Selinux Blokuje Networkmanager-A

[ochiochi]

Witam wszystkich,

 

Próbowałem nawiązać połączenie z uniwersytecką siecią bezprzewodową (edurom). Po wpisaniu wszystkich danych potrzebnych do nawiązania połączenia i jego próbie wyskoczył mi komunikat mówiący, że SElinux znalazł problem. Treść wygląda tak:

 

***** Wtyczka catchall (100. zaufania) sugeruje *****************************

 

Jeśli aby NetworkManager powinno mieć domyślnie read dostęp do umk.cer file.

Wtedy proszę to zgłosić jako błąd.

Można utworzyć lokalny moduł polityki, aby umożliwić ten dostęp.

Wykonać

można tymczasowo zezwolić na ten dostęp wykonując polecenia:

# grep NetworkManager /var/log/audit/audit.log | audit2allow -M moja_polityka

# semodule -i moja_polityka.pp

 

Additional Information:

Kontekst źródłowy system_u:system_r:NetworkManager_t:s0

Kontekst docelowy system_u:object_r:fusefs_t:s0

Obiekty docelowe umk.cer [ file ]

Źródło NetworkManager

Ścieżka źródłowa NetworkManager

Port <Nieznane>

Komputer ochi

Źródłowe pakiety RPM

Docelowe pakiety RPM

Pakiet RPM polityki selinux-policy-3.10.0-46.fc16

SELinux jest włączony True

Typ polityki targeted

Tryb wymuszania Enforcing

Nazwa komputera ochi

Platforma Linux ochi 3.1.0-7.fc16.x86_64 #1 SMP Tue Nov 1

21:10:48 UTC 2011 x86_64 x86_64

Liczba alarmów 12

Po raz pierwszy śro, 28 mar 2012, 13:55:02

Po raz ostatni śro, 28 mar 2012, 15:18:00

Lokalny identyfikator 39313a35-d7ba-4fc6-9848-2aafa914e812

 

Surowe komunikaty audytu

type=AVC msg=audit(1332940680.118:108): avc: denied { read } for pid=855 comm="NetworkManager" name="umk.cer" dev=sda3 ino=32126 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:object_r:fusefs_t:s0 tclass=file

 

 

Hash: NetworkManager,NetworkManager_t,fusefs_t,file,read

 

audit2allow

 

#============= NetworkManager_t ==============

allow NetworkManager_t fusefs_t:file read;

 

audit2allow -R

 

#============= NetworkManager_t ==============

allow NetworkManager_t fusefs_t:file read;

 

 

Próbowałem użyć sugerowanych poleceń w rozwiązaniu, ale bez skutku.

 

Pozdrawiam i czekam na sugestie

[@WalDo]

Spróbuj

audit2allow -a -M regulka
semodule -i regulka.pp

Zwróc uwage, ze w pierwszym poleceniu jest "regulka", w drugim to samo, ale z rozszerzeniem "regulka.pp"

 

Alternatywnie mozesz spróbowac bardziej "punktowo":

grep  NetworkManager /var/log/audit/audit.log | audit2allow -M regulka
semodule -i regulka.pp

 

Oczywiscie polecenia wykonujesz jako root.

[ochiochi]

Problem rozwiazany. Na jednej ze stron znalazlem opis, który mówi, ze nalezy utworzyc w Katalogu Domowym katalog o nazwie Certyfikaty i tam umiescic plik certyfikatu. Wczesniej plik byl umieszczony na partycji NTSF, która sluzy mi do przechowywania plików wspólnych dla Windowsa 7 i Fedory (mam zainstalowane dwa systemy). Nie wiem na czym polega ta zaleznosc, moze mi ktos wyjasnic? WalDo, dzieki za próbe pomocy.

[dj_oko]

Wynika to faktu, ze certyfikat zostal umieszczony na partycji, do której nie pasuja atrybuty linuksowych systemów plików. Wg staromodnego porzadku, pliki certyfikatów byly przechowywane w katalogach uzytkownika root lub w drzewie /etc, gdzie uprawnienia zapisu mial tylko root.

Mimo, ze masz uprawnienia do zapisu, nawet podmiany tego pliku, bo lezy on w twoim katalogu domowym, to wg pewnej filozofii bezpieczenstwa, lepiej jest, jezeli prawa sa pelne, ale znane, niz "jakies", a jedynie "jakies" moga byc na partycji NTFS-3g. Dlatego mimo, ze dzis certyfikaty sa nieco powszechniejsze i konfiguracja sieci WiFi przeszla do userspace, stosuje sie polityke nieco mniej "tolerancyjna".

 

Nie musi tez chodzic o sama partycje. Nie czytalem kontekstu SELinux dla NetworkManagera, tym mozna straszyc male dzieci, ale pamietaj o tym, jak dziala SELinux. Jego konteksty czesto polegaja na tym, ze zabrania sie programowi "widziec" pewne obszary systemu plików. Przykladowo: "po co klientowi IRC dostep do katalogu /etc/ssh?". Analogicznie "po co NetworkManagerowi dostep do katalogu /media?".

[ochiochi]

dj_oko: dzieki za wyjasnienie tej kwesti