Skocz do zawartości

Selinux Powstrzymuje /Opt/Drweb/Drwebd.Real "Execheap" Dostęp


Verni

Rekomendowane odpowiedzi

........ SELinux powstrzymuje /opt/drweb/drwebd.real "execheap" dostępopis:

 

Szczegółowy

 

SELinux odmówił drwebd.real żądania dostępu. Ten dostęp nie jest konieczny dla

drwebd.real i może wskazywać na próbę włamania. Jest także możliwe, że określona

wersja lub konfiguracja aplikacji powoduje, że wymaga ona teg..........

 

Wie ktoś jak to ustawić w SELinux?

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

Podsumowanie:

 

SELinux powstrzymuje /opt/drweb/drwebd.real przed zmienianiem ochrony dostępu do

pamięci na stosie.

 

Szczegółowy opis:

 

The drwebd.real application attempted to change the access protection of memory

on the heap (e.g., allocated using malloc). This is a potential security

problem. Applications should not be doing this. Applications are sometimes coded

incorrectly and request this permission. The SELinux Memory Protection Tests

(http://www.akkadia.org/drepper/selinux-mem.html) web page explains how to

remove this requirement. If drwebd.real does not work and you need it to work,

you can configure SELinux temporarily to allow this access until the application

is fixed. Please file a bug report against this package.

 

Zezwalanie na dostęp:

 

Jeśli drwebd.real ma kontynuować, należy włączyć zmienną logiczną

allow_execheap. Uwaga: ta zmiana odniesie efekt we wszystkich aplikacjach w

system

 

Polecenie naprawy:

 

setsebool -P allow_execheap=1

 

Dodatkowe informacje:

 

Kontekst źródłowy system_u:system_r:initrc_t:s0

Kontekst docelowy system_u:system_r:initrc_t:s0

Obiekty docelowe None [ process ]

Źródło drwebd.real

Ścieżka źródłowa /opt/drweb/drwebd.real

Port <Nieznane>

Komputer TheDragon

Źródłowe pakiety RPM

Docelowe pakiety RPM

Pakiet RPM polityki selinux-policy-3.9.7-7.fc14

SELinux jest włączony True

Typ polityki targeted

Tryb wymuszania Enforcing

Nazwa wtyczki allow_execheap

Nazwa komputera TheDragon

Platforma Linux TheDragon 2.6.35.6-48.fc14.x86_64 #1 SMP Fri

Oct 22 15:36:08 UTC 2010 x86_64 x86_64

Liczba alarmów 934

Po raz pierwszy wto, 9 lis 2010, 23:11:00

Po raz ostatni wto, 9 lis 2010, 23:12:36

Lokalny identyfikator 7fcaf93e-271c-4bbe-83b7-744992d2c87a

Liczba wierszy

 

Surowe komunikaty audytu

 

node=TheDragon type=AVC msg=audit(1289344356.985:36444): avc: denied { execheap } for pid=8632 comm="drwebd.real" scontext=system_u:system_r:initrc_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=process

 

node=TheDragon type=SYSCALL msg=audit(1289344356.985:36444): arch=40000003 syscall=125 success=no exit=-13 a0=969a000 a1=200 a2=7 a3=968f400 items=0 ppid=1184 pid=8632 auid=4294967295 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=4294967295 comm="drwebd.real" exe="/opt/drweb/drwebd.real" subj=system_u:system_r:initrc_t:s0 key=(null)

Odnośnik do komentarza
Udostępnij na innych stronach

To drugi komunikat:

 

 

Podsumowanie:

SELinux powstrzymuje drwebd.real "execheap" dostęp do <Unknown>.

Szczegółowy opis:

SELinux odmówił drwebd.real żądania dostępu. Ten dostęp nie jest konieczny dla
drwebd.real i może wskazywać na próbę włamania. Jest także możliwe, że określona
wersja lub konfiguracja aplikacji powoduje, że wymaga ona teg

Zezwalanie na dostęp:

Ograniczone procesy mogą być skonfigurowane tak, aby wymagały różnego dostępu,
SELinux dostarcza zmienne logiczne, aby można było włączyć/wyłączyć dostęp w
razie potrzeby. Zmienna logiczna allow_execheap została niepoprawnie ustawiona.
Opis zmiennych logicznych:
Allow unconfined executables to make their heap memory executable. Doing this is
a really bad idea. Probably indicates a badly coded executable, but could
indicate an attack. This executable should be reported in

Polecenie naprawy:

# setsebool -P allow_execheap 1

Dodatkowe informacje:

Kontekst źródłowy         	system_u:system_r:initrc_t:s0
Kontekst docelowy         	system_u:system_r:initrc_t:s0
Obiekty docelowe              None [ process ]
Źródło                        drwebd.real
Ścieżka źródłowa              drwebd.real
Port                          <Nieznane>
Komputer                      TheDragon
Źródłowe pakiety RPM          
Docelowe pakiety RPM          
Pakiet RPM polityki       	selinux-policy-3.9.7-7.fc14
SELinux jest włączony     	True
Typ polityki                  targeted
Tryb wymuszania           	Enforcing
Nazwa wtyczki             	catchall_boolean
Nazwa komputera           	TheDragon
Platforma                 	Linux TheDragon 2.6.35.6-48.fc14.x86_64 #1 SMP Fri
                             Oct 22 15:36:08 UTC 2010 x86_64 x86_64
Liczba alarmów                3
Po raz pierwszy           	wto, 9 lis 2010, 23:21:15
Po raz ostatni                wto, 9 lis 2010, 23:23:14
Lokalny identyfikator     	acb4e181-c801-4254-a292-06486cd4e8f1
Liczba wierszy                

Surowe komunikaty audytu      

node=TheDragon type=AVC msg=audit(1289344994.722:54111): avc:  denied  { execheap } for  pid=12469 comm="drwebd.real" scontext=system_u:system_r:initrc_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=process

 

A to trzeci

 

 

Podsumowanie:

SELinux powstrzymuje /opt/drweb/drwebd.real "execheap" dostęp do <Unknown>.

Szczegółowy opis:

SELinux odmówił dostępu żądanego przez /opt/drweb/drwebd.real.
/opt/drweb/drwebd.real posiada błędną etykietę. Domyślnym typem SELinuksa dla
/opt/drweb/drwebd.real jest usr_t, ale jego bieżącym jest usr_t. Zmiana typu z
powrotem na domyślny może naprawić problem.

Jeśli jest to błąd, proszę zgłosić raport błę

Zezwalanie na dostęp:

Można przywrócić domyślny kontekst systemu tego pliku wykonując polecenie
restorecon. restorecon "/opt/drweb/drwebd.real".

Polecenie naprawy:

/sbin/restorecon '/opt/drweb/drwebd.real'

Dodatkowe informacje:

Kontekst źródłowy         	system_u:system_r:initrc_t:s0
Kontekst docelowy         	system_u:system_r:initrc_t:s0
Obiekty docelowe              None [ process ]
Źródło                        drwebd.real
Ścieżka źródłowa              /opt/drweb/drwebd.real
Port                          <Nieznane>
Komputer                      TheDragon
Źródłowe pakiety RPM          
Docelowe pakiety RPM          
Pakiet RPM polityki       	selinux-policy-3.9.7-7.fc14
SELinux jest włączony     	True
Typ polityki                  targeted
Tryb wymuszania           	Enforcing
Nazwa wtyczki             	restore_source_context
Nazwa komputera           	TheDragon
Platforma                 	Linux TheDragon 2.6.35.6-48.fc14.x86_64 #1 SMP Fri
                             Oct 22 15:36:08 UTC 2010 x86_64 x86_64
Liczba alarmów                1716
Po raz pierwszy           	wto, 9 lis 2010, 23:21:02
Po raz ostatni                wto, 9 lis 2010, 23:24:51
Lokalny identyfikator     	fb060112-cd96-464f-8a30-45aa64a87502
Liczba wierszy                

Surowe komunikaty audytu      

node=TheDragon type=AVC msg=audit(1289345091.791:56774): avc:  denied  { execheap } for  pid=17889 comm="drwebd.real" scontext=system_u:system_r:initrc_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=process

node=TheDragon type=SYSCALL msg=audit(1289345091.791:56774): arch=40000003 syscall=125 success=no exit=-13 a0=8aa8000 a1=200 a2=7 a3=8a9d400 items=0 ppid=1184 pid=17889 auid=4294967295 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=4294967295 comm="drwebd.real" exe="/opt/drweb/drwebd.real" subj=system_u:system_r:initrc_t:s0 key=(null)

 

 

 

Sorry, ale ja dopiero się przesiadłem i to dla mnie jeszt czarna magia........

Edytowane przez WalDo
dodanie znaczników.
Odnośnik do komentarza
Udostępnij na innych stronach

Sorry, ale ja dopiero się przesiadłem i to dla mnie jeszt czarna magia........
No, ale po polsku ze zrozumieniem to chyba dasz radę czytać? Po prostu nie chciało Ci się chyba poczytać nawet pobieżnie. Gdybyś tak zrobił, to z łatwością odszukałbyś akapit zatytułowany "Polecenie naprawy". Wykonaj to polecenie jako root.

Jeśli nadal będziesz miał problemy, to przebuduj konteksty SElinux

touch /.autorelabel
reboot

Wykona się restart, po którym (dość długo, do kilkunastu minut nawet) będą się sprawdzać i tworzyć na nowo konteksty.

Odnośnik do komentarza
Udostępnij na innych stronach

Nazwa komputera TheDragon

 

Jaszczurka co najwyzej. Jeśli nie chcesz odzwyczajać się od klikania "ok" bez czytania gdy wyskoczy błąd to może wróć na Windowsa. Fedorka jak twierdzi serwis "jakilinux.org" jest systemem dla średnio-zaawansowanych użytkowników chcących poznawać nowe rzeczy i rozszerzać swoją wiedzę.

Odnośnik do komentarza
Udostępnij na innych stronach

 

Jaszczurka co najwyzej.
Na temat proszę :) Bo kolejny wątek będę musiał podzielić na część merytoryczną i zabawną.

Sądzę, że Verni już zrozumiał, że ma czytać komunikaty i dokładnie opisywać problem zatem wystarczy tych kpin.

Verni - bez urazy - początki są trudne, ale sam sobie zgotowałeś ten los :)

Odnośnik do komentarza
Udostępnij na innych stronach

alkuzad tak offtopikowo serwis "jakilinux.org" może i miał swoje 5 minut świetności, ale to było parę lat temu :P

W zasadzie to czekam na distro Mageia, które powinno się pojawić już niedługo. W między czasie przelotnie instalowałem parę innych distro, w tym i Fedorę teraz. A teraz weź garść uspakajaczy, bo ja tu na tym forum trochę zabawię, ponieważ jakoś Fedorka przypadła mi do gustu :D

 

WalDo takie jest życie.....

 

.......................

Dzięki za pomoc i czas..

Pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

A teraz weź garść uspakajaczy, bo ja tu na tym forum trochę zabawię, ponieważ jakoś Fedorka przypadła mi do gustu :D
Tutaj wszyscy są spokojni, czasem kogoś na coś/kogoś szlag trafia, ale to już taka uroda życia. Daj spokój z innymi distro - trafiłeś na distro swojego życia :D Jak z piękną kobietą - będziesz musiał pilnować, pieścić, starać się, ale nikt nie da Ci tyle przyjemności ;)

 

 

WalDo takie jest życie.....
Cieszy mnie takie podejście, bo ostatnio jakoś wciąż słyszę, że jestem "zły policjant" :) Ale jestem zły dla wszystkich, więc mam czyste sumienie ph34r.gif
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...