Hide Forgot
SELinux is preventing /usr/libexec/gdm-session-worker from using the 'sys_admin' capabilities. ***** Plugin catchall_boolean (89.3 confidence) suggests ******************* If e がしたいnable polyinstantiated directory support. Then これについては、SELinux に 'allow_polyinstantiation' boolean を有効にする設定をしなければいけません。 Do setsebool -P allow_polyinstantiation 1 ***** Plugin catchall (11.6 confidence) suggests *************************** If gdm-session-worker は、 sys_admin capability をデフォルトで持っているべきです。 Then これをバグをして報告すべきです。 このアクセスを許可するために、ローカルポリシーモジュールを生成することができます。 Do このアクセスを一時的に許可するには、以下を実行してください。: # grep gdm-session-wor /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp Additional Information: Source Context system_u:system_r:xdm_t:s0-s0:c0.c1023 Target Context system_u:system_r:xdm_t:s0-s0:c0.c1023 Target Objects Unknown [ capability ] Source gdm-session-wor Source Path /usr/libexec/gdm-session-worker Port <不明> Host (removed) Source RPM Packages gdm-2.32.0-1.fc14 Target RPM Packages Policy RPM selinux-policy-3.9.7-31.fc14 Selinux Enabled True Policy Type targeted Enforcing Mode Enforcing Host Name (removed) Platform Linux (removed) 2.6.35.11-83.fc14.i686 #1 SMP Mon Feb 7 07:04:18 UTC 2011 i686 i686 Alert Count 2 First Seen 2011年03月02日 13時02分55秒 Last Seen 2011年03月02日 17時19分35秒 Local ID 13a0e8fa-4fd4-4425-b910-5db623614b79 Raw Audit Messages type=AVC msg=audit(1299053975.563:25300): avc: denied { sys_admin } for pid=11698 comm="gdm-session-wor" capability=21 scontext=system_u:system_r:xdm_t:s0-s0:c0.c1023 tcontext=system_u:system_r:xdm_t:s0-s0:c0.c1023 tclass=capability type=SYSCALL msg=audit(1299053975.563:25300): arch=i386 syscall=unshare success=no exit=EPERM a0=20000 a1=1 a2=142da0 a3=bfad5220 items=0 ppid=11598 pid=11698 auid=501 uid=0 gid=502 euid=0 suid=0 fsuid=0 egid=502 sgid=502 fsgid=502 tty=(none) ses=5 comm=gdm-session-wor exe=/usr/libexec/gdm-session-worker subj=system_u:system_r:xdm_t:s0-s0:c0.c1023 key=(null) Hash: gdm-session-wor,xdm_t,xdm_t,capability,sys_admin audit2allow #============= xdm_t ============== #!!!! This avc can be allowed using the boolean 'allow_polyinstantiation' allow xdm_t self:capability sys_admin; audit2allow -R #============= xdm_t ============== #!!!! This avc can be allowed using the boolean 'allow_polyinstantiation' allow xdm_t self:capability sys_admin;
Do you use polyinstantiation?
Did you setup pam_namespace?