Selinux Wykrył Podejrzane Zachowanie W Systemie

[Pirouette]

Zaktualizowałem przed chwilą system - po restarcie wyskakuje okno z alarmem jak w tytule.

Podsumowanie:

 

SELinux is preventing /usr/sbin/abrtd (deleted) "write" access on abrt.

 

Szczegółowy opis:

 

[abrtd posiada typ zezwalania (abrt_t). Ten dostęp nie został odmówiony.]

 

SELinux denied access requested by abrtd. It is not expected that this access is

required by abrtd and this access may signal an intrusion attempt. It is also

possible that the specific version or configuration of the application is

causing it to require additional access.

 

Zezwalanie na dostęp:

 

You can generate a local policy module to allow this access - see FAQ

(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Please file a bug

report.

 

Dodatkowe informacje:

 

Kontekst źródłowy system_u:system_r:abrt_t:s0

Kontekst docelowy system_u:object_r:abrt_etc_t:s0

Obiekty docelowe abrt [ dir ]

Źródło abrtd

Ścieżka źródłowa /usr/sbin/abrtd (deleted)

Port <Nieznane>

Komputer (removed)

Źródłowe pakiety RPM

Docelowe pakiety RPM

Pakiet RPM polityki selinux-policy-3.6.32-66.fc12

SELinux jest włączony True

Typ polityki targeted

Tryb wymuszania Enforcing

Nazwa wtyczki catchall

Nazwa komputera (removed)

Platforma Linux localhost.localdomain 2.6.31.5-127.fc12.i686

#1 SMP Sat Nov 7 21:41:45 EST 2009 i686 i686

Liczba alarmów 3

Po raz pierwszy nie, 17 sty 2010, 00:57:53

Po raz ostatni nie, 17 sty 2010, 00:57:53

Lokalny identyfikator 937739cc-3c2d-448f-9f29-fe62ce7f7a00

Liczba wierszy

 

Surowe komunikaty audytu

 

node=localhost.localdomain type=AVC msg=audit(1263686273.464:43): avc: denied { write } for pid=1283 comm="abrtd" name="abrt" dev=dm-0 ino=23447 scontext=system_u:system_r:abrt_t:s0 tcontext=system_u:object_r:abrt_etc_t:s0 tclass=dir

 

node=localhost.localdomain type=AVC msg=audit(1263686273.464:43): avc: denied { add_name } for pid=1283 comm="abrtd" name="pyhook.conf" scontext=system_u:system_r:abrt_t:s0 tcontext=system_u:object_r:abrt_etc_t:s0 tclass=dir

 

node=localhost.localdomain type=AVC msg=audit(1263686273.464:43): avc: denied { create } for pid=1283 comm="abrtd" name="pyhook.conf" scontext=system_u:system_r:abrt_t:s0 tcontext=system_u:object_r:abrt_etc_t:s0 tclass=file

 

node=localhost.localdomain type=SYSCALL msg=audit(1263686273.464:43): arch=40000003 syscall=5 success=yes exit=9 a0=93b0b9 a1=8241 a2=1b6 a3=247ec9 items=0 ppid=1 pid=1283 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="abrtd" exe=2F7573722F7362696E2F6162727464202864656C6574656429 subj=system_u:system_r:abrt_t:s0 key=(null)

 

 

Co robić?

[Jusko]

Zezwolić na dostęp. Jeśli się nie mylę, to abrtd, to daemon ABRT'a, więc narzędzia do raporów. O ile si ę nie mylę, ten bug jest już zgłoszony. Polityka SELinux to akurat coś, z czym się uwijają w naprawie. Nie przejmuj się - na początku wydania F12, to dla SELinux podejrzany był nawet uruchamiany w Wine program Niemniej lepsza nadgorliwa polityka niż kiepska. SELinux to świetna sprawa, łącznie z ABRT. Jeśli gdzieś się pomyliłem - poprawcie mnie.

[Raven]

Pakiet RPM polityki selinux-policy-3.6.32-66.fc12

To nieaktualna wersja polityki. Wykonaj yum update selinux-policy pod rootem i zobacz, czy po restarcie problem zniknie. W ogóle pierwsze co trzeba zrobić po aktualizacji do nowego wydania to aktualizacja jego pakietów (yum update).

[Pirouette]

[mb@localhost ~]$ su -

Hasło:

[root@localhost ~]# yum update selinux-policy

Wczytane wtyczki: presto, refresh-packagekit

Ustawianie procesu aktualizacji

Brak pakietów oznaczonych do aktualizacji

[root@localhost ~]#

 

[Raven]

rpm -qa |grep selinux-policy? W repozytorium jest dostępna wersja -73. Jeśli faktycznie ją masz i dalej nie działa, to trzeba błąd zgłosić (jeśli nie znajdzie się już w Bugzilli).

[matron]

Mam identycznie. SELinux blokuje ten proces.

[dj_oko]

No to zobaczcie, czy macie nowe polityki.

Poleceniem pkcon get-updates | grep selinux

Mnie dało taki efekt:

[kamilek@mewtwo ~]$ pkcon get-updates | grep selinux
Pakiet:    selinux-policy-3.6.32-73.fc12.noarch
Pakiet:    selinux-policy-targeted-3.6.32-73.fc12.noarch
Naprawiająca błędy selinux-policy-3.6.32-73.fc12.noarch
Naprawiająca błędy selinux-policy-targeted-3.6.32-73.fc12.noarch

 

Więc muszę się zmusić do update'u. Nie chce mi się

 

 

EDIT: lol

Aktualizowanie systemu        [=========================]         
Oczekiwanie na uwierzytelnienie[=========================]         
Wykonywanie                   [=========================]         
Rozwiązywanie zależności   [=========================]         
Pobieranie pakietów          [=========================]         
Sprawdzanie podpisów         [=========================]         
Testowanie zmian              [=========================]         
Instalowanie aktualizacji     [=========================]         
Czyszczenie pakietów         [=========================]         
Sprawdzanie używanych programów[=========================]         
Pobieranie informacji         [=========================]         
Wymagane jest ponowne uruchomienie sesji: policycoreutils-2.0.78-12.fc12.x86_64
Wymagane jest ponowne uruchomienie sesji: gnome-bluetooth-2.28.6-2.fc12.x86_64
Wymagane jest ponowne uruchomienie sesji: setroubleshoot-2.2.60-1.fc12.x86_64
Proszę wylogować się i zalogować, aby zakończyć aktualizację.

[MC']

po dzisiejszym updacie też dostałem te komunikaty co autor.