Bonjour à toute la communauté Fedora,

Je vous expose rapidement mon problème :

J'étais sur la version 7 de Fedora et je l'ai upgradé en version 9.

J'ai maintenant un gros souci avec SELinux. Dès que je veux lancer une application ou accéder en lecture et/ou écriture sur un fichier, j'ai constamment des alertes qui apparaissent au niveau du "journal des alertes SELinux"....Cela ne m'empêche pas de faire ce que je voulais car je suis en mode permissif. Au moment où j'étais en Fedora 7, Selinux était actif et également en mode "permissif" mais je n'avais que tres rarement des alertes...Maintenant, c'est constamment !!!

A chaque fois le journal des alertes de SELinux me propose de faire un restorecon -v 'XXXXXXXX', mais malgré cela, les alertes continues sur les mêmes types de fichiers (il y en à un max) !!!!!

J'ai tenté de faire un restorecon -R sur la racine "/" mais ça ne change rien.

Faut-il désactiver un paramètre particulier (et si oui, lequel) sur SELinux via la commande setsebool ???

Voici ce que me renvoi la commande "getsebool -a" :
allow_console_login --> off
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on
allow_daemons_use_tty --> on
allow_domain_fd_use --> on
allow_execheap --> off
allow_execmem --> on
allow_execmod --> on
allow_execstack --> on
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
allow_gadmin_exec_content --> on
allow_gssd_read_tmp --> on
allow_guest_exec_content --> off
allow_httpd_anon_write --> off
allow_httpd_dbus_avahi --> off
allow_httpd_mod_auth_ntlm_winbind --> off
allow_httpd_mod_auth_pam --> off
allow_httpd_sys_script_anon_write --> off
allow_kerberos --> on
allow_mount_anyfile --> off
allow_mplayer_execstack --> off
allow_nfsd_anon_write --> off
allow_nsplugin_execmem --> on
allow_polyinstantiation --> off
allow_postfix_local_write_mail_spool --> on
allow_ptrace --> off
allow_qemu_full_network --> on
allow_read_x_device --> on
allow_rsync_anon_write --> off
allow_saslauthd_read_shadow --> off
allow_smbd_anon_write --> off
allow_ssh_keysign --> off
allow_staff_exec_content --> on
allow_sysadm_exec_content --> on
allow_unconfined_exec_content --> on
allow_unconfined_mmap_low --> off
allow_unconfined_nsplugin_transition --> off
allow_unconfined_qemu_transition --> off
allow_user_exec_content --> on
allow_user_postgresql_connect --> off
allow_write_xshm --> off
allow_xguest_exec_content --> off
allow_xserver_execmem --> on
allow_ypbind --> off
allow_zebra_write_config --> on
browser_confine_xguest --> on
browser_write_xguest_data --> off
cdrecord_read_content --> off
exim_can_connect_db --> off
exim_manage_user_files --> off
exim_read_user_files --> off
fcron_crond --> off
ftp_home_dir --> off
global_ssp --> off
httpd_builtin_scripting --> on
httpd_can_network_connect --> off
httpd_can_network_connect_db --> off
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> on
httpd_ssi_exec --> off
httpd_tty_comm --> on
httpd_unified --> on
httpd_use_cifs --> off
httpd_use_nfs --> off
named_write_master_zones --> off
nfs_export_all_ro --> on
nfs_export_all_rw --> on
openvpn_enable_homedirs --> off
pppd_can_insmod --> off
pppd_for_user --> off
qemu_use_cifs --> on
qemu_use_nfs --> on
read_default_t --> on
read_untrusted_content --> off
rsync_export_all_ro --> off
samba_domain_controller --> off
samba_enable_home_dirs --> off
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_run_unconfined --> on
samba_share_fusefs --> off
samba_share_nfs --> off
secure_mode --> off
secure_mode_insmod --> off
secure_mode_policyload --> off
spamassassin_can_network --> off
spamd_enable_home_dirs --> on
squid_connect_any --> off
ssh_sysadm_login --> off
tftp_anon_write --> off
use_lpd_server --> off
use_nfs_home_dirs --> on
use_samba_home_dirs --> off
user_direct_mouse --> off
user_ping --> on
user_rw_noexattrfile --> on
user_tcp_server --> off
user_ttyfile_stat --> off
virt_use_nfs --> off
virt_use_samba --> off
webadm_manage_user_files --> off
webadm_read_user_files --> off
write_untrusted_content --> off
xdm_sysadm_login --> off
xen_use_nfs --> off
xguest_connect_network --> off
xguest_mount_media --> off
xguest_use_bluetooth --> off
xserver_object_manager --> off
J'attends avec impatience vos réponses !!! J'aimerais simplement comprendre ce qui peut se passer et éviter de charger à mort mon journal d'alertes :-?

Merci d'avance pour vos réponses !!!

Davenight94
Gros problème d'étiquetage des données, certainement dû à ta mise à jour (quand on le dit que c'est pas conseillé !)

Lance la commande suivante: 
# touch /.autorelabel && reboot
Cela redémarrera en forçant un réétiquetage de ton système au démarrage (attention, ça va redémarrer tout de suite, sauvegarde ton travail avant de valider ^^)

Autre chose, le mode permissif te sert a quoi ? A moins que tu n'exploites les alertes remontées par SELinux dans un but précis, il ne sert à rien de lui dire de tout surveiller, de gueuler, mais de tout laisser passer. Désactive le ou passe le en "enforcing", le mode permissive ne sert qu'aux développeurs ou aux administrateurs désirant créer des règles SELinux spécifiques.

PS: quand tu donnes le résultat d'une commande, mets le dans une balise (code), le résultat sera plus lisible et raccourcira la longueur de la page.
Merci à toi Bochecha !!!

Jprends note sur les balises 😉

Le mode permissif me donnait seulement un apperçu sur ce qui pouvait déconner côté sécurité sans me bloquer sur mes actions ce qui me permettait de faire un restorecon de temps en temps (époque Fedora 7).

Après ta remarque, je te l'accorde, c'est un peu con le mode permissif en ce qui me concerne !!!

Je tente ta commande tout de suite !!
davenight94 wrote:Le mode permissif me donnait seulement un apperçu sur ce qui pouvait déconner côté sécurité sans me bloquer sur mes actions ce qui me permettait de faire un restorecon de temps en temps (époque Fedora 7).
A priori, tout ce qui est dans Fedora passe sans aucun problème avec SELinux. Si ce n'est pas le cas, c'est un bug, il faut le remonter pour qu'il soit corrigé.

En conséquence, mode "enforcing" pour se protéger et pis c'est tout 🙂

Bon évidemment, si tu règles pas d'abord ton souci, le mode "enforcing" risque de t'empêcher d'allumer ton ordinateur, du coup, t'as plutôt du bol de pas être dans ce mode. Mais vu que la mise à jour est déconseillée, tu t'es un peu mis la dedans tout seul :-P
Jviens de lancer la commande que tu m'as donné...Rien n'y fait, toujours les mêmes délires !!!!!

Je vais prendre quelques cours sur SELinux et si je trouve le problème, j'en informe la communauté. Sinon, dans le pire des cas, je sauvegarde mes datas sur CD ou DVD et je réinstalle FC9....Je l'ai installée au taff et aucun problème côté SELinux (install complète, pas d'upgrade).

Jpense que l'upgrade FC7 vers FC9 pose problème !!!

Encore merci à toi pour ta réactivité !!! :-D
Sinon, essaie d'isoler les messages différents, il doit pas y en avoir beaucoup (la plupart doivent certainement se recouper au final).

Hésite pas à les poster ici, qu'on regarde (ne fais pas de captures d'écrans de SEAlert s'il te plait, ne prend que les parties intéressantes de chaque message et mets les entre des balises code).

PS: tu veux pas éditer ton premier message pour mettre ces fameuses balises ? Histoire de pas devoir scroller la page pendant des heures à chaque fois :-D

EDIT: si tu veux des cours sur SELinux, voici quelques ressources:
- la page SELinux sur le wiki du FP (le point de départ de tout): http://fedoraproject.org/wiki/SELinux
- le blog de Dan Walsh, principal dev SELinux chez RedHat (une mine d'or ce blog): http://danwalsh.livejournal.com/
- une discussion ayant eu lieu il y a peu avec plein de bonnes infos: https://fedoraproject.org/wiki/FWN/LatestIssue#SELinux_Eats_Babies.2C_Confines_Wives.2C_Gives_Birth

Au passage, je vois que Dan Walsh parle d'un problème avec les mises à jour de Fedora dans son dernier article: http://danwalsh.livejournal.com/21067.html
Peut être une piste 😉
C'est cool de ta part !!

Merci à toi ! 🙂

Dès que les messages d'alertes réapparaissent, je les post (via balise code 😉)

Jvais me pencher sur les liens que tu m'a fourni
Etrangement, sur ma session précédente j'ai tapé les commandes suivantes :

# semanage login -m -S targeted -s "unconfined_u" -r s0-s0:c0.c1023 __default__
# semanage login -m -S targeted -s "unconfined_u" -r s0-s0:c0.c1023 root

comme indiqué sur le site que tu m'as indiqué : http://danwalsh.livejournal.com/

Apres un reboot (que je n'avais pas encore fait !!), tout marche nickel !!! Plus de messages intempestifs.....Faut vraiment que je me penche sur la doc de SELinux !!!!

Dans tous les cas merci Bochecha, ton aide m'a vraiment été précieuse. Jretiens ton pseudo au cas où j'aurais d'autres problèmes !!!

Sur ce, bon week end à toi et à toute la communauté Fedora !!!
Je te l'avais dit, l'upgrade est totalement déconseillé !

As-tu compris d'où venait le problème en lisant ce billet de Dan Walsh ?

Concernant ta réponse sur l'autre sujet:
davenight94 wrote:Message perso à Bochecha :

Depuis que je suis passé en mode enforcing, si je veux faire un reboot j'ai le droit à un "permission denied" et quand je veux lancer SELinux management (mode graphique) j'ai une fenêtre qui me dit "erreur inconnue".

ça te parle ces erreurs ???? jpense comme toi, c'est un bon ptit bug de merde de FC9 !!!!

Solution pour rétablir l'incident (ça peut servir à d'autres) :

1) Rebooter en runlevel 1 ou rescue
Lors de l'affichage du lanceur grub, appuyer sur la touche "a" pour modifier les paramètres de démarrage puis en fin de ligne ajouter "1" ou
"rescue". Appuyer sur la touche "entrée". Linux se lance en mode 1 ou rescue.
2) Lorsque le prompt sh apparait, taper la commande suivante : "setsebool -P secure_mode_policyload=0" puis tapé la touche "entrée" et enfin
entrer la commande "reboot".

Il est franchement chiant ce bug !!!
L'as tu écrite avant ou après avoir résolu ton problème ?

EDIT: /me copie 100 fois: "la prochaine fois, avant de poser une question, je regarderai la date des messages"
Je pense avoir saisi d'où venait l'incident suite à la lecture de ce qu'a écrit Dan Walsh (http://danwalsh.livejournal.com/) :

Les contexts côté utilisateurs sont différents entre les anciennes versions de Fedora et la FC9 (FC9 introduit le concepte d'utilisateurs confinés).

En upgradant de FC7 vers FC9, le context des utilisateurs par defaut ainsi que celui de root sont passé dans un context d'utilisateurs confinés et donc n'ayant pas les autorisations d'intéragir avec le système.

En modifiant le context utilisateur en utilisateur non confiné, les autorisations sont à nouveau accordé par le système. (Est-ce bien ça ?).

Concernant la réponse sur l'autre sujet, le message a été écrit avant que le problème soit résolu (d'où mon insistance à parlé de bug qui effectivement n'en était pas un : Mea Culpa !! :-P)