Bug 625545 - SELinux hindert /bin/mailx am Zugriff auf einen /var/run/rkhunter/rkhcronlog.dD1Uiprk9u Dateideskriptorleck.
Summary: SELinux hindert /bin/mailx am Zugriff auf einen /var/run/rkhunter/rkhcronlog....
Status: CLOSED RAWHIDE
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy (Show other bugs)
(Show other bugs)
Version: 13
Hardware: i386 Linux
low
medium
Target Milestone: ---
Assignee: Daniel Walsh
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:5fba6a88d97...
Keywords:
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-08-19 19:12 UTC by Richard Ruhland
Modified: 2010-08-20 11:35 UTC (History)
2 users (show)

Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of:
Environment:
Last Closed: 2010-08-20 11:35:48 UTC
Type: ---
Regression: ---
Mount Type: ---
Documentation: ---
CRM:
Verified Versions:
Category: ---
oVirt Team: ---
RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: ---


Attachments (Terms of Use)

Description Richard Ruhland 2010-08-19 19:12:30 UTC
Zusammenfassung:

SELinux hindert /bin/mailx am Zugriff auf einen
/var/run/rkhunter/rkhcronlog.dD1Uiprk9u Dateideskriptorleck.

Detaillierte Beschreibung:

[mail hat einen zugelassenen Typ (system_mail_t). Dieser Zugriff wurde nicht
verweigert.]

SELinux verweigerte den vom mail-Befehl angeforderten Zugriff. Dies kann
entweder ein Leck des Dateideskriptors sein, oder mail Ausgabe wurde an eine
Datei umgeleitet, für die es kein Zugriffsrecht besitzt. Lecks können in der
Regel ignoriert werden, denn SELinux schließt einfach das Leck und meldet den
Fehler. Die Anwendung wird den Deskriptor nicht verwenden und infolgedessen
einwandfrei funktionieren. Falls dies eine Umleitung ist, werden Sie keine
Ausgabe im /var/run/rkhunter/rkhcronlog.dD1Uiprk9u erhalten. Sie sollten einen
Fehlerbericht für selinux-policy einreichen, der anschließend dem richtigen
Paket zugeordnet wird. Sie können diese AVC bedenkenlos ignorieren

Zugriff erlauben:

Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu
erlauben - siehe FAQ (http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385)

Zusätzliche Informationen:

Quellkontext                  system_u:system_r:system_mail_t:s0-s0:c0.c1023
Zielkontext                   system_u:object_r:var_run_t:s0
Zielobjekte                   /var/run/rkhunter/rkhcronlog.dD1Uiprk9u [ file ]
Quelle                        mail
Quellpfad                     /bin/mailx
Port                          <Unbekannt>
Host                          (entfernt)
RPM-Pakete der Quelle         mailx-12.4-6.fc13
RPM-Pakete des Ziels          
Richtlinien-RPM               selinux-policy-3.7.19-44.fc13
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Enforcing
Plugin-Name                   leaks
Rechnername                   (entfernt)
Plattform                     Linux (entfernt)
                              2.6.33.6-147.2.4.fc13.i686.PAE #1 SMP Fri Jul 23
                              17:21:06 UTC 2010 i686 i686
Anzahl der Alarme             1
Zuerst gesehen                Do 19 Aug 2010 20:14:44 CEST
Zuletzt gesehen               Do 19 Aug 2010 20:14:44 CEST
Lokale ID                     e47fd526-2769-425b-a67d-999b96384467
Zeilennummern                 

Raw-Audit-Meldungen           

node=(entfernt) type=AVC msg=audit(1282241684.590:69): avc:  denied  { append } for  pid=11493 comm="mail" path="/var/run/rkhunter/rkhcronlog.dD1Uiprk9u" dev=dm-0 ino=2359603 scontext=system_u:system_r:system_mail_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_run_t:s0 tclass=file

node=(entfernt) type=SYSCALL msg=audit(1282241684.590:69): arch=40000003 syscall=11 success=yes exit=0 a0=9e8ca58 a1=9e39e40 a2=9cc5358 a3=9e39e40 items=0 ppid=9491 pid=11493 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=8 comm="mail" exe="/bin/mailx" subj=system_u:system_r:system_mail_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  leaks,mail,system_mail_t,var_run_t,file,append
audit2allow suggests:

#============= system_mail_t ==============
allow system_mail_t var_run_t:file append;

Comment 1 Daniel Walsh 2010-08-20 11:35:48 UTC
Fixed in selinux-policy-3.8.8-17.fc15


Note You need to log in before you can comment on or make changes to this bug.