Selinuks I Quakelive

[c'mon]

Na poczatku witam Wszystkich!

Niedawno zainstalowalem Fedore 14. Korzystajac z poradnika na Wiki poradzilem sobie z wiekszoscia "problemów" nowego uzytkownika.

I pragne podziekowac za wklad wlozony w ten Poradnik

Oki do rzeczy. Od czasu do czasu lubie pograc na Quake Live, ale na Fedorze nie moge sobie poradzic (czyt. nie mam pojecia co zrobic) z SELinuksem, który podczas wybierania jakiejkolwiek rozgrywki wyswietla mi komunikat o takiej tresci :

 

SELinux is preventing /usr/lib/firefox-3.6/firefox from using the execstack access on a process.

*****  Wtyczka allow_execstack (53.1 zaufania) sugeruje **********************

Jesli you believe that 
None
should not require execstack
Wtedy you should clear the execstack flag and see if /usr/lib/firefox-3.6/firefox works correctly.
Report this as a bug on None.
You can clear the exestack flag by executing:
Wykonac
execstack -c None

*****  Wtyczka catchall_boolean (42.6 zaufania) sugeruje *********************

Jesli aby allow unconfined executables to make their stack executable.  This should never, ever be necessary. Probably indicates a badly coded executable, but could indicate an attack. This executable should be reported in bugzilla
Wtedy nalezy powiadomic o tym SELinuksa wlaczajac zmienna logiczna "allow_execstack".
Wykonac
setsebool -P allow_execstack 1

*****  Wtyczka catchall (5.76 zaufania) sugeruje *****************************

Jesli jesli firefox powinno miec domyslnie execstack dostep do procesów z etykietami unconfined_t.
Wtedy prosze to zglosic jako blad.
Mozna utworzyc lokalny modul polityki, aby umozliwic ten dostep.
Wykonac
mozna tymczasowo zezwolic na ten dostep wykonujac polecenia:
# grep firefox /var/log/audit/audit.log | audit2allow -M moja_polityka
# semodule -i moja_polityka.pp

Additional Information:
Kontekst zródlowy             unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                             023
Kontekst docelowy             unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                             023
Obiekty docelowe              Unknown [ process ]
Zródlo                        firefox
Sciezka zródlowa              /usr/lib/firefox-3.6/firefox
Port                          <Nieznane>
Komputer                      thief
Zródlowe pakiety RPM          firefox-3.6.13-1.fc14
Docelowe pakiety RPM          
Pakiet RPM polityki           selinux-policy-3.9.7-29.fc14
SELinux jest wlaczony         True
Typ polityki                  targeted
Tryb wymuszania               Enforcing
Nazwa komputera               thief
Platforma                     Linux thief 2.6.35.11-83.fc14.i686 #1 SMP Mon Feb
                             7 07:04:18 UTC 2011 i686 i686
Liczba alarmów                11
Po raz pierwszy               sro, 23 lut 2011, 12:45:49
Po raz ostatni                sro, 23 lut 2011, 16:04:19
Lokalny identyfikator         765657f8-c1e3-4886-ae39-516facc4cb33

Surowe komunikaty audytu
type=AVC msg=audit(1298473459.99:19628): avc:  denied  { execstack } for  pid=1937 comm="firefox" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process


type=SYSCALL msg=audit(1298473459.99:19628): arch=i386 syscall=mprotect success=no exit=EACCES a0=bf8fb000 a1=1000 a2=1000007 a3=bf8f4ca0 items=0 ppid=1916 pid=1937 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm=firefox exe=/usr/lib/firefox-3.6/firefox subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)

Hash: firefox,unconfined_t,unconfined_t,process,execstack

audit2allow

#============= unconfined_t ==============
#!!!! This avc can be allowed using the boolean 'allow_execstack'

allow unconfined_t self:process execstack;

audit2allow -R

#============= unconfined_t ==============
#!!!! This avc can be allowed using the boolean 'allow_execstack'

allow unconfined_t self:process execstack;

 

Dziekuje z góry za pomoc

Edytowane Luty 23, 2011 przez WalDo
Tu też jakiś problem ze znacznikami codebox? No, c'mon...

[Gość]

IMHO zgłoś buga do projektu fedora.

Co więcej, możesz użyć sugerowanego rozwiązania, czyli jako root klepiesz:

setsebool -P allow_execstack 1

Albo ... aż boję się to napisać... wklep:

setenforce 0

i spróbuj.

[c'mon]

IMHO zgłoś buga do projektu fedora.

Co więcej, możesz użyć sugerowanego rozwiązania, czyli jako root klepiesz:

setsebool -P allow_execstack 1

Albo ... aż boję się to napisać... wklep:

setenforce 0

i spróbuj.

 

 

 

Dziękuję za pomoc! Działa bez problemu!