Bug 658407 - SELinux está negando a /sbin/cgclear el acceso "dac_override"
Summary: SELinux está negando a /sbin/cgclear el acceso "dac_override"
Keywords:
Status: CLOSED ERRATA
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: 14
Hardware: x86_64
OS: Linux
low
medium
Target Milestone: ---
Assignee: Miroslav Grepl
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:1e67d4689c0...
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-11-30 09:38 UTC by gustavo
Modified: 2010-12-05 00:37 UTC (History)
3 users (show)

Fixed In Version: selinux-policy-3.9.7-14.fc14
Doc Type: Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed: 2010-12-05 00:37:13 UTC
Type: ---
Embargoed:


Attachments (Terms of Use)

Description gustavo 2010-11-30 09:38:18 UTC
Resúmen:

SELinux está negando a /sbin/cgclear el acceso "dac_override"

Descripción Detallada:

SELinux negó el acceso requerido por cgclear. No se esperaba que este acceso
fuera requerido por cgclear, y puede ser indicio de un intento de ataque.
También es posible que la versión específica o la configuración de la aplicación
esté provocando esta necesidad de acceso adicional

Permitiendo Acceso:

Puede generar un módulo de política local para permitir este acceso. Vea FAQ
(http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Por favor, informe
este error.

Información Adicional:

Contexto Fuente               unconfined_u:system_r:cgclear_t:s0
Contexto Destino              unconfined_u:system_r:cgclear_t:s0
Objetos Destino               None [ capability ]
Fuente                        cgclear
Dirección de Fuente           /sbin/cgclear
Puerto                        <Desconocido>
Nombre de Equipo              (eliminado)
Paquetes RPM Fuentes          libcgroup-0.36.2-5.fc14
Paquetes RPM Destinos         
RPM de Políticas              selinux-policy-3.9.7-12.fc14
SELinux Activado              True
Tipo de Política              targeted
Modo Obediente                Enforcing
Nombre de Plugin              catchall
Nombre de Equipo              (eliminado)
Plataforma                    Linux (eliminado) 2.6.35.6-48.fc14.x86_64 #1 SMP
                              Fri Oct 22 15:36:08 UTC 2010 x86_64 x86_64
Cantidad de Alertas           6
Visto por Primera Vez         mar 30 nov 2010 10:33:05 CET
Visto por Última Vez          mar 30 nov 2010 10:33:59 CET
ID Local                      608f9082-f84d-4c0d-9dc0-7fe40826911f
Números de Línea              

Mensajes de Auditoría Crudos  

node=(eliminado) type=AVC msg=audit(1291109639.928:30332): avc:  denied  { dac_override } for  pid=11625 comm="cgclear" capability=1  scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability

node=(eliminado) type=AVC msg=audit(1291109639.928:30332): avc:  denied  { dac_read_search } for  pid=11625 comm="cgclear" capability=2  scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability

node=(eliminado) type=SYSCALL msg=audit(1291109639.928:30332): arch=c000003e syscall=2 success=no exit=-13 a0=1948a30 a1=90800 a2=1 a3=1 items=0 ppid=11619 pid=11625 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=16 comm="cgclear" exe="/sbin/cgclear" subj=unconfined_u:system_r:cgclear_t:s0 key=(null)



Hash String generated from  catchall,cgclear,cgclear_t,cgclear_t,capability,dac_override
audit2allow suggests:

#============= cgclear_t ==============
allow cgclear_t self:capability { dac_read_search dac_override };

Comment 1 Daniel Walsh 2010-11-30 14:47:29 UTC
Can you add this command

auditctl -w /etc/shadow -p w 

And see if you can generate the error again.  Then you should get a path with the next avc message.

Please attach the message


dac_read_search and dac_override Usually mean you have some file with the wrong ownership/permissions on it.  The command above will turn on full auditing to tell us which file has potentially the wrong ownership.permissions

Comment 2 gustavo 2010-11-30 19:20:14 UTC
(In reply to comment #1)
> Can you add this command
> 
> auditctl -w /etc/shadow -p w 
> 
> And see if you can generate the error again.  Then you should get a path with
> the next avc message.
> 
> Please attach the message
> 
> 
> dac_read_search and dac_override Usually mean you have some file with the wrong
> ownership/permissions on it.  The command above will turn on full auditing to
> tell us which file has potentially the wrong ownership.permissions


Resúmen:

SELinux está negando a /sbin/cgclear el acceso "dac_override" on
/cgroup/cpu/./user/11069

Descripción Detallada:

SELinux negó el acceso requerido por cgclear. No se esperaba que este acceso
fuera requerido por cgclear, y puede ser indicio de un intento de ataque.
También es posible que la versión específica o la configuración de la aplicación
esté provocando esta necesidad de acceso adicional

Permitiendo Acceso:

Puede generar un módulo de política local para permitir este acceso. Vea FAQ
(http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Por favor, informe
este error.

Información Adicional:

Contexto Fuente               unconfined_u:system_r:cgclear_t:s0
Contexto Destino              unconfined_u:system_r:cgclear_t:s0
Objetos Destino               /cgroup/cpu/./user/11069 [ capability ]
Fuente                        cgclear
Dirección de Fuente           /sbin/cgclear
Puerto                        <Desconocido>
Nombre de Equipo              (eliminado)
Paquetes RPM Fuentes          libcgroup-0.36.2-5.fc14
Paquetes RPM Destinos         
RPM de Políticas              selinux-policy-3.9.7-12.fc14
SELinux Activado              True
Tipo de Política              targeted
Modo Obediente                Enforcing
Nombre de Plugin              catchall
Nombre de Equipo              (eliminado)
Plataforma                    Linux pccito.ugr.es 2.6.35.6-48.fc14.x86_64 #1 SMP
                              Fri Oct 22 15:36:08 UTC 2010 x86_64 x86_64
Cantidad de Alertas           32
Visto por Primera Vez         mar 30 nov 2010 20:17:29 CET
Visto por Última Vez          mar 30 nov 2010 20:17:46 CET
ID Local                      b3331194-b656-4786-9ee7-f3c0a1fafe6b
Números de Línea              

Mensajes de Auditoría Crudos  

node=pccito.ugr.es type=AVC msg=audit(1291144666.699:31113): avc:  denied  { dac_override } for  pid=10709 comm="cgclear" capability=1  scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability

node=pccito.ugr.es type=AVC msg=audit(1291144666.699:31113): avc:  denied  { dac_read_search } for  pid=10709 comm="cgclear" capability=2  scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability

node=pccito.ugr.es type=SYSCALL msg=audit(1291144666.699:31113): arch=c000003e syscall=2 success=no exit=-13 a0=e98a30 a1=90800 a2=1 a3=1 items=1 ppid=10703 pid=10709 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=27 comm="cgclear" exe="/sbin/cgclear" subj=unconfined_u:system_r:cgclear_t:s0 key=(null)

node=pccito.ugr.es type=CWD msg=audit(1291144666.699:31113): cwd="/"

node=pccito.ugr.es type=PATH msg=audit(1291144666.699:31113): item=0 name="/cgroup/cpu/./user/11069" inode=118478 dev=00:13 mode=040700 ouid=500 ogid=500 rdev=00:00 obj=system_u:object_r:cgroup_t:s0

Comment 3 Daniel Walsh 2010-11-30 22:01:50 UTC
Ok, It looks like it needs it.

Miroslav add this to F13,F14 and RHEL6.

Comment 4 Miroslav Grepl 2010-12-01 10:29:44 UTC
Fixed in selinux-policy-3.9.7-14.fc14

Comment 5 Fedora Update System 2010-12-02 08:18:10 UTC
selinux-policy-3.9.7-14.fc14 has been submitted as an update for Fedora 14.
https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-14.fc14

Comment 6 Fedora Update System 2010-12-02 19:13:51 UTC
selinux-policy-3.9.7-14.fc14 has been pushed to the Fedora 14 testing repository.  If problems still persist, please make note of it in this bug report.
 If you want to test the update, you can install it with 
 su -c 'yum --enablerepo=updates-testing update selinux-policy'.  You can provide feedback for this update here: https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-14.fc14

Comment 7 Fedora Update System 2010-12-05 00:36:16 UTC
selinux-policy-3.9.7-14.fc14 has been pushed to the Fedora 14 stable repository.  If problems still persist, please make note of it in this bug report.


Note You need to log in before you can comment on or make changes to this bug.