Bonjour,

Voilà après fait une petite recherche, j'ai depuis peu une alerte Selinux que je n'arrive pas à comprendre, auriez vous des suggestions?
Résumé:

SELinux empêche /bin/bash d'accéder au descripteur de fichier compromis /root.

Description détaillée:

[prelink a un type permissif (prelink_cron_system_t). Cet accès n'a pas été
refusé.]

SELinux a refusé l'accès requis par la commande prelink. Il se pourrait que ce
soit un descripteur «fuité» ou bien que la sortie de prelink soit redirigée
vers un fichier interdit d'accès. Les fuites peuvent généralement être
ignorées puisque SELinux referme ces fuites et rapporte l'erreur. L'application
n'utilise pas le descripteur, il fonctionnera donc correctement. Si c'est une
redirection, vous n'aurez pas de sortie dans /root. Vous devriez signaler un bug
à bugzilla sur selinux-policy et il sera redirigé vers le paquet approprié.
Vous pouvez en toute sécurité ignorer

Autoriser l'accès:

Vous pouvez générer un module de politique de sécurité local afin
d'autoriser cet accès - voir FAQ
(http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385)

Informations complémentaires:

Contexte source               system_u:system_r:prelink_cron_system_t:s0-s0:c0.c
                              1023
Contexte cible                system_u:object_r:admin_home_t:s0
Objets du contexte            /root [ dir ]
source                        prelink
Chemin de la source           /bin/bash
Port                          <Inconnu>
Hôte                         localhost.localdomain
Paquetages RPM source         bash-4.1.7-1.fc13
Paquetages RPM cible          filesystem-2.4.31-1.fc13
Politique RPM                 selinux-policy-3.7.19-44.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 leaks
Nom de l'hôte                localhost.localdomain
Plateforme                    Linux localhost.localdomain
                              2.6.33.6-147.2.4.fc13.x86_64 #1 SMP Fri Jul 23
                              17:14:44 UTC 2010 x86_64 x86_64
Compteur d'alertes            4
Première alerte              jeu. 12 août 2010 10:15:12 CEST
Dernière alerte              lun. 16 août 2010 09:27:12 CEST
ID local                      0123b9b4-28a1-4b95-a84b-cf205411e6c9
Numéros des lignes           

Messages d'audit bruts        

node=localhost.localdomain type=AVC msg=audit(1281943632.304:39): avc:  denied  { read } for  pid=3798 comm="prelink" path="/root" dev=dm-0 ino=3014658 scontext=system_u:system_r:prelink_cron_system_t:s0-s0:c0.c1023 tcontext=system_u:object_r:admin_home_t:s0 tclass=dir

node=localhost.localdomain type=SYSCALL msg=audit(1281943632.304:39): arch=c000003e syscall=59 success=yes exit=0 a0=238e860 a1=238eff0 a2=238e530 a3=10 items=0 ppid=3654 pid=3798 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=3 comm="prelink" exe="/bin/bash" subj=system_u:system_r:prelink_cron_system_t:s0-s0:c0.c1023 key=(null)
 # yum --enablerepo=updates-testing update selinux-policy
Salut,

C'est une erreur que j'ai aussi, que j'ai reporté à Bugzilla. Voir ici

Nicosss, tu pourrai être un peu plus... Explicatif ? Parce qu'accessoirement, ça m'intéresse aussi sans compter que balancer une commande sans explication c'est pas très pédagogique.

Koshicalement
Merci nicosss et koshie pour la réponse.
# yum --enablerepo=updates-testing update selinux-policy
Si j'ai bien compris cela fait basculer sur la version en tests de selinux, ce qui ne m'intéresse pas dans l'immédiat.

D'après la doc sur Selinux le soucis semble se situer à ce niveau:
Contexte source               system_u:system_r:prelink_cron_system_t:s0-s0:c0.c1023
Contexte cible                system_u:object_r:admin_home_t:s0
system_u désigne l'utilisateur
prelink_cron_system_t:s0-s0:c0.c n'existe pas dans les étiquetage de fichier, ce qui doit surement être le soucis de l'alerte, j'ai par contre pour /etc/cron.daily/prelink un contexte prelink_cron_system_exec_t:s0 pour un type de fichier "regular file"
admin_home_t:s0 lui désigne les fichiers /root(/.*)?

Donc ma question serait, est ce que si l'on rajoute un étiquetage sur /etc/cron.daily/prelink mais avec un contexte prelink_cron_system_t, cela peut il créer un soucis de sécurité?
@koshie : Concernant ton bug as-tu essayé de faire ce qui est proposé dans le bugzilla ?
Concernant la ligne de commande c'est vrai qu'avec une explication c'est mieux mais j'avoue avoir fait la réponse sur le pouce car je n'avais pas le temps. Après je préfère donner une piste, même plus que rapide, plutôt que de laisser une question sans aide.
Généralement pour ce genre de message d'erreur c'est rapporté sur le bugzilla rapidement et corrigé aussitôt, seulement les paquets sont dispos sous koji en premier lieu http://koji.fedoraproject.org/koji/packageinfo?packageID=32 puis ils sont proposés en updates-testing https://admin.fedoraproject.org/updates/search/selinux-policy avant d'être poussé dans le dépôt stable. Seulement le paquet a plus vite fait d'arriver dans updates-testing que dans stable car il doit être évalué via le feedback disponible en bas de chaque description de paquet.
Voilà j'espère avoir en quelque sorte répondu à tes interrogations.

@mkc : Regarde le rapport de bug qu'a fait koshie, il semble que ce soit lié au paquet cronie https://bugzilla.redhat.com/show_bug.cgi?id=623908#c11. Après je n'ai pas assez souvent de problème avec SELinux pour mettre penché dessus en profondeur et être suffisamment calé dans son fonctionnement. Généralement les méthodes pour résoudre une alerte sont bien détaillées dedans, sinon rapport de bug 🙂
Merci pour ce complément Nicosss, en faite la commande proposée est la suivante:
yum --enablerepo=updates-testing update cronie
qui vous donnera 2 mise à jour:
Modules complémentaires chargés : presto, refresh-packagekit
updates-testing/metalink                                 |  21 kB     00:00     
updates-testing                                          | 4.5 kB     00:00     
updates-testing/primary_db                               | 732 kB     00:05     
Configuration du processus de mise à jour
Résolution des dépendances
--> Lancement de la transaction de test
--> Traitement de la dépendance : cronie = 1.4.5-1.fc13 pour le paquet : cronie-anacron-1.4.5-1.fc13.x86_64
---> Paquet cronie.x86_64 0:1.4.5-2.fc13 marqué pour être mis à jour 
--> Lancement de la transaction de test
---> Paquet cronie-anacron.x86_64 0:1.4.5-2.fc13 marqué pour être mis à jour 
--> Résolution des dépendances terminée

Dépendances résolues

================================================================================
 Paquet              Architecture
                                 Version             Dépôt                Taille
================================================================================
Mise à jour:
 cronie              x86_64      1.4.5-2.fc13        updates-testing       70 k
Mise à jour pour dépendance:
 cronie-anacron      x86_64      1.4.5-2.fc13        updates-testing       28 k

Résumé de la transaction
================================================================================
Upgrade       2 Package(s)
Pour l'appliquer il suffit de vérifier sa version de cronie
[root@localhost ~]# yum info croni*
Modules complémentaires chargés : presto, refresh-packagekit
Paquets installés
Name        : cronie
Arch        : x86_64
Version     : 1.4.5
Release     : 1.fc13
Size        : 170 k
Dépôt         : installed
From repo   : updates
Summary     : Cron daemon for executing programs at set times
URL         : https://fedorahosted.org/cronie
License     : MIT and BSD and ISC and GPLv2
Description : Cronie contains the standard UNIX daemon crond that runs specified
            : programs at scheduled times and related tools. It is a fork of the
            : original vixie-cron and has security and configuration
            : enhancements like the ability to use pam and SELinux.

Name        : cronie-anacron
Arch        : x86_64
Version     : 1.4.5
Release     : 1.fc13
Size        : 41 k
Dépôt         : installed
From repo   : updates
Summary     : Utility for running regular jobs
URL         : https://fedorahosted.org/cronie
License     : MIT and BSD and ISC and GPLv2
Description : Anacron becames part of cronie. Anacron is used only for running
            : regular jobs. The default settings execute regular jobs by
            : anacron, however this could be overloaded in settings.

Paquets disponibles
Name        : cronie-noanacron
Arch        : x86_64
Version     : 1.4.5
Release     : 1.fc13
Size        : 6.9 k
Dépôt         : updates
Summary     : Utility for running simple regular jobs in old cron style
URL         : https://fedorahosted.org/cronie
License     : MIT and BSD and ISC and GPLv2
Description : Old style of {hourly,daily,weekly,monthly}.jobs without anacron.
            : No features.
La release en test qui semble fonctionner est la 2 et non la 1 comme on peut le voir ici, donc il faut mettre à jour par la premiere commande ou attendre une mise à jour stable. Merci à vous deux.