Podsumowanie: SELinux powstrzymuje smokeping.cgi przed używaniem plików z potencjalnie błędnymi etykietami /var/cache/fontconfig. Szczegółowy opis: SELinux odmówił smokeping.cgi dostępu do plików z potencjalnie błędnymi etykietami /var/cache/fontconfig. Oznacza to, że SELinux nie pozwoli httpd na używanie tych plików. Jeśli httpd powinien mieć dostęp do tych plików, powinno się zmienić kontekst plików na jeden z poniższych typów, smokeping_var_lib_t, httpd_smokeping_cgi_rw_content_t. Wiele aplikacji firm trzecich instaluje pliki HTML w katalogach, których polityka SELinuksa nie może przewidzieć. Te katalogi muszą mieć kontekst, do które Zezwalanie na dostęp: Aby zmienić kontekst pliku /var/cache/fontconfig tak, aby demon httpd miał do nich dostęp, należy wykonać semanage fcontext -a -t TYP_PLIKU "/var/cache/fontconfig". gdzie TYP_PLIKU jest jednym z poniższych: smokeping_var_lib_t, httpd_smokeping_cgi_rw_content_t. Proszę zobaczyć stronę podręcznika httpd_selinux, aby dowiedzieć się Dodatkowe informacje: Kontekst źródłowy unconfined_u:system_r:httpd_smokeping_cgi_script_t :SystemLow Kontekst docelowy system_u:object_r:fonts_cache_t:SystemLow Obiekty docelowe /var/cache/fontconfig [ dir ] Źródło smokeping.cgi Ścieżka źródłowa /usr/bin/perl Port <Nieznane> Komputer (usunięto) Źródłowe pakiety RPM perl-5.12.2-140.fc14 Docelowe pakiety RPM fontconfig-2.8.0-2.fc14 Pakiet RPM polityki selinux-policy-3.9.7-16.fc14 SELinux jest włączony True Typ polityki targeted Tryb wymuszania Enforcing Nazwa wtyczki httpd_bad_labels Nazwa komputera (usunięto) Platforma Linux (usunięto) 2.6.35.9-64.fc14.i686.PAE #1 SMP Fri Dec 3 12:28:00 UTC 2010 i686 i686 Liczba alarmów 11 Po raz pierwszy pią, 17 gru 2010, 21:40:05 Po raz ostatni pią, 17 gru 2010, 21:44:51 Lokalny identyfikator 956bee2b-6f58-4009-8f79-a1bba5c90bca Liczba wierszy Surowe komunikaty audytu node=(usunięto) type=AVC msg=audit(1292618691.473:46375): avc: denied { setattr } for pid=29324 comm="smokeping.cgi" name="fontconfig" dev=md127 ino=1674481 scontext=unconfined_u:system_r:httpd_smokeping_cgi_script_t:s0 tcontext=system_u:object_r:fonts_cache_t:s0 tclass=dir node=(usunięto) type=SYSCALL msg=audit(1292618691.473:46375): arch=40000003 syscall=15 success=no exit=-13 a0=a9413d0 a1=1ed a2=475108 a3=a9413d0 items=0 ppid=19953 pid=29324 auid=500 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=1 comm="smokeping.cgi" exe="/usr/bin/perl" subj=unconfined_u:system_r:httpd_smokeping_cgi_script_t:s0 key=(null) Hash String generated from httpd_bad_labels,smokeping.cgi,httpd_smokeping_cgi_script_t,fonts_cache_t,dir,setattr audit2allow suggests: #============= httpd_smokeping_cgi_script_t ============== allow httpd_smokeping_cgi_script_t fonts_cache_t:dir setattr;
Miroslav add miscfiles_dontaudit_setattr_fonts_cache_dirs(httpd_$1_script_t) to apache_content_template
I have added it to smokeping policy, but it seems better to add it as you suggest.
Fixed in selinux-policy-3.9.7-19.fc14
selinux-policy-3.9.7-19.fc14 has been submitted as an update for Fedora 14. https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-19.fc14
selinux-policy-3.9.7-19.fc14 has been pushed to the Fedora 14 testing repository. If problems still persist, please make note of it in this bug report. If you want to test the update, you can install it with su -c 'yum --enablerepo=updates-testing update selinux-policy'. You can provide feedback for this update here: https://admin.fedoraproject.org/updates/selinux-policy-3.9.7-19.fc14
selinux-policy-3.9.7-19.fc14 has been pushed to the Fedora 14 stable repository. If problems still persist, please make note of it in this bug report.