Nagminne Komunikaty `selinux`

[void]

Witam, co chwile dostaje komunikaty w stylu "odmowa avc" w szczegolach pisze np :

 

Podsumowanie:

SELinux powstrzymuje nautilus (unconfined_t) "execmod" do
/usr/lib/i686/libavformat.so.52.22.1 (lib_t).

Szczegółowy opis:

SELinux odmówił dostępu żądanego przez nautilus.
/usr/lib/i686/libavformat.so.52.22.1 może mieć błędną etykietę. Domyślny
typ SELinuksa /usr/lib/i686/libavformat.so.52.22.1 to textrel_shlib_t, podczas
gdy obecny typ to lib_t. Zmienienie tego pliku z powrotem do domyślnego typu
może naprawić ten problem. Konteksty plików mogą być przydzielane do
plików w następujące sposoby.

 * Pliki utworzone w folderze domyślnie otrzymują kontekst folderu
nadrzędnego.
 * Polityka SELinuksa może zastąpić domyślną etykietę przydzieloną z
folderu nadrzędnego przez określenie procesu uruchomionego w kontekście
A, który tworzy plik w folderze o etykiecie B, utworzy zamiast tego plik o
etykiecie C. Przykładem może być klient DHCP uruchomiony za pomocą typu
dhclient_t tworzący plik w folderze /etc. Ten plik normalnie powinien
otrzymać typ etc_t z powodu nadrzędności, ale zamiast tego posiada
etykietę typu net_conf_t, ponieważ polityka SELinuksa tak to określa.
 * Użytkownicy mogą zmieniać kontekst pliku używając narzędzie takich jak
chcon lub restorecon.

Ten plik mógł dostać błędną etykietę z powodu błędu użytkownika lub z
powodu normalnie ograniczonej aplikacji, która została uruchomiona w błędnej
domenie.

Oczywiście może to wskazywać także na błąd w SELinuksie, jako że plik nie
powinien dostać tego typu etykiety.

Jeśli uważasz, że to błąd, zgłoś raport błędu
(http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) o tym pakiecie.

Zezwalanie na dostęp:

Możesz przywrócić domyślny kontekst systemu tego pliku wykonując polecenie
restorecon. restorecon "/usr/lib/i686/libavformat.so.52.22.1", jeśli ten plik
jest folderem, możesz rekursywnie przywrócić używając restorecon -R
"/usr/lib/i686/libavformat.so.52.22.1".

Polecenie naprawy:

restorecon '/usr/lib/i686/libavformat.so.52.22.1'

Dodatkowe informacje:

Kontekst źródłowy		  unconfined_u:unconfined_r:unconfined_t:s0
Kontekst docelowy			 system_u:object_r:lib_t:s0
Obiekty docelowe			  /usr/lib/i686/libavformat.so.52.22.1 [ file ]
Źródło					 rhythmbox
Ścieżka źródłowa		 /usr/bin/rhythmbox
Port						  <Nieznane>
Komputer					  chello089079010028.chello.pl
Źródłowe pakiety RPM	   nautilus-2.24.2-2.fc10
Docelowe pakiety RPM		  ffmpeg-libs-0.4.9-0.55.20080908.fc10
RPM polityki				  selinux-policy-3.5.13-49.fc10
SELinux jest włączony	   True
Typ polityki				  targeted
MLS jest włączone		   True
Tryb wymuszania			   Enforcing
Nazwa wtyczki				 restorecon
Nazwa komputera			   chello089079010028.chello.pl
Platforma					 Linux chello089079010028.chello.pl
						  2.6.27.19-170.2.35.fc10.i686 #1 SMP Mon Feb 23
						  13:21:22 EST 2009 i686 i686
Licznik alarmów			  165
Po raz pierwszy			   czw, 26 mar 2009, 20:23:51
Po raz ostatni				pią, 27 mar 2009, 07:15:59
Lokalny identyfikator		 3fa2f766-7769-4794-99da-9ed3974cd7cf
Liczba wierszy				

Surowe komunikaty audytu	  

node=chello089079010028.chello.pl type=AVC msg=audit(1238134559.348:16): avc:  denied  { execmod } for  pid=2631 comm="nautilus" path="/usr/lib/i686/libavformat.so.52.22.1" dev=dm-0 ino=164010 scontext=unconfined_u:unconfined_r:unconfined_t:s0 tcontext=system_u:object_r:lib_t:s0 tclass=file

node=chello089079010028.chello.pl type=SYSCALL msg=audit(1238134559.348:16): arch=40000003 syscall=125 success=no exit=-13 a0=85f1000 a1=c6000 a2=5 a3=bfe19890 items=0 ppid=2368 pid=2631 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="nautilus" exe="/usr/bin/nautilus" subj=unconfined_u:unconfined_r:unconfined_t:s0 key=(null)

 

I tak oto dzieki temu nawet wine nie chce dzialac, stalo sie to oczywiscie jakby inaczej po aktualizacji systemu

Probowalem juz metody rpm --rebuild i dalej to samo

 

--------------

Proszę przy długich listingach stosować znaczniki [codebox][/codebox] a nie [code][/code]

Edytowane Marzec 27, 2009 przez WalDo
znaczniki code codebox

[@WalDo]

A próbowałeś wykonać to co Ci SElinux podpowiada w części "polecenie naprawy" tudzież "zezwalanie na dostęp"?

Przebudowałeś etykiety?

Masz w pełni zaktualizowany system? Najnowsze polityki SElinux?

Co chciałeś osiągnąć "metodą" rpm --rebuild. Rebuild czego?

[Rysio]

A może warto przemyśleć wyłączenie selinuxa?

Jeżeli nie masz wielu kont, nie masz uruchomionych usług sieciowych (ftp, ssh, itp.) to możesz specjalnie sie nie przejmować dodatkowymi zabezpieczeniami - no chyba że dla dobra nauki.

Jeżeli jednak chcesz wyłączyć to wyedytuj /etc/selinux/config