Résumé: SELinux empêche l'accès en "read" à /usr/libexec/polkit-1/polkit-agent-helper-1 on cpuin Description détaillée: SELinux a refusé l'accès demandé par polkit-agent-he. Il n'est pas prévu que cet accès soit requis par polkit-agent-he et cet accès peut signaler une tentative d'intrusion. Il est également possible que cette version ou cette configuration spécifique de l'application provoque cette demande d'accès supplémenta Autoriser l'accès: Vous pouvez créer un module de stratégie locale pour autoriser cet accès - lisez la FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Merci de remplir un rapport de bogue. Informations complémentaires: Contexte source unconfined_u:unconfined_r:policykit_auth_t:s0-s0:c 0.c1023 Contexte cible system_u:object_r:proc_t:s0 Objets du contexte cpuinfo [ file ] source polkit-agent-he Chemin de la source /usr/libexec/polkit-1/polkit-agent-helper-1 Port <Inconnu> Hôte (supprimé) Paquetages RPM source polkit-0.96-1.fc13 Paquetages RPM cible Politique RPM selinux-policy-3.8.8-10.fc14 Selinux activé True Type de politique targeted Mode strict Enforcing Nom du plugin catchall Nom de l'hôte (supprimé) Plateforme Linux (supprimé) 2.6.35-2.fc14.x86_64 #1 SMP Wed Aug 4 19:15:25 UTC 2010 x86_64 x86_64 Compteur d'alertes 2 Première alerte ven. 06 août 2010 19:57:59 CEST Dernière alerte ven. 06 août 2010 19:57:59 CEST ID local 7430054e-c36a-4448-8780-3b0d8ce6d88a Numéros des lignes Messages d'audit bruts node=(supprimé) type=AVC msg=audit(1281117479.56:26): avc: denied { read } for pid=2628 comm="polkit-agent-he" name="cpuinfo" dev=proc ino=4026532015 scontext=unconfined_u:unconfined_r:policykit_auth_t:s0-s0:c0.c1023 tcontext=system_u:object_r:proc_t:s0 tclass=file node=(supprimé) type=SYSCALL msg=audit(1281117479.56:26): arch=c000003e syscall=2 success=no exit=-13 a0=365db5ba53 a1=80000 a2=d a3=0 items=0 ppid=2342 pid=2628 auid=500 uid=500 gid=500 euid=0 suid=0 fsuid=0 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="polkit-agent-he" exe="/usr/libexec/polkit-1/polkit-agent-helper-1" subj=unconfined_u:unconfined_r:policykit_auth_t:s0-s0:c0.c1023 key=(null) Hash String generated from catchall,polkit-agent-he,policykit_auth_t,proc_t,file,read audit2allow suggests: #============= policykit_auth_t ============== allow policykit_auth_t proc_t:file read;
You can add these rules for now using # grep avc /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp Fixed in selinux-policy-3.8.8-12.fc14
selinux-policy-3.8.8-14.fc14 has been submitted as an update for Fedora 14. http://admin.fedoraproject.org/updates/selinux-policy-3.8.8-14.fc14
selinux-policy-3.8.8-14.fc14 has been pushed to the Fedora 14 stable repository. If problems still persist, please make note of it in this bug report.