
erlauben siehe FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385)
Bitte reichen Sie einen Fehlerbericht ein.

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:dhcpc_t:s0
Zielkontext                   unconfined_u:object_r:NetworkManager_var_lib_t:s0
Zielobjekte                   resolv.conf [ file ]
Quelle                        dhclient-script
Quellpfad                     /bin/bash
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         bash-4.1.7-1.fc13
RPM-Pakete des Ziels          
Richtlinien-RPM               selinux-policy-3.7.19-21.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Permissive
Plugin-Name                   catchall
Rechnername                   (entfernt)
Plattform                     Linux (entfernt) 2.6.33.5-112.fc13.i686 #1 SMP
                              Thu May 27 03:11:56 UTC 2010 i686 i686
Anzahl der Alarme             1
Zuerst gesehen                Mo 07 Jun 2010 17:16:22 CEST
Zuletzt gesehen               Mo 07 Jun 2010 17:16:22 CEST
Lokale ID                     91bb86a6-c9d4-4ae6-b66d-68bf93a51fa9
Zeilennummern                 

Raw-Audit-Meldungen           

node=(entfernt) type=AVC msg=audit(1275923782.65:21): avc:  denied  { write } for  pid=1861 comm="dhclient-script" name="resolv.conf" dev=dm-2 ino=12867 scontext=system_u:system_r:dhcpc_t:s0 tcontext=unconfined_u:object_r:NetworkManager_var_lib_t:s0 tclass=file

node=(entfernt) type=SYSCALL msg=audit(1275923782.65:21): arch=40000003 syscall=5 success=yes exit=4 a0=8df3998 a1=8241 a2=1b6 a3=0 items=0 ppid=1836 pid=1861 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="dhclient-script" exe="/bin/bash" subj=system_u:system_r:dhcpc_t:s0 key=(null)



Hash String generated from  catchall,dhclient-script,dhcpc_t,NetworkManager_var_lib_t,file,write
audit2allow suggests:

#============= dhcpc_t ==============
allow dhcpc_t NetworkManager_var_lib_t:file write;

Comment 1 Daniel Walsh 2010-07-27 20:40:32 UTC
Some how /etc/resolv.conf got mislabeled.  restorecon -v /etc/resolv.conf

Should fix.  If this happens again please reopen the bugzilla.


Note You need to log in before you can comment on or make changes to this bug.