ściąganie Plików Doc Firefoksem

[Anru]

Przy próbie ściągnięcia doc wyskakuje w selinuks problem:

 

Podsumowanie:

SELinux powstrzymuje soffice (nsplugin_t) "execute" do ./soffice.bin
(openoffice_exec_t).

Szczegółowy opis:

SELinux odmówił soffice żądania dostępu. Ten dostęp nie jest konieczny dla
soffice i może sygnalizować próbę włamania. Jest także możliwe, że
określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona tego
dostępu.

Zezwalanie na dostęp:

Problemy z nadawaniem etykiet mogą czasem powodować odmowy SELinuksa. Możesz
spróbować przywrócić domyślny kontekst plikom systemowym dla ./soffice.bin,

restorecon -v "./soffice.bin"

Jeśli nie działa, obecnie nie ma automatycznego sposobu na pozwolenie na ten
dostęp. Zamiast tego możesz utworzyć lokalny moduł polityki, aby pozwolić
na ten dostęp - zobacz FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Możesz też
wyłączyć ochronę SELinuksa. Wyłączenie jej nie jest zalecane. Zgłoś
raport błędu (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) o tym
pakiecie.

Dodatkowe informacje:

Kontekst źródłowy          unconfined_u:unconfined_r:nsplugin_t:s0
Kontekst docelowy             system_u:object_r:openoffice_exec_t:s0
Obiekty docelowe              ./soffice.bin [ file ]
Źródło                     soffice
Ścieżka źródłowa         /bin/bash
Port                          <Nieznane>
Komputer                      localhost.localdomain
Źródłowe pakiety RPM       bash-3.2-29.fc10
Docelowe pakiety RPM          
RPM polityki                  selinux-policy-3.5.13-18.fc10
SELinux jest włączony       True
Typ polityki                  targeted
MLS jest włączone           True
Tryb wymuszania               Enforcing
Nazwa wtyczki                 catchall_file
Nazwa komputera               localhost.localdomain
Platforma                     Linux localhost.localdomain 2.6.27.5-117.fc10.i686
                             #1 SMP Tue Nov 18 12:19:59 EST 2008 i686 athlon
Licznik alarmów              24
Po raz pierwszy               nie, 22 mar 2009, 23:02:57
Po raz ostatni                pon, 23 mar 2009, 01:54:26
Lokalny identyfikator         4d3651d2-75ce-4d40-a11e-325349c11909
Liczba wierszy                

Surowe komunikaty audytu      

node=localhost.localdomain type=AVC msg=audit(1237769666.79:316): avc:  denied  { execute } for  pid=7083 comm="soffice" name="soffice.bin" dev=dm-0 ino=34436 scontext=unconfined_u:unconfined_r:nsplugin_t:s0 tcontext=system_u:object_r:openoffice_exec_t:s0 tclass=file

node=localhost.localdomain type=SYSCALL msg=audit(1237769666.79:316): arch=40000003 syscall=11 success=no exit=-13 a0=9a40628 a1=9a43368 a2=9a435d8 a3=0 items=0 ppid=7075 pid=7083 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=13 comm="soffice" exe="/bin/bash" subj=unconfined_u:unconfined_r:nsplugin_t:s0 key=(null)

 

 

Komenda

restorecon -v "./soffice.bin"

nie pomaga (oczywiście po poprawieniu ścieżki do pliku także nie pomaga), tak samo próba z pomocy:

 

Q: 	

I have some avc denials that I would like to allow, how do I do this?
A: 	

If you have specific AVC messages you can use audit2allow to generate a Type Enforcement file that is ready to load as a policy module.

audit2allow -M local < /tmp/avcs

This creates a local.pp which you can then load into the kernel using semodule -i local.pp. You can also edit the local.te to make additional customizations. To create a module allowing all the denials since the last reboot that you can then customize, execute the following:

audit2allow -m local -l -i /var/log/messages > local.te

Note that the above assumes you are not using the audit daemon. If you were using the audit daemon, then you should use /var/log/audit/audit.log instead of /var/log/messages as your log file. This generates a local.te file, that looks similar to the following:

module local 1.0;

require {
       class file { append execute execute_no_trans getattr ioctl read write };
       type httpd_t;
       type httpd_w3c_script_exec_t;
};


allow httpd_t httpd_w3c_script_exec_t:file { execute execute_no_trans getattr ioctl read };

You can hand edit this file, removing allow statements that you don't want to allow, and then recompile and reload it using

   *

     checkmodule -M -m -o local.mod local.te to compile the te file. Note that checkmodule is part of the checkpolicy rpm, so you need to have it installed.
   *

     semodule_package -o local.pp -m local.mod to create a policy package.
   *

     semodule -i local.pp to add it to the current machine's running policy. This installs a new module called local with these rules into the module store.


Jeśli chodzi o modyfikacje pliku local.te to nie rozumiem jak mam to zrobić:/

 

 

Fedora 10 system 32bit

[@WalDo]

Popierwsze naucz się korzystać ze znaczników

[code][/code] (wklejamy listingi do ok.15 linijek) oraz [codebox][/codebox] (między te znaczniki wlejamy teksty dłuższe takie jak Twoja "wklejka" powyżej".
Nie wklejaj też tekstów pomocy. Wszyscy łatwo mogą je przeczytać jeśli podasz link w Internecie lub miejsce w systemie.
Zazwyczaj dużo nie znaczy dobrze.

Niewykluczone, że wystarczy automatyczne przebudowanie kontekstów i etykiet dla wszystkich plików. Jako root wydaj z konsoli polecenie

touch /.autorelabel

i zrestartuj system. Restart może potrwać dłuższą chwilę (u mnie zazwyczaj ok.8-10 min).

[Anru]

niestety nie pomomogło. Wezmę sobie do serca twoje rady.

 

[thof]

Wyłącz ten plugin jak Ci nie jest potrzebny, bo selinux blokuje właśnie wtyczkę OO.org, która otwiera automatycznie zawartość pliku *.doc w oknie przeglądarki.

[@WalDo]

Trochę dziwne, bo ja mam nadany taki sam kontekst do pliku i wtyczka w FF 3.0.7 działa bez zarzutu

[waldo@F10 ~]$ ls -lZ `locate soffice.bin`
-rwxr-xr-x  root root system_u:object_r:openoffice_exec_t:s0 /usr/lib64/openoffice.org3/program/soffice.bin

Jedyna różnica jaką widzę to taka, że ja mam pakiet selinux-policy-3.5.13-48.fc10.noarch (Anru ma selinux-policy-3.5.13-18.fc10). @Anru masz w pełni zaktualizowany system? Odpal może na wszelki wypadek yum update.