Bonjour,

Faisant suite à https://forums.fedora-fr.org/d/74739-kvm-qemu-qui-ne-veut-pas-lancer-les-vms, même problème et message de log quant à moi, pas résolu même avec une relabellisation complète. Ennuyeux. Toute aide bien venue !

log: “Erreur lors du démarrage du domaine: Impossible de se connecter à virtlogd: Impossible d’ouvrir le jeton système /run/libvirt/common/system.token: Permission non accordée”

PS 1er souci avec libvirt, qui a jusqu’ici remplacé avantageusement vmware player qui posait problème à chaque update du kernel….

Edit Nicosss : Séparation discussion pour ne pas mélanger

  • kona68 Je peux attendre des corrections de bug pour mes machines virtuelles, c’est en effet la meilleure solutions.

    Il y a une nouvelle version de politiques SELinux disponible en testing si tu souhaites faire l’essai.
    Elle contient entre autre

    • Define transitions for /run/libvirt/common and /run/libvirt/qemu

    Pour l’installer
    $ sudo dnf upgrade --enablerepo=updates-testing --refresh --advisory=FEDORA-2024-57cdb8429c

Normalement il y a un service qui “relabelise” au démarrage. Mais bon c’est pas toujours bon.

Supprime ton dossier /run/libvirt, joue la commande pour l’autorelabel et redémarre.

Comme décrit plus haut.

Les joies des montées de versions 😛.

Merci VINDICATORs, j’ai supprimer le dossier /run/libvirt puis un sudo touch /.autorelabel puis un reboot, toujours le même problème et message identique.

Y a-t-il un moyen de désactiver temporairement SELinux pour voir si cela vient de là ?

    kona68 Tu peux ajouter l’option enforcing=0 après rhgb quiet aux options de Grub au démarrage en éditant les options du kernel lorsque la machine démarre.
    Tu seras ainsi en mode permissive donc SELinux ne fera que tracer dans les logs les problèmes potentiels mais ne bloquera rien.

    Bonjour @kona68

    On retourne au basic.

    Tu peux me donner le retour de :

    sudo ls -l /run/libvirt/common/system.token

    j’utilise kvm sur OpenSUSE TW & arch ainsi qu’en OS principale “ Fedora Rawide” et ça fonctionne..

    C’est juste comparer ma config Rawide avec la tienne et te donner tes pistes de résolutions.

    Merci Nicoss, j’ai démarré avec l’option, et verdict, c’est bien SELinux qui bloque. Mes machines virtuelles sont accessibles… Comment dès lors résoudre non temporairement ce problème, tout en activant SELinux (car je suppose que c’est quand même une protection).

    Rappel: j’avais supprimé le dossier /run/livirt comme suggéré par VINDICATORs puis relabelliser via sudo touch /.autorelabel sans succès.

    A crisis23: à ta commande, j’ai ça:

    -rw——-. 1 root root 32 26 avr 11:24 /run/libvirt/common/system.token

    Correct, non ?

      kona68 Tu as vraiment vu le relabel s’effectuer car ça prend un peu de temps et la machine redémarre suite à ça ?

      oui, je suis en verbose et j’ai vu qqchose s’apparentant à cela. Mais cela a été bref: un ralentissement du boot d’une trentaine de secondes…

        kona68 Il n’a pas eu lieu à mon avis, ça dure plus longtemps en général, sauf si tu as une machine super puissante, et il y a un redémarrage par la suite.

        Que retourne
        $ ls -al /

        Sinon tu peux tenter, la commande suivante qui s’occupera de faire un relabel SELinux
        $ sudo fixfiles -F onboot
        Puis
        $ sudo reboot

        philgo@fedora:~$ ls -al /
        total 20
        dr-xr-xr-x.   1 root root  158 26 avr 13:00 .
        dr-xr-xr-x.   1 root root  158 26 avr 13:00 ..
        dr-xr-xr-x.   1 root root    0 24 jan 01:00 afs
        lrwxrwxrwx.   1 root root    7 24 jan 01:00 bin -> usr/bin
        dr-xr-xr-x.   7 root root 4096 25 avr 18:45 boot
        drwxr-xr-x.  19 root root 4420 26 avr 13:00 dev
        drwxr-xr-x.   1 root root 5558 26 avr 09:12 etc
        drwxr-xr-x.   1 root root   12 24 jan 01:00 home
        lrwxrwxrwx.   1 root root    7 24 jan 01:00 lib -> usr/lib
        lrwxrwxrwx.   1 root root    9 24 jan 01:00 lib64 -> usr/lib64
        drwx------.   1 root root    0  4 mai  2022 lost+found
        drwxr-xr-x.   1 root root    0 24 jan 01:00 media
        drwxr-xr-x.   1 root root    0 24 jan 01:00 mnt
        drwxr-xr-x.   1 root root  126 24 jan 01:00 opt
        dr-xr-xr-x. 520 root root    0 26 avr 13:00 proc
        dr-xr-x---.   1 root root  294 24 jan 01:00 root
        drwxr-xr-x.  53 root root 1420 26 avr 13:03 run
        lrwxrwxrwx.   1 root root    8 24 jan 01:00 sbin -> usr/sbin
        drwxr-xr-x.   1 root root    0 24 jan 01:00 srv
        dr-xr-xr-x.  13 root root    0 26 avr 13:00 sys
        drwxrwxrwt.  27 root root  600 26 avr 13:03 tmp
        drwxr-xr-x.   1 root root  168 25 avr 18:33 usr
        drwxr-xr-x.   1 root root  200 25 avr 18:50 var

        Ces nouvelles commandes pour un relabel SELinux ne marche pas non plus. Cela a pris 50 seconde au reboot…

        Merci pour l’aide !

        Edit Nicosss : Correction balises Markdown -> Voir FAQ

          kona68 Les commandes doivent bien fonctionner je pense mais le problème doit être ailleurs du coup.

          J’ai corrigé ton message concernant l’utilisation du bloc code en Markdown.

          Je t’invite vivement à lire les Conditions d’utilisation dont le lien est aussi en bas de page ainsi que plus particulièrement la FAQ du Forum. Merci par avance afin de faciliter la lisibilité.

          Que retournent les commandes suivantes dans des blocs de code séparés
          $ sudo journalctl -t setroubleshoot --since=yesterday
          ainsi que
          $ sudo ausearch -m user_avc -ts yesterday
          et
          $ sudo aureport -a -ts yesterday

          Pour désactiver temporairement selinux on peut tenter le :

          setenforce 0

          A voir si il n’y a pas un autre mécanisme en cause. Je regarde le problème que j’avais eu sur la machine en F39.

          Voilà le résultat de mon /run/libvirt

           ls -lZ
          total 0
          drwx------. 2 root root system_u:object_r:virt_common_var_run_t:s0  60 23 avril 06:06 common
          drwxr-xr-x. 2 root root system_u:object_r:virt_var_run_t:s0         40 23 avril 06:06 hostdevmgr
          drwx------. 2 root root system_u:object_r:virt_var_run_t:s0         40 23 avril 06:08 interface
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 libvirt-sock
          drwxr-xr-x. 3 root root system_u:object_r:dnsmasq_var_run_t:s0     180 26 avril 08:35 network
          drwx------. 2 root root system_u:object_r:virt_var_run_t:s0         60 26 avril 08:35 nodedev
          drwxr-xr-x. 6 qemu qemu system_u:object_r:qemu_var_run_t:s0        200 26 avril 13:37 qemu
          drwxr-xr-x. 2 root root system_u:object_r:virt_var_run_t:s0         80 26 avril 08:35 storage
          srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtinterfaced-admin-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtinterfaced-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtinterfaced-sock-ro
          srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtlockd-sock
          srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 24 avril 07:29 virtlogd-admin-sock
          srw-------. 1 root root system_u:object_r:virtlogd_var_run_t:s0      0 23 avril 06:06 virtlogd-sock
          srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnetworkd-admin-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnetworkd-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnetworkd-sock-ro
          srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnodedevd-admin-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnodedevd-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnodedevd-sock-ro
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnwfilterd-sock
          srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtqemud-admin-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtqemud-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtqemud-sock-ro
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtsecretd-sock
          srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtstoraged-admin-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtstoraged-sock
          srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtstoraged-sock-ro

          ls -lZa /run/libvirt/*

          C’est la commande avec les bonnes options.

          Soit dit en passant je vois qu’il y a aussi des “virt” dans /run directement :

           ls -lZa /run | grep virt
          drwxr-xr-x.  9 root           root           system_u:object_r:virt_var_run_t:s0            600 24 avril 07:29 libvirt
          -rw-r--r--.  1 root           root           system_u:object_r:virtlogd_var_run_t:s0          6 24 avril 07:29 virtlogd.pid
          -rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 26 avril 08:35 virtnetworkd.pid
          -rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 26 avril 08:35 virtnodedevd.pid
          -rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 25 avril 10:03 virtqemud.pid
          -rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 26 avril 08:35 virtstoraged.pid

          Je pense que l’on peut les supprimer aussi au passage.

          Merci pour votre aide, cela commence à dépasser mes connaissances/compétences en sytème gnu/linux. La seule commande qui sort qqchose:

          philgo@fedora:~$ sudo aureport -a -ts yesterday

          AVC Report

          ===============================================================

          # date time comm subj syscall class permission obj result event
          ===============================================================
          1. 25. 04. 24 20:33:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 487
          2. 25. 04. 24 20:33:44 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 490
          3. 25. 04. 24 20:34:19 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 504
          4. 25. 04. 24 20:41:18 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 612
          5. 25. 04. 24 21:00:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 271
          6. 25. 04. 24 21:00:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 274
          7. 25. 04. 24 21:13:39 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 431
          8. 25. 04. 24 21:22:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 265
          9. 25. 04. 24 21:22:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 268
          10. 25. 04. 24 21:51:45 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 263
          11. 25. 04. 24 21:51:45 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 266
          12. 26. 04. 24 09:22:14 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 541
          13. 26. 04. 24 09:22:14 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 544
          14. 26. 04. 24 09:54:01 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 710
          15. 26. 04. 24 10:16:31 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 257
          16. 26. 04. 24 10:16:31 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 260
          17. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 247
          18. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 250
          19. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file open system_u:object_r:virt_var_run_t:s0 denied 251
          20. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file lock system_u:object_r:virt_var_run_t:s0 denied 252
          21. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file getattr system_u:object_r:virt_var_run_t:s0 denied 253
          22. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 filesystem unmount system_u:object_r:device_t:s0 denied 257
          23. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:urandom_device_t:s0 denied 258
          24. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:svirt_image_t:s0:c120,c278 denied 271
          25. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 file write unconfined_u:object_r:vmware_file_t:s0 denied 272
          26. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 file setattr unconfined_u:object_r:vmware_file_t:s0 denied 273
          27. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 file relabelfrom unconfined_u:object_r:vmware_file_t:s0 denied 274
          28. 26. 04. 24 11:27:14 qemu-event system_u:system_r:virtqemud_t:s0 0 file relabelto unconfined_u:object_r:vmware_file_t:s0 denied 303
          29. 26. 04. 24 11:27:14 qemu-event system_u:system_r:virtqemud_t:s0 0 file write unconfined_u:object_r:vmware_file_t:s0 denied 304
          30. 26. 04. 24 11:27:14 qemu-event system_u:system_r:virtqemud_t:s0 0 file setattr unconfined_u:object_r:vmware_file_t:s0 denied 305
          31. 26. 04. 24 11:40:43 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 440
          32. 26. 04. 24 11:40:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 filesystem unmount system_u:object_r:device_t:s0 denied 444
          33. 26. 04. 24 11:40:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:urandom_device_t:s0 denied 445
          34. 26. 04. 24 11:40:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:svirt_image_t:s0:c81,c1021 denied 459
          35. 26. 04. 24 13:01:15 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 247
          36. 26. 04. 24 13:01:15 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 249

          Nicoss, je suis sans doute un peu bouché, mais je trouve pas clair du tout ces manières de citer du code / un bloc de code…

          Sinon, même si j’ai jamais été sous windows (ex mac user), ce serait pas plus simple de tout désinstaller ce qui a trait aux vm (libvirt, etc.) et de réinstaller ? Quoique je ne sais trop quoi désinstaller (entre libvirt, qemu, kvm…)

          Edit Nicosss : Correction balises Markdown -> Voir FAQ

            kona68 Nicoss, je suis sans doute un peu bouché, mais je trouve pas clair du tout ces manières de citer du code / un bloc de code…

            Tu as lu la FAQ ? Toutes les méthodes sont expliqués avec leur contexte.

            Bon il y a pas mal d’AVC SELinux, donc il doit s’agir d’un souci avec les règles de politique SELinux.
            D’ailleurs il y des rapports de bug à ce sujet donc un correctif devrait arriver rapidement https://bugzilla.redhat.com/buglist.cgi?columnlist=product%2Ccomponent%2Cassigned_to%2Cbug_status%2Cshort_desc%2Cchangeddate%2Cbug_severity&component=selinux-policy&order=status%2C%20assigned_to%2C%20id%2C%20&product=Fedora&query_format=advanced&short_desc=virtqemud&short_desc_type=allwordssubstr .

            Par ailleurs il y a eu pas mal d’ajustements aussi dernièrement de ce côté, mais ça n’a pas dû être testé à grande échelle donc aujourd’hui ça ressort. Voir https://koji.fedoraproject.org/koji/buildinfo?buildID=2438308 .

            Si tu as vraiment besoin de tes VM et que tu veux éviter de jouer avec les règles SELinux alors tu peux démarrer en mode Permissive en ajoutant l’option enforcing=0 depuis le Grub lors du démarrage.

            Je peux attendre des corrections de bug pour mes machines virtuelles, c’est en effet la meilleure solutions.

            Pour les citations, j’avais regarder la FAQ et utiliser ceci en pensant faire juste:

            "Vous pouvez également ajouter un bloc de code. Pour ça, là encore plusieurs solutions :

            • Soit sélectionner l’ensemble des lignes de texte et cliquer sur le bouton “</>” "

            Merci encore pour le support

              kona68 Pour le bloc de code les méthode divergent si tu es en mode texte enrichi ou non.

              Vous pouvez également ajouter un bloc de code. Pour ça, là encore plusieurs solutions :

              • Soit sélectionner l’ensemble des lignes de texte et cliquer sur le bouton “</>” , sans être en mode texte enrichi.
              • Soit cliquer sur “+” (Contrôles supplémentaires) puis sur “>_” (Insérer un bloc de code), en mode texte enrichi et coller les lignes dedans.

              kona68

              oui 👍

              J’ai lu la suite de tes échanges… Je continue à chercher.

              kona68 Je peux attendre des corrections de bug pour mes machines virtuelles, c’est en effet la meilleure solutions.

              Il y a une nouvelle version de politiques SELinux disponible en testing si tu souhaites faire l’essai.
              Elle contient entre autre

              • Define transitions for /run/libvirt/common and /run/libvirt/qemu

              Pour l’installer
              $ sudo dnf upgrade --enablerepo=updates-testing --refresh --advisory=FEDORA-2024-57cdb8429c

              Merci pour le suivi.

              A Nicoss: quelques questions

              • avec cette commande, on active le dépôt testing uniquement pour l’installation de ce paquet, je suppose, je ne veux pas basculer ma fedora en testing pour les autres paquets.
              • Si ça marche pas, comment on revient en arrière, pour repasser sur la version actuelle
              • SELinux c’est sensible: avec cette version, risque de perturber ailleurs ? Sachant que je peux attendre la validation du paquet, j’utilise mes VM juste pour tester d’autres distributions (arch, debian et opensuse)