Résumé: SELinux empêche l'accès en "read" à /usr/bin/doveconf on /etc/dovecot/conf Description détaillée: SELinux a refusé l'accès demandé par doveconf. Il n'est pas prévu que cet accès soit requis par doveconf et cet accès peut signaler une tentative d'intrusion. Il est également possible que cette version ou cette configuration spécifique de l'application provoque cette demande d'accès supplémenta Autoriser l'accès: Vous pouvez créer un module de stratégie locale pour autoriser cet accès - lisez la FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Merci de remplir un rapport de bogue. Informations complémentaires: Contexte source unconfined_u:system_r:dovecot_t:s0 Contexte cible system_u:object_r:dovecot_etc_t:s0 Objets du contexte /etc/dovecot/conf.d [ dir ] source doveconf Chemin de la source /usr/bin/doveconf Port <Inconnu> Hôte (supprimé) Paquetages RPM source dovecot-2.0-0.20.rc4.fc14 Paquetages RPM cible dovecot-2.0-0.20.rc4.fc14 Politique RPM selinux-policy-3.8.8-11.fc14 Selinux activé True Type de politique targeted Mode strict Enforcing Nom du plugin catchall Nom de l'hôte (supprimé) Plateforme Linux (supprimé) 2.6.35.1-4.rc1.fc14.x86_64 #1 SMP Sat Aug 7 17:02:35 UTC 2010 x86_64 x86_64 Compteur d'alertes 1 Première alerte dim. 08 août 2010 17:37:40 CEST Dernière alerte dim. 08 août 2010 17:37:40 CEST ID local 1efbd56d-503b-479e-aa01-bfd4e607b69e Numéros des lignes Messages d'audit bruts node=(supprimé) type=AVC msg=audit(1281281860.212:123): avc: denied { read } for pid=3717 comm="doveconf" name="conf.d" dev=dm-1 ino=2113318 scontext=unconfined_u:system_r:dovecot_t:s0 tcontext=system_u:object_r:dovecot_etc_t:s0 tclass=dir node=(supprimé) type=SYSCALL msg=audit(1281281860.212:123): arch=c000003e syscall=2 success=no exit=-13 a0=7fffc7001d10 a1=90800 a2=1b0e9f4 a3=0 items=0 ppid=3716 pid=3717 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=6 comm="doveconf" exe="/usr/bin/doveconf" subj=unconfined_u:system_r:dovecot_t:s0 key=(null) Hash String generated from catchall,doveconf,dovecot_t,dovecot_etc_t,dir,read audit2allow suggests: #============= dovecot_t ============== allow dovecot_t dovecot_etc_t:dir read;
dovecot config has been split in many files upstream...
Still there with selinux-policy-targeted-3.8.8-12.fc14.noarch selinux-policy-3.8.8-12.fc14.noarch
Still there with selinux-policy-targeted-3.8.8-13.fc14.noarch selinux-policy-3.8.8-13.fc14.noarch That makes it impossible to use dovecot on a selinux system, as it needs to read its configuration every time someone connects to work
You can add these rules for now using # grep avc /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp Fixed in selinux-policy-3.8.8-14.fc14
selinux-policy-3.8.8-14.fc14 has been submitted as an update for Fedora 14. http://admin.fedoraproject.org/updates/selinux-policy-3.8.8-14.fc14
selinux-policy-3.8.8-14.fc14 has been pushed to the Fedora 14 stable repository. If problems still persist, please make note of it in this bug report.