Résumé: SELinux empêche l'accès en « relabelto » à /usr/bin/chcon on Description détaillée: SELinux a refusé l'accès demandé par chcon. Il n'est pas prévu que cet accès soit requis par chcon et cet accès peut signaler une tentative d'intrusion. Il est également possible que cette version ou cette configuration spécifique de l'application provoque cette demande d'accès supplémenta Autoriser l'accès: Vous pouvez créer un module de stratégie locale pour autoriser cet accès - lisez la FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Merci de remplir un rapport de bogue. Informations complémentaires: Contexte source system_u:system_r:udev_t:s0-s0:c0.c1023 Contexte cible system_u:object_r:removable_t:s0 Objets du contexte sdc2 [ blk_file ] source chcon Chemin de la source /usr/bin/chcon Port <Inconnu> Hôte (supprimé) Paquetages RPM source coreutils-8.5-6.fc14 Paquetages RPM cible Politique RPM selinux-policy-3.9.7-4.fc14 Selinux activé True Type de politique targeted Mode strict Enforcing Nom du plugin catchall Nom de l'hôte (supprimé) Plateforme Linux (supprimé) 2.6.35.6-46.fc14.x86_64 #1 SMP Tue Oct 19 02:58:56 UTC 2010 x86_64 x86_64 Compteur d'alertes 3 Première alerte dim 24 oct 2010 18:22:51 EDT Dernière alerte dim 24 oct 2010 18:22:52 EDT ID local d1ce498a-16aa-41c7-a42e-de8bff810645 Numéros des lignes Messages d'audit bruts node=(supprimé) type=AVC msg=audit(1287958972.376:27645): avc: denied { relabelto } for pid=5125 comm="chcon" name="sdc2" dev=devtmpfs ino=398554 scontext=system_u:system_r:udev_t:s0-s0:c0.c1023 tcontext=system_u:object_r:removable_t:s0 tclass=blk_file node=(supprimé) type=SYSCALL msg=audit(1287958972.376:27645): arch=c000003e syscall=188 success=no exit=-13 a0=1d03110 a1=361d215afa a2=1d04680 a3=21 items=0 ppid=4108 pid=5125 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="chcon" exe="/usr/bin/chcon" subj=system_u:system_r:udev_t:s0-s0:c0.c1023 key=(null) Hash String generated from catchall,chcon,udev_t,removable_t,blk_file,relabelto audit2allow suggests: #============= udev_t ============== allow udev_t removable_t:blk_file relabelto;
You can add these rules for now using # grep avc /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp Fixed in selinux-policy-3.9.7-7.fc14
selinux-policy-3.9.7-7.fc14 has been submitted as an update for Fedora 14. https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-7.fc14
selinux-policy-3.9.7-7.fc14 has been pushed to the Fedora 14 testing repository. If problems still persist, please make note of it in this bug report. If you want to test the update, you can install it with su -c 'yum --enablerepo=updates-testing update selinux-policy'. You can provide feedback for this update here: https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-7.fc14
selinux-policy-3.9.7-7.fc14 has been pushed to the Fedora 14 stable repository. If problems still persist, please make note of it in this bug report.