Bugzilla will be upgraded to version 5.0 on a still to be determined date in the near future. The original upgrade date has been delayed.
Bug 619528 - SELinux powstrzymuje demona HTTP przed odczytywaniem katalogów domowych użytkowników.
SELinux powstrzymuje demona HTTP przed odczytywaniem katalogów domowych u...
Status: CLOSED NOTABUG
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
x86_64 Linux
low Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:7e530e5bcc8...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-07-29 14:18 EDT by Marek Zdunek
Modified: 2012-08-27 03:41 EDT (History)
11 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-07-29 14:52:07 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Marek Zdunek 2010-07-29 14:18:48 EDT
Podsumowanie:

SELinux powstrzymuje demona HTTP przed odczytywaniem katalogów domowych
użytkowników.

Szczegółowy opis:

[httpd posiada typ zezwalania (httpd_t). Ten dostęp nie został odmówiony.]

SELinux odmówił demonowi HTTP dostęp do katalogów domowych użytkowników.
Ktoś próbuje uzyskać dostęp do katalogów domowych przez demona HTTP. Jeśli
nie ustawiono httpd tak, aby współdzielił katalogi domowe, prawdopodobnie
wskazuje to prób

Zezwalanie na dostęp:

Aby pozwolić demonowi HTTP na współdzielenie katalogów domowych, należy
włączyć zmienną logiczną httpd_enable_homedirs: "setsebool -P
httpd_enable_homedirs=1" Należy także nadać etykietę zawartości, która ma
zostać współdzielona. Strona podręcznika httpd_selinux dostarcza dalszych
informacji. "man

Polecenie naprawy:

setsebool -P httpd_enable_homedirs=1

Dodatkowe informacje:

Kontekst źródłowy          unconfined_u:system_r:httpd_t:s0
Kontekst docelowy             unconfined_u:object_r:user_home_dir_t:s0
Obiekty docelowe              /home/marek [ dir ]
Źródło                     httpd
Ścieżka źródłowa         /usr/sbin/httpd
Port                          <Nieznane>
Komputer                      (usunięto)
Źródłowe pakiety RPM       httpd-2.2.15-1.fc13
Docelowe pakiety RPM          
Pakiet RPM polityki           selinux-policy-3.7.19-39.fc13
SELinux jest włączony       True
Typ polityki                  targeted
Tryb wymuszania               Enforcing
Nazwa wtyczki                 httpd_enable_homedirs
Nazwa komputera               (usunięto)
Platforma                     Linux amd64 2.6.33.6-147.fc13.x86_64 #1 SMP Tue
                              Jul 6 22:32:17 UTC 2010 x86_64 x86_64
Liczba alarmów               21
Po raz pierwszy               czw, 29 lip 2010, 19:09:12
Po raz ostatni                czw, 29 lip 2010, 19:34:26
Lokalny identyfikator         1e231989-a1ef-458e-8908-60a4049c5fd8
Liczba wierszy                

Surowe komunikaty audytu      

node=amd64 type=AVC msg=audit(1280424866.82:198): avc:  denied  { search } for  pid=8669 comm="httpd" name="marek" dev=sda6 ino=1703937 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_dir_t:s0 tclass=dir

node=amd64 type=SYSCALL msg=audit(1280424866.82:198): arch=c000003e syscall=4 success=yes exit=4294967424 a0=7f3d6bc9a2d8 a1=7fff09e3d2f0 a2=7fff09e3d2f0 a3=1999999999999999 items=0 ppid=8660 pid=8669 auid=500 uid=48 gid=487 euid=48 suid=48 fsuid=48 egid=487 sgid=487 fsgid=487 tty=(none) ses=1 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)



Hash String generated from  httpd_enable_homedirs,httpd,httpd_t,user_home_dir_t,dir,search
audit2allow suggests:

#============= httpd_t ==============
#!!!! This avc is allowed in the current policy

allow httpd_t user_home_dir_t:dir search;
Comment 1 Daniel Walsh 2010-07-29 14:52:07 EDT
#============= httpd_t ==============
#!!!! This avc is allowed in the current policy

allow httpd_t user_home_dir_t:dir search;
Comment 2 winhater 2010-09-22 06:52:36 EDT
It is strange, but in my case all lines which were previously referencing
subdirectories in my home directory, were STRICTLY commented out in httpd.conf
and conf.d. So, why httpd daemon tries to read my home directory again and again?
Comment 3 Daniel Walsh 2010-09-22 11:44:21 EDT
Do you have a separate file system mounted there?  httpd might be doing a search of all mounted file systems.
Comment 4 winhater 2010-09-22 21:19:18 EDT
I have separate filesystem /home:
Partial content of fstab:
$cat /etc/fstab
<SKIP>
/                       ext3    defaults        1 1
/home                   ext3    defaults        1 2
/var                    ext3    defaults        1 2
/tmp                    ext3    defaults        1 2
/usr                    ext3    defaults        1 2
/usr/local              ext3    defaults        1 2
/boot                   ext3    defaults        1 2
<SKIP>

$uname -r
2.6.34.7-56.fc13.i686

Why httpd is searching for SUBdirectories in /home?
(I have apache for development purposes, so port 80 is firewall protected.
So, it's obviously local apache "is playing pranks".
And what's more, this SELinux alert (though harmless, but annoying)
springs up only once at system start.)
Comment 5 Daniel Walsh 2010-09-23 09:19:38 EDT
How are you starting httpd?

If you use the service httpd start script, you should not see this avc.  If you execute /etc/init.d/httpd start from your home dir you would.

Note You need to log in before you can comment on or make changes to this bug.