Alerte SeLinux en ce vendredi...

4Tom4 · 20 juin 2008

Salut à tous,

Depuis ce matin, SeLinux me lance des alertes à tout va...

Comme ej ne comprends pas très bien son fonctionnement, je préfère venir demander des infos.

Voici le log généré:

Résumé:

SELinux is preventing tmpwatch (tmpreaper_t) "getattr" to
/tmp/vbox.3/r0drv/initterm-r0drv.c (usr_t).

Description détaillée:

SELinux denied access requested by tmpwatch. It is not expected that this access
is required by tmpwatch and this access may signal an intrusion attempt. It is
also possible that the specific version or configuration of the application is
causing it to require additional access.

Autoriser l'accès:

Sometimes labeling problems can cause SELinux denials. You could try to restore
the default system file context for /tmp/vbox.3/r0drv/initterm-r0drv.c,

restorecon -v '/tmp/vbox.3/r0drv/initterm-r0drv.c'

If this does not work, there is currently no automatic way to allow this access.
Instead, you can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Informations complémentaires:

Contexte source               system_u:system_r:tmpreaper_t:s0
Contexte cible                system_u:object_r:usr_t:s0
Objets du contexte            /tmp/vbox.3/r0drv/initterm-r0drv.c [ file ]
Source                        tmpwatch
Source Path                   /usr/sbin/tmpwatch
Port                          <Inconnu>
Host                          Sparadrux
Source RPM Packages           tmpwatch-2.9.11-2
Target RPM Packages           
Politique RPM                 selinux-policy-3.0.8-109.fc8
Selinux activé               True
Type de politique             targeted
MLS activé                   True
Mode strict                   Enforcing
Nom du plugin                 catchall_file
Nom de l'hôte                Sparadrux
Plateforme                    Linux Sparadrux 2.6.25.4-10.fc8 #1 SMP Thu May 22
                              22:58:37 EDT 2008 x86_64 x86_64
Compteur d'alertes            1
First Seen                    ven 20 jun 2008 12:04:49 CEST
Last Seen                     ven 20 jun 2008 12:04:49 CEST
Local ID                      41282329-d2b1-4dcf-ae30-8013d7b5097f
Numéros des lignes           

Messages d'audit bruts        

host=Sparadrux type=AVC msg=audit(1213956289.106:448): avc:  denied  { getattr } for  pid=6599 comm="tmpwatch" path="/tmp/vbox.3/r0drv/initterm-r0drv.c" dev=sdb1 ino=2872838 scontext=system_u:system_r:tmpreaper_t:s0 tcontext=system_u:object_r:usr_t:s0 tclass=file

host=Sparadrux type=SYSCALL msg=audit(1213956289.106:448): arch=c000003e syscall=6 success=no exit=-13 a0=1bc3c6b a1=7fff43967fc0 a2=7fff43967fc0 a3=402f0a items=0 ppid=6597 pid=6599 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="tmpwatch" exe="/usr/sbin/tmpwatch" subj=system_u:system_r:tmpreaper_t:s0 key=(null)

Bon, je mets que celui-là, car la liste est longue...😉

En fait, Selinux, prévient bien des tentaives d'intrusion/modification dans un fichier c'est bien ça?
J'ai lu un tuto cur SeLinux, mais j'ai rien capter...:hammer:

Lokthare · 20 juin 2008

tmpwatch , c'est un programme lancé automatiquement qui nettoy ton /tmp
Le pb, c'est qu'il un fichier qui a un attribut SELinux qui est différent des attributs auquels tpmwatch peux accéder.

Essaye tjs la commande indiquer dans le rapport : restorecon -v '/tmp/vbox.3/r0drv/initterm-r0drv.c'

4Tom4 · 20 juin 2008

Merci pour ta réponse.

Alros j'ai fait cette commande, mais je dois le faire pour TOUTES les lignes de SElinux??!!

Car j'en ai un bon paquet!:

Genre:

Résumé:

SELinux is preventing tmpwatch (tmpreaper_t) "setattr" to ./linux (usr_t).

Description détaillée:

SELinux denied access requested by tmpwatch. It is not expected that this access
is required by tmpwatch and this access may signal an intrusion attempt. It is
also possible that the specific version or configuration of the application is
causing it to require additional access.

Autoriser l'accès:

Sometimes labeling problems can cause SELinux denials. You could try to restore
the default system file context for ./linux,

restorecon -v './linux'

If this does not work, there is currently no automatic way to allow this access.
Instead, you can generate a local policy module to allow this access - see FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Or you can disable
SELinux protection altogether. Disabling SELinux protection is not recommended.
Please file a bug report (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi)
against this package.

Informations complémentaires:

Contexte source               system_u:system_r:tmpreaper_t:s0
Contexte cible                system_u:object_r:usr_t:s0
Objets du contexte            ./linux [ dir ]
Source                        tmpwatch
Source Path                   /usr/sbin/tmpwatch
Port                          <Inconnu>
Host                          Sparadrux
Source RPM Packages           tmpwatch-2.9.11-2
Target RPM Packages           
Politique RPM                 selinux-policy-3.0.8-109.fc8
Selinux activé               True
Type de politique             targeted
MLS activé                   True
Mode strict                   Enforcing
Nom du plugin                 catchall_file
Nom de l'hôte                Sparadrux
Plateforme                    Linux Sparadrux 2.6.25.4-10.fc8 #1 SMP Thu May 22
                              22:58:37 EDT 2008 x86_64 x86_64
Compteur d'alertes            8
First Seen                    ven 20 jun 2008 12:04:37 CEST
Last Seen                     ven 20 jun 2008 12:04:49 CEST
Local ID                      5cd57429-c6c6-4bae-82d7-0e0fbc0c92e2
Numéros des lignes           

Messages d'audit bruts        

host=Sparadrux type=AVC msg=audit(1213956289.42:446): avc:  denied  { setattr } for  pid=6599 comm="tmpwatch" name="linux" dev=sdb1 ino=2872823 scontext=system_u:system_r:tmpreaper_t:s0 tcontext=system_u:object_r:usr_t:s0 tclass=dir

host=Sparadrux type=SYSCALL msg=audit(1213956289.42:446): arch=c000003e syscall=132 success=no exit=-13 a0=402f0a a1=7fff43967ec0 a2=1bc5c10 a3=402f0a items=0 ppid=6597 pid=6599 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="tmpwatch" exe="/usr/sbin/tmpwatch" subj=system_u:system_r:tmpreaper_t:s0 key=(null)

J'en ai plus d'une centaine!:hammer:

En gros, (j'essaye de comprendre avec mes mots..) SELinux, protége les fichiers du système des modifications, accés etc.. Non?

Lokthare · 20 juin 2008

Si tu veux comprendre le fonctionnement de SELinux, google est ton ami.

man restorecon, nous apprends que si on utilise l'option -r, il change les labels de manières récursives
donc essaye
restorecon -v -r /tmp

4Tom4 · 20 juin 2008

Oui, merci, j'ai déjà vu des liens qui parlent de SELinux, mais je ne comprends pas très bien, c'est d'ailleurs pour ça que je viens poster..

restorecon -v -r /tmp

Ok, mais certains messages, me donnent des chemins différents.
Alors dans ce cas, il faudrait que je fasse restorecon -r /??

Ce qui voudra donc dire, que je rétabli tous les fichiers du système, pour qu'il soit accéssible par ce derneir?

pmarion · 20 juin 2008

@4Tom4
Si ça peut te rassurer je n'ai jamais pu faire fonctionner correctement tmpwatch avec SELinux dès qu'il y a un grand nombre d'applications différentes qui utilisent /tmp.

Lokthare · 20 juin 2008

Toujours avec tmpwatch ? En dehors de /tmp?

4Tom4 · 20 juin 2008

Bon, après mettre renseigné sur pas mal de site je pense avoir compris els grandes lignes du fonctionnement de SELinux.
Par contre, pour le pramétrage, c'est assez hard je trouve..:-?