Selinux Powstrzymuje Consoletype

[Matiej]

Witam. Tak jak w temacie, przez co nie moge uruchomic wifi.

 

 

SELinux powstrzymuje consoletype (consoletype_t) "read" do

/var/lib/dhclient/dhclient-wlan0.leases (dhcpc_state_t).

 

SELinux odmówił consoletype żądania dostępu. Ten dostęp nie jest konieczny

dla consoletype i może sygnalizować próbę włamania. Jest także możliwe,

że określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona tego

dostępu.

 

To mi wyskakuje w momencie gdy prubuje uruchomic wifi w konfiguracji sieci

 

 

System Fedora 10 x64

Laptop HP 8510w

karta wifi intel 4965AGN

 

 

 

[thof]

Spróbuj zamiast "Konfiguracji sieci" użyć NetworkManagera.

[Matiej]

Jesli chodzi Ci o wlaczenie uslugi networkmanager to mam. Chodzi oto ze gdy prubuje aktywowac wifi poprzez konfiguracje sieci SeLinux wywala mi:

 

"SELinux powstrzymuje consoletype (consoletype_t) "read" do /var/lib/dhclient/dhclient-wlan0.leases (dhcpc_state_t). "

 

Nie chce wylaczac selinux bo wiekszosc tak poradzi. Chcialbym sie dowiedziec w zrozumialy sposob jak mam odblokowac dostep tak zeby selinux nie blokowal. jak na razie kazda proba konczy sie komunikatem selinuxa

[@WalDo]

Sprawdź czy masz zainstalowany pakiet setroubleshoot (jako zależności powinny się zainstalować również setroubleshoot-server i setroubleshoot-plugins).

Powinieneś mieć też włączony serwis setroubleshoot. Jeśli masz to wszystko, to jako root uruchom przeglądarkę błędów SElinuksa "sealert -b". Przejrzyj wszystkie błędy i opisy do nich - powinieneś znaleźć m.in. dokładne polecenie które należy uruchomić jako root, żeby SElinux przestał blokować consoletype.

 

Oczywiście lepiej by było poznać SElinux i samemu wpisać polecenie zmieniające kontekst, ale ze wstydem przyznam, żę ja jakoś wciąż nei mogę się za to zabrać, choć obiecuję sobie już chyba ze dwa lata.

 

[EDIT]

No nie, coś mnie trafi chyba...

Nawet nie sięgnąłeś do Googli przed zadaniem pytania? http://www.google.pl/search?hl=pl&q=%2...mp;aq=f&oq=

Pierwszy link, nasze forum i prawdopodobnie masz odpowiedź.

 

Tak więc Tobie również ...

Przypominam o regulaminie rozdział II, pkt.2. podpunkty od a) do d)

 

 

[thof]

Jesli chodzi Ci o wlaczenie uslugi networkmanager to mam.

Nie, chodzi mi o to, żeby skonfigurować wifi przez NM, dokładniej to skorzystać z nm-applet (taka ikonka w trayu obok zegarka). NM jest wygodny, banalny w obsłudze, nie powoduje konfliktów z SELinuksem i dosyć dobrze współpracuje z kartami intela (chociaż czasami nie zaskakuje automatyczne skanowanie).

[Matiej]

Do thof :

Sprawdzalem te "ikonke obok zegara" w pierwszej kolejnosci po ustawieniu tego co trzeba zadnej reakcji

 

Do WalDo:

Zainstalowalem setroubleshoot i jakos nie chce zaskoczyc przegladarka bledow.

Poza tym sprawdzalem google i opcje szukaj na tym forum i zadnej konktretnego rozwiazania sie nie doszukalem wiec zalozylem posta.

"Pierwszy link, nasze forum i prawdopodobnie masz odpowiedź." Prawdopodobnie nie ma odp. tak jak i w kolejnym linku i kolejnym

[@WalDo]

Prawdopodobnie nie ma odp. tak jak i w kolejnym linku i kolejnym

Tzn. że

restorecon -v "/var/lib/dhclient/dhclient-wlan0.leases"

nie przyniosło u Ciebie efektów? Pozostałe rozwiązania zaproponowane w tym linku też nie zadziałały? Wyłączenie SElinux (czasowo, tylko w celu sprawdzenia czy to na 100% wina Selinuksa)?

 

[Matiej]

Wlasnie to polecenie restorecon -v "/var/lib/dhclient/dhclient-wlan0.leases" sprawdzalem w pierwszej kolejnisci jak mi wyskoczyl komunikat z Selinux,

 

Podsumowanie:

SELinux powstrzymuje consoletype (consoletype_t) "read" do
/var/lib/dhclient/dhclient-wlan0.leases (dhcpc_state_t).

Szczegółowy opis:

SELinux odmówił consoletype żądania dostępu. Ten dostęp nie jest konieczny
dla consoletype i może sygnalizować próbę włamania. Jest także możliwe,
że określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona tego
dostępu.

Zezwalanie na dostęp:

Problemy z nadawaniem etykiet mogą czasem powodować odmowy SELinuksa. Możesz
spróbować przywrócić domyślny kontekst plikom systemowym dla
/var/lib/dhclient/dhclient-wlan0.leases,

restorecon -v "/var/lib/dhclient/dhclient-wlan0.leases"

Jeśli nie działa, obecnie nie ma automatycznego sposobu na pozwolenie na ten
dostęp. Zamiast tego możesz utworzyć lokalny moduł polityki, aby pozwolić
na ten dostęp - zobacz FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Możesz też
wyłączyć ochronę SELinuksa. Wyłączenie jej nie jest zalecane. Zgłoś
raport błędu (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) o tym
pakiecie.

Dodatkowe informacje:

Kontekst źródłowy		  unconfined_u:system_r:consoletype_t:s0
Kontekst docelowy			 unconfined_u:object_r:dhcpc_state_t:s0
Obiekty docelowe			  /var/lib/dhclient/dhclient-wlan0.leases [ file ]
Źródło					 consoletype
Ścieżka źródłowa		 /sbin/consoletype
Port						  <Nieznane>
Komputer					  localhost.localdomain
Źródłowe pakiety RPM	   initscripts-8.86-1
Docelowe pakiety RPM		  
RPM polityki				  selinux-policy-3.5.13-18.fc10
SELinux jest włączony	   True
Typ polityki				  targeted
MLS jest włączone		   True
Tryb wymuszania			   Enforcing
Nazwa wtyczki				 catchall_file
Nazwa komputera			   localhost.localdomain
Platforma					 Linux localhost.localdomain
						  2.6.27.9-159.fc10.x86_64 #1 SMP Tue Dec 16
						  14:47:52 EST 2008 x86_64 x86_64
Licznik alarmów			  6
Po raz pierwszy			   czw, 1 sty 2009, 15:03:30
Po raz ostatni				czw, 1 sty 2009, 23:09:22
Lokalny identyfikator		 6aff36c0-318a-4cac-ac9e-b0a36e9ab4e4
Liczba wierszy				

Surowe komunikaty audytu	  

node=localhost.localdomain type=AVC msg=audit(1230847762.272:15): avc:  denied  { read } for  pid=3574 comm="consoletype" path="/var/lib/dhclient/dhclient-wlan0.leases" dev=sda7 ino=493007 scontext=unconfined_u:system_r:consoletype_t:s0 tcontext=unconfined_u:object_r:dhcpc_state_t:s0 tclass=file

node=localhost.localdomain type=SYSCALL msg=audit(1230847762.272:15): arch=c000003e syscall=59 success=yes exit=0 a0=1671340 a1=1668c80 a2=1668a80 a3=7fff7d9740c0 items=0 ppid=3573 pid=3574 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=1 comm="consoletype" exe="/sbin/consoletype" subj=unconfined_u:system_r:consoletype_t:s0 key=(null)

 

Wykonalem to polecenie ale nic sie nie zmienilo.

 

Wylaczylem SeLinux reset i tez nie dziala. No to wziolem wlaczylem spowrotem ponownie Selinux reset podczas wlaczania zaczal tworzyc nowa polityke i po uruchomieniu systemu o dziwo zaczelo mi WiFi dzialac :?:

No ale coz przynajmniej dziala

 

 

THX wielkie za pomoc

 

Pozdrawiam

 

-------------

Listingi do 12-15 linijek umieszczaj między znacznikami [code] i [/code], dłuższe niż 15 linii pomiędzy [codebox] i [/codebox] - tak jest czytelniej. Przeczytaj "BB Code Help".WalDo

[qmic]

Może komuś to się przyda - świetny opis jeśli chodzi o zrozumienie podstawowym zarządzaeniem selinuxem:

 

http://wiki.centos.org/HowTos/SELinux

 

----

qmic, w sumie dzięki, ale mógłbyś na przyszłość albo w codebox albo po prostu link do tekstu podać. Co też uczyniłem w miejsce Twojej wklejki. WalDo

[@WalDo]

No to wziolem wlaczylem spowrotem ponownie Selinux reset podczas wlaczania zaczal tworzyc nowa polityke i po uruchomieniu systemu o dziwo zaczelo mi WiFi dzialac :?:

Czyli prawdopodobnie wystarczyłoby jako root "touch /.autorelabel" i restart - w sumie ten sam efekt, "man selinux", ostatni akapit

The best way to relabel the file system is to create the flag file

/.autorelabel and reboot. system-config-securitylevel, also has this

capability. The restorcon/fixfiles commands are also available for

relabeling files.