Bug 619725 - SELinux verhindert /usr/sbin/NetworkManager "read" Zugriff on tmp.
SELinux verhindert /usr/sbin/NetworkManager "read" Zugriff on tmp.
Status: CLOSED NOTABUG
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
13
x86_64 Linux
low Severity medium
: ---
: ---
Assigned To: Daniel Walsh
Fedora Extras Quality Assurance
setroubleshoot_trace_hash:9b9df59d547...
:
Depends On:
Blocks:
  Show dependency treegraph
 
Reported: 2010-07-30 06:23 EDT by Raphael Groner
Modified: 2010-07-30 14:40 EDT (History)
3 users (show)

See Also:
Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-07-30 14:40:25 EDT
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

  None (edit)
Description Raphael Groner 2010-07-30 06:23:58 EDT
Zusammenfassung:

SELinux verhindert /usr/sbin/NetworkManager "read" Zugriff on tmp.

Detaillierte Beschreibung:

SELinux verweigerte den von NetworkManager angeforderten Zugriff. Da nicht davon
ausgegangen wird, dass dieser Zugriff von NetworkManager benötigt wird,
signalisiert dies möglicherweise einen Einbruchsversuch. Es ist ausserdem
möglich, dass diese spezielle Version oder Konfiguration der Anwendung den
zusätzlichen Zugriff verursacht.

Zugriff erlauben:

Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu
erlauben siehe FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385)
Bitte reichen Sie einen Fehlerbericht ein.

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:NetworkManager_t:s0
Zielkontext                   system_u:object_r:var_t:s0
Zielobjekte                   tmp [ dir ]
Quelle                        NetworkManager
Quellpfad                     /usr/sbin/NetworkManager
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         NetworkManager-0.8.1-0.1.git20100510.fc13
RPM-Pakete des Ziels          filesystem-2.4.31-1.fc13
Richtlinien-RPM               selinux-policy-3.7.19-39.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Enforcing
Plugin-Name                   catchall
Rechnername                   (entfernt)
Plattform                     Linux (entfernt) 2.6.33.6-147.fc13.x86_64 #1 SMP Tue
                              Jul 6 22:32:17 UTC 2010 x86_64 x86_64
Anzahl der Alarme             2
Zuerst gesehen                Fr 30 Jul 2010 12:11:36 CEST
Zuletzt gesehen               Fr 30 Jul 2010 12:11:36 CEST
Lokale ID                     bf9b1f2b-d5c1-47cc-9395-dba5de34e012
Zeilennummern                 

Raw-Audit-Meldungen           

node=(entfernt) type=AVC msg=audit(1280484696.641:7): avc:  denied  { read } for  pid=1100 comm="NetworkManager" name="tmp" dev=sda3 ino=115331 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir

node=(entfernt) type=SYSCALL msg=audit(1280484696.641:7): arch=c000003e syscall=2 success=no exit=-13 a0=3219e3d93c a1=0 a2=1b6 a3=0 items=0 ppid=1 pid=1100 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="NetworkManager" exe="/usr/sbin/NetworkManager" subj=system_u:system_r:NetworkManager_t:s0 key=(null)


Hash String generated from  catchall,NetworkManager,NetworkManager_t,var_t,dir,read
audit2allow suggests:

#============= NetworkManager_t ==============
allow NetworkManager_t var_t:dir read;
Comment 1 Raphael Groner 2010-07-30 11:25:18 EDT
It seems to happen always after each login.
Comment 2 Daniel Walsh 2010-07-30 14:40:25 EDT
Looks like you have a mislabeled /var/tmp directroy

restorecon -R -v /var/tmp

Should fix.

If you delete and recreate this directory you have to run restorecon to make sure the label is correct.

Note You need to log in before you can comment on or make changes to this bug.