Selinux Powstrzymuje Networkmanager

[fsosport]

Podsumowanie:

SELinux powstrzymuje NetworkManager (NetworkManager_t) "execute" do ./udevadm
(udev_exec_t).

Szczegółowy opis:

SELinux odmówił NetworkManager żądania dostępu. Ten dostęp nie jest
konieczny dla NetworkManager i może sygnalizować próbę włamania. Jest
także możliwe, że określona wersja lub konfiguracja aplikacji powoduje, że
wymaga ona tego dostępu.

Zezwalanie na dostęp:

Problemy z nadawaniem etykiet mogą czasem powodować odmowy SELinuksa. Możesz
spróbować przywrócić domyślny kontekst plikom systemowym dla ./udevadm,

restorecon -v "./udevadm"

Jeśli nie działa, obecnie nie ma automatycznego sposobu na pozwolenie na ten
dostęp. Zamiast tego możesz utworzyć lokalny moduł polityki, aby pozwolić
na ten dostęp - zobacz FAQ //owszem ale po angielsku 
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Możesz też
wyłączyć ochronę SELinuksa. Wyłączenie jej nie jest zalecane. Zgłoś
raport błędu (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) o tym
pakiecie.

Dodatkowe informacje:

Kontekst źródłowy		  system_u:system_r:NetworkManager_t:s0
Kontekst docelowy			 system_u:object_r:udev_exec_t:s0
Obiekty docelowe			  ./udevadm [ file ]
Źródło					 NetworkManager
Ścieżka źródłowa		 /usr/sbin/NetworkManager
Port						  <Nieznane>
Komputer					  localhost.localdomain
Źródłowe pakiety RPM	   NetworkManager-0.7.0.99-1.fc10
Docelowe pakiety RPM		  
RPM polityki				  selinux-policy-3.5.13-47.fc10
SELinux jest włączony	   True
Typ polityki				  targeted
MLS jest włączone		   True
Tryb wymuszania			   Enforcing
Nazwa wtyczki				 catchall_file
Nazwa komputera			   localhost.localdomain
Platforma					 Linux localhost.localdomain
						  2.6.27.19-170.2.35.fc10.i686 #1 SMP Mon Feb 23
						  13:21:22 EST 2009 i686 athlon
Licznik alarmów			  4
Po raz pierwszy			   wto, 10 mar 2009, 16:26:00
Po raz ostatni				wto, 10 mar 2009, 21:44:55
Lokalny identyfikator		 xxxxxxxxx
Liczba wierszy				

Surowe komunikaty audytu	  

node=localhost.localdomain type=AVC msg=audit(1236717895.323:15): avc:  denied  { execute } for  pid=2782 comm="NetworkManager" name="udevadm" dev=sda10 ino=430100 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:object_r:udev_exec_t:s0 tclass=file

node=localhost.localdomain type=SYSCALL msg=audit(1236717895.323:15): arch=40000003 syscall=11 success=no exit=-13 a0=809eb60 a1=bfd7d73c a2=bfd7eb50 a3=809eb60 items=0 ppid=1888 pid=2782 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="NetworkManager" exe="/usr/sbin/NetworkManager" subj=system_u:system_r:NetworkManager_t:s0 key=(null)

 

pojawilo mi sie to dzis (w miedzy czasie robilem aktualizacje ale nie wiem czy to ma cos wspolnego z tym :] ) i restarcie, ze tak spytam o co kaman? (skad to sie wzielo i co to oznacza i czy mam sie zaczac martwic :> ?)

polecenie restorecon -v "./udevadm" wypluwa

restorecon: stat error on ./udevadm: No such file or directory

 

Polaczenie neta mam przez router, kablowe.

Jezeli bylo to z gory przepraszam ale korzystam z kompa brata i nie bardzo mam czasu by pogooglowac

 

----------------------

Proszę korzystać ze znaczników [codebox][/codebox] zamiast [code][/code] przy listingach dłuższych niz 15 linii

Edytowane Marzec 10, 2009 przez WalDo
edycja znaczników code → codebox

[@WalDo]

pojawilo mi sie to dzis (w miedzy czasie robilem aktualizacje ale nie wiem czy to ma cos wspolnego z tym :] )

Na pewno związane z aktualizacją

(skad to sie wzielo i co to oznacza i czy mam sie zaczac martwic :> ?)

Poza tym, że mogą być kłopoty z dostępem do sieci to chyba nie...

polecenie restorecon -v "./udevadm" wypluwa

restorecon: stat error on ./udevadm: No such file or directory

Musisz podać pełną ścieżkę do pliku udevadm

Spróbuj jako root

restorecon -v "/sbin/udevadm"

 

[Ryko]

Mam ten sam problem. Nic nie pomogło. Może coś w ustawieniach SELinux'a? Jakieś pomysły?

[@WalDo]

Czy masz zaktualzowany system. W ostatnich dniach były nowe wersje NetworkManagera oraz poprawki polityk SElinuksa (być może jeszcze nie na wszystkich serwerach lustrzanych).

Jeśli nie pomoże, to w skrajnym wypadku możesz zmienić politykę z enforcing na permissive (/etc/selinux/config). Uwaga: to obniża poziom bezpieczeństwa - ostrzega o zagrożeniu, ale nie blokuje. Chociaż w domowych zastosowaniach może to nie mieć tak dużego znaczenia o ile masz dobrze skonfigurowany firewall.

 

Może znajdzie się jeszcze ktoś mądrzejszy w temacie SElinux i coś podpowie.

 

A tak z innej beczki - NetworkManager wybitnie ułatwia połączenia WiFi jednak jeśli masz zwykłą kartę z kabelkiem (jak np. ja ), to spokojnie można wyłączyć NetworkManagera i włączyć starą, wypróbowaną usługę network

 

Tak mi jeszcze przyszło do głowy - sprawdźcie czy nie macie włączonych jednocześnie obu usług

chkconfig --list | grep NetworkManager
chkconfig --list | grep network

Co najmniej na poziomie 3. i 5. jedna z tych usług powinna być chyba wyłączona.

[Ryko]

System zaktualizowany. Zezwalanie lub wyłączenie SELinux'a nie pomaga. Mam aktywne obie usługi. Dam znać, czy wyłączenie Network Managera pomogło. Dzięki za podpowiedź.