Resúmen: SELinux está negando a /sbin/cgclear el acceso "dac_override" Descripción Detallada: SELinux negó el acceso requerido por cgclear. No se esperaba que este acceso fuera requerido por cgclear, y puede ser indicio de un intento de ataque. También es posible que la versión específica o la configuración de la aplicación esté provocando esta necesidad de acceso adicional Permitiendo Acceso: Puede generar un módulo de política local para permitir este acceso. Vea FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Por favor, informe este error. Información Adicional: Contexto Fuente unconfined_u:system_r:cgclear_t:s0 Contexto Destino unconfined_u:system_r:cgclear_t:s0 Objetos Destino None [ capability ] Fuente cgclear Dirección de Fuente /sbin/cgclear Puerto <Desconocido> Nombre de Equipo (eliminado) Paquetes RPM Fuentes libcgroup-0.36.2-5.fc14 Paquetes RPM Destinos RPM de Políticas selinux-policy-3.9.7-12.fc14 SELinux Activado True Tipo de Política targeted Modo Obediente Enforcing Nombre de Plugin catchall Nombre de Equipo (eliminado) Plataforma Linux (eliminado) 2.6.35.6-48.fc14.x86_64 #1 SMP Fri Oct 22 15:36:08 UTC 2010 x86_64 x86_64 Cantidad de Alertas 6 Visto por Primera Vez mar 30 nov 2010 10:33:05 CET Visto por Última Vez mar 30 nov 2010 10:33:59 CET ID Local 608f9082-f84d-4c0d-9dc0-7fe40826911f Números de Línea Mensajes de Auditoría Crudos node=(eliminado) type=AVC msg=audit(1291109639.928:30332): avc: denied { dac_override } for pid=11625 comm="cgclear" capability=1 scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability node=(eliminado) type=AVC msg=audit(1291109639.928:30332): avc: denied { dac_read_search } for pid=11625 comm="cgclear" capability=2 scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability node=(eliminado) type=SYSCALL msg=audit(1291109639.928:30332): arch=c000003e syscall=2 success=no exit=-13 a0=1948a30 a1=90800 a2=1 a3=1 items=0 ppid=11619 pid=11625 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=16 comm="cgclear" exe="/sbin/cgclear" subj=unconfined_u:system_r:cgclear_t:s0 key=(null) Hash String generated from catchall,cgclear,cgclear_t,cgclear_t,capability,dac_override audit2allow suggests: #============= cgclear_t ============== allow cgclear_t self:capability { dac_read_search dac_override };
Can you add this command auditctl -w /etc/shadow -p w And see if you can generate the error again. Then you should get a path with the next avc message. Please attach the message dac_read_search and dac_override Usually mean you have some file with the wrong ownership/permissions on it. The command above will turn on full auditing to tell us which file has potentially the wrong ownership.permissions
(In reply to comment #1) > Can you add this command > > auditctl -w /etc/shadow -p w > > And see if you can generate the error again. Then you should get a path with > the next avc message. > > Please attach the message > > > dac_read_search and dac_override Usually mean you have some file with the wrong > ownership/permissions on it. The command above will turn on full auditing to > tell us which file has potentially the wrong ownership.permissions Resúmen: SELinux está negando a /sbin/cgclear el acceso "dac_override" on /cgroup/cpu/./user/11069 Descripción Detallada: SELinux negó el acceso requerido por cgclear. No se esperaba que este acceso fuera requerido por cgclear, y puede ser indicio de un intento de ataque. También es posible que la versión específica o la configuración de la aplicación esté provocando esta necesidad de acceso adicional Permitiendo Acceso: Puede generar un módulo de política local para permitir este acceso. Vea FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Por favor, informe este error. Información Adicional: Contexto Fuente unconfined_u:system_r:cgclear_t:s0 Contexto Destino unconfined_u:system_r:cgclear_t:s0 Objetos Destino /cgroup/cpu/./user/11069 [ capability ] Fuente cgclear Dirección de Fuente /sbin/cgclear Puerto <Desconocido> Nombre de Equipo (eliminado) Paquetes RPM Fuentes libcgroup-0.36.2-5.fc14 Paquetes RPM Destinos RPM de Políticas selinux-policy-3.9.7-12.fc14 SELinux Activado True Tipo de Política targeted Modo Obediente Enforcing Nombre de Plugin catchall Nombre de Equipo (eliminado) Plataforma Linux pccito.ugr.es 2.6.35.6-48.fc14.x86_64 #1 SMP Fri Oct 22 15:36:08 UTC 2010 x86_64 x86_64 Cantidad de Alertas 32 Visto por Primera Vez mar 30 nov 2010 20:17:29 CET Visto por Última Vez mar 30 nov 2010 20:17:46 CET ID Local b3331194-b656-4786-9ee7-f3c0a1fafe6b Números de Línea Mensajes de Auditoría Crudos node=pccito.ugr.es type=AVC msg=audit(1291144666.699:31113): avc: denied { dac_override } for pid=10709 comm="cgclear" capability=1 scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability node=pccito.ugr.es type=AVC msg=audit(1291144666.699:31113): avc: denied { dac_read_search } for pid=10709 comm="cgclear" capability=2 scontext=unconfined_u:system_r:cgclear_t:s0 tcontext=unconfined_u:system_r:cgclear_t:s0 tclass=capability node=pccito.ugr.es type=SYSCALL msg=audit(1291144666.699:31113): arch=c000003e syscall=2 success=no exit=-13 a0=e98a30 a1=90800 a2=1 a3=1 items=1 ppid=10703 pid=10709 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=27 comm="cgclear" exe="/sbin/cgclear" subj=unconfined_u:system_r:cgclear_t:s0 key=(null) node=pccito.ugr.es type=CWD msg=audit(1291144666.699:31113): cwd="/" node=pccito.ugr.es type=PATH msg=audit(1291144666.699:31113): item=0 name="/cgroup/cpu/./user/11069" inode=118478 dev=00:13 mode=040700 ouid=500 ogid=500 rdev=00:00 obj=system_u:object_r:cgroup_t:s0
Ok, It looks like it needs it. Miroslav add this to F13,F14 and RHEL6.
Fixed in selinux-policy-3.9.7-14.fc14
selinux-policy-3.9.7-14.fc14 has been submitted as an update for Fedora 14. https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-14.fc14
selinux-policy-3.9.7-14.fc14 has been pushed to the Fedora 14 testing repository. If problems still persist, please make note of it in this bug report. If you want to test the update, you can install it with su -c 'yum --enablerepo=updates-testing update selinux-policy'. You can provide feedback for this update here: https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-14.fc14
selinux-policy-3.9.7-14.fc14 has been pushed to the Fedora 14 stable repository. If problems still persist, please make note of it in this bug report.