kona68 Tu peux ajouter l’option enforcing=0 après rhgb quiet aux options de Grub au démarrage en éditant les options du kernel lorsque la machine démarre.
Tu seras ainsi en mode permissive donc SELinux ne fera que tracer dans les logs les problèmes potentiels mais ne bloquera rien.

    Bonjour @kona68

    On retourne au basic.

    Tu peux me donner le retour de :

    sudo ls -l /run/libvirt/common/system.token

    j’utilise kvm sur OpenSUSE TW & arch ainsi qu’en OS principale “ Fedora Rawide” et ça fonctionne..

    C’est juste comparer ma config Rawide avec la tienne et te donner tes pistes de résolutions.

    Merci Nicoss, j’ai démarré avec l’option, et verdict, c’est bien SELinux qui bloque. Mes machines virtuelles sont accessibles… Comment dès lors résoudre non temporairement ce problème, tout en activant SELinux (car je suppose que c’est quand même une protection).

    Rappel: j’avais supprimé le dossier /run/livirt comme suggéré par VINDICATORs puis relabelliser via sudo touch /.autorelabel sans succès.

    A crisis23: à ta commande, j’ai ça:

    -rw——-. 1 root root 32 26 avr 11:24 /run/libvirt/common/system.token

    Correct, non ?

      kona68 Tu as vraiment vu le relabel s’effectuer car ça prend un peu de temps et la machine redémarre suite à ça ?

        oui, je suis en verbose et j’ai vu qqchose s’apparentant à cela. Mais cela a été bref: un ralentissement du boot d’une trentaine de secondes…

          kona68 Il n’a pas eu lieu à mon avis, ça dure plus longtemps en général, sauf si tu as une machine super puissante, et il y a un redémarrage par la suite.

          Que retourne
          $ ls -al /

          Sinon tu peux tenter, la commande suivante qui s’occupera de faire un relabel SELinux
          $ sudo fixfiles -F onboot
          Puis
          $ sudo reboot

            philgo@fedora:~$ ls -al /
total 20
dr-xr-xr-x.   1 root root  158 26 avr 13:00 .
dr-xr-xr-x.   1 root root  158 26 avr 13:00 ..
dr-xr-xr-x.   1 root root    0 24 jan 01:00 afs
lrwxrwxrwx.   1 root root    7 24 jan 01:00 bin -> usr/bin
dr-xr-xr-x.   7 root root 4096 25 avr 18:45 boot
drwxr-xr-x.  19 root root 4420 26 avr 13:00 dev
drwxr-xr-x.   1 root root 5558 26 avr 09:12 etc
drwxr-xr-x.   1 root root   12 24 jan 01:00 home
lrwxrwxrwx.   1 root root    7 24 jan 01:00 lib -> usr/lib
lrwxrwxrwx.   1 root root    9 24 jan 01:00 lib64 -> usr/lib64
drwx------.   1 root root    0  4 mai  2022 lost+found
drwxr-xr-x.   1 root root    0 24 jan 01:00 media
drwxr-xr-x.   1 root root    0 24 jan 01:00 mnt
drwxr-xr-x.   1 root root  126 24 jan 01:00 opt
dr-xr-xr-x. 520 root root    0 26 avr 13:00 proc
dr-xr-x---.   1 root root  294 24 jan 01:00 root
drwxr-xr-x.  53 root root 1420 26 avr 13:03 run
lrwxrwxrwx.   1 root root    8 24 jan 01:00 sbin -> usr/sbin
drwxr-xr-x.   1 root root    0 24 jan 01:00 srv
dr-xr-xr-x.  13 root root    0 26 avr 13:00 sys
drwxrwxrwt.  27 root root  600 26 avr 13:03 tmp
drwxr-xr-x.   1 root root  168 25 avr 18:33 usr
drwxr-xr-x.   1 root root  200 25 avr 18:50 var

            Ces nouvelles commandes pour un relabel SELinux ne marche pas non plus. Cela a pris 50 seconde au reboot…

            Merci pour l’aide !

            Edit Nicosss : Correction balises Markdown -> Voir FAQ

              kona68 Les commandes doivent bien fonctionner je pense mais le problème doit être ailleurs du coup.

              J’ai corrigé ton message concernant l’utilisation du bloc code en Markdown.

              Je t’invite vivement à lire les Conditions d’utilisation dont le lien est aussi en bas de page ainsi que plus particulièrement la FAQ du Forum. Merci par avance afin de faciliter la lisibilité.

              Que retournent les commandes suivantes dans des blocs de code séparés
              $ sudo journalctl -t setroubleshoot --since=yesterday
              ainsi que
              $ sudo ausearch -m user_avc -ts yesterday
              et
              $ sudo aureport -a -ts yesterday

                Pour désactiver temporairement selinux on peut tenter le :

                setenforce 0

                A voir si il n’y a pas un autre mécanisme en cause. Je regarde le problème que j’avais eu sur la machine en F39.

                Voilà le résultat de mon /run/libvirt

                 ls -lZ
total 0
drwx------. 2 root root system_u:object_r:virt_common_var_run_t:s0  60 23 avril 06:06 common
drwxr-xr-x. 2 root root system_u:object_r:virt_var_run_t:s0         40 23 avril 06:06 hostdevmgr
drwx------. 2 root root system_u:object_r:virt_var_run_t:s0         40 23 avril 06:08 interface
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 libvirt-sock
drwxr-xr-x. 3 root root system_u:object_r:dnsmasq_var_run_t:s0     180 26 avril 08:35 network
drwx------. 2 root root system_u:object_r:virt_var_run_t:s0         60 26 avril 08:35 nodedev
drwxr-xr-x. 6 qemu qemu system_u:object_r:qemu_var_run_t:s0        200 26 avril 13:37 qemu
drwxr-xr-x. 2 root root system_u:object_r:virt_var_run_t:s0         80 26 avril 08:35 storage
srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtinterfaced-admin-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtinterfaced-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtinterfaced-sock-ro
srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtlockd-sock
srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 24 avril 07:29 virtlogd-admin-sock
srw-------. 1 root root system_u:object_r:virtlogd_var_run_t:s0      0 23 avril 06:06 virtlogd-sock
srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnetworkd-admin-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnetworkd-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnetworkd-sock-ro
srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnodedevd-admin-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnodedevd-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnodedevd-sock-ro
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtnwfilterd-sock
srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtqemud-admin-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtqemud-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtqemud-sock-ro
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtsecretd-sock
srw-------. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtstoraged-admin-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtstoraged-sock
srw-rw-rw-. 1 root root system_u:object_r:virt_var_run_t:s0          0 23 avril 06:06 virtstoraged-sock-ro

                ls -lZa /run/libvirt/*

                C’est la commande avec les bonnes options.

                Soit dit en passant je vois qu’il y a aussi des “virt” dans /run directement :

                 ls -lZa /run | grep virt
drwxr-xr-x.  9 root           root           system_u:object_r:virt_var_run_t:s0            600 24 avril 07:29 libvirt
-rw-r--r--.  1 root           root           system_u:object_r:virtlogd_var_run_t:s0          6 24 avril 07:29 virtlogd.pid
-rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 26 avril 08:35 virtnetworkd.pid
-rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 26 avril 08:35 virtnodedevd.pid
-rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 25 avril 10:03 virtqemud.pid
-rw-r--r--.  1 root           root           system_u:object_r:virt_var_run_t:s0              6 26 avril 08:35 virtstoraged.pid

                Je pense que l’on peut les supprimer aussi au passage.

                Merci pour votre aide, cela commence à dépasser mes connaissances/compétences en sytème gnu/linux. La seule commande qui sort qqchose:

                philgo@fedora:~$ sudo aureport -a -ts yesterday

                AVC Report

                ===============================================================

                # date time comm subj syscall class permission obj result event
===============================================================
1. 25. 04. 24 20:33:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 487
2. 25. 04. 24 20:33:44 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 490
3. 25. 04. 24 20:34:19 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 504
4. 25. 04. 24 20:41:18 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 612
5. 25. 04. 24 21:00:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 271
6. 25. 04. 24 21:00:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 274
7. 25. 04. 24 21:13:39 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 431
8. 25. 04. 24 21:22:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 265
9. 25. 04. 24 21:22:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 268
10. 25. 04. 24 21:51:45 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 263
11. 25. 04. 24 21:51:45 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 266
12. 26. 04. 24 09:22:14 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 541
13. 26. 04. 24 09:22:14 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 544
14. 26. 04. 24 09:54:01 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 710
15. 26. 04. 24 10:16:31 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 257
16. 26. 04. 24 10:16:31 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 260
17. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 247
18. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 250
19. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file open system_u:object_r:virt_var_run_t:s0 denied 251
20. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file lock system_u:object_r:virt_var_run_t:s0 denied 252
21. 26. 04. 24 11:25:03 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file getattr system_u:object_r:virt_var_run_t:s0 denied 253
22. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 filesystem unmount system_u:object_r:device_t:s0 denied 257
23. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:urandom_device_t:s0 denied 258
24. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:svirt_image_t:s0:c120,c278 denied 271
25. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 file write unconfined_u:object_r:vmware_file_t:s0 denied 272
26. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 file setattr unconfined_u:object_r:vmware_file_t:s0 denied 273
27. 26. 04. 24 11:25:03 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 file relabelfrom unconfined_u:object_r:vmware_file_t:s0 denied 274
28. 26. 04. 24 11:27:14 qemu-event system_u:system_r:virtqemud_t:s0 0 file relabelto unconfined_u:object_r:vmware_file_t:s0 denied 303
29. 26. 04. 24 11:27:14 qemu-event system_u:system_r:virtqemud_t:s0 0 file write unconfined_u:object_r:vmware_file_t:s0 denied 304
30. 26. 04. 24 11:27:14 qemu-event system_u:system_r:virtqemud_t:s0 0 file setattr unconfined_u:object_r:vmware_file_t:s0 denied 305
31. 26. 04. 24 11:40:43 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 440
32. 26. 04. 24 11:40:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 filesystem unmount system_u:object_r:device_t:s0 denied 444
33. 26. 04. 24 11:40:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:urandom_device_t:s0 denied 445
34. 26. 04. 24 11:40:44 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 chr_file setattr system_u:object_r:svirt_image_t:s0:c81,c1021 denied 459
35. 26. 04. 24 13:01:15 rpc-virtqemud system_u:system_r:virtqemud_t:s0 0 dir relabelfrom system_u:object_r:virt_var_run_t:s0 denied 247
36. 26. 04. 24 13:01:15 virtlogd system_u:system_r:virtlogd_t:s0-s0:c0.c1023 0 file read append system_u:object_r:virt_var_run_t:s0 denied 249

                Nicoss, je suis sans doute un peu bouché, mais je trouve pas clair du tout ces manières de citer du code / un bloc de code…

                Sinon, même si j’ai jamais été sous windows (ex mac user), ce serait pas plus simple de tout désinstaller ce qui a trait aux vm (libvirt, etc.) et de réinstaller ? Quoique je ne sais trop quoi désinstaller (entre libvirt, qemu, kvm…)

                Edit Nicosss : Correction balises Markdown -> Voir FAQ

                  kona68 Nicoss, je suis sans doute un peu bouché, mais je trouve pas clair du tout ces manières de citer du code / un bloc de code…

                  Tu as lu la FAQ ? Toutes les méthodes sont expliqués avec leur contexte.

                  Bon il y a pas mal d’AVC SELinux, donc il doit s’agir d’un souci avec les règles de politique SELinux.
                  D’ailleurs il y des rapports de bug à ce sujet donc un correctif devrait arriver rapidement https://bugzilla.redhat.com/buglist.cgi?columnlist=product%2Ccomponent%2Cassigned_to%2Cbug_status%2Cshort_desc%2Cchangeddate%2Cbug_severity&component=selinux-policy&order=status%2C%20assigned_to%2C%20id%2C%20&product=Fedora&query_format=advanced&short_desc=virtqemud&short_desc_type=allwordssubstr .

                  Par ailleurs il y a eu pas mal d’ajustements aussi dernièrement de ce côté, mais ça n’a pas dû être testé à grande échelle donc aujourd’hui ça ressort. Voir https://koji.fedoraproject.org/koji/buildinfo?buildID=2438308 .

                  Si tu as vraiment besoin de tes VM et que tu veux éviter de jouer avec les règles SELinux alors tu peux démarrer en mode Permissive en ajoutant l’option enforcing=0 depuis le Grub lors du démarrage.

                    Je peux attendre des corrections de bug pour mes machines virtuelles, c’est en effet la meilleure solutions.

                    Pour les citations, j’avais regarder la FAQ et utiliser ceci en pensant faire juste:

                    "Vous pouvez également ajouter un bloc de code. Pour ça, là encore plusieurs solutions :

                    • Soit sélectionner l’ensemble des lignes de texte et cliquer sur le bouton “</>” "

                    Merci encore pour le support

                      kona68 Pour le bloc de code les méthode divergent si tu es en mode texte enrichi ou non.

                      Vous pouvez également ajouter un bloc de code. Pour ça, là encore plusieurs solutions :

                      • Soit sélectionner l’ensemble des lignes de texte et cliquer sur le bouton “</>” , sans être en mode texte enrichi.
                      • Soit cliquer sur “+” (Contrôles supplémentaires) puis sur “>_” (Insérer un bloc de code), en mode texte enrichi et coller les lignes dedans.

                        kona68

                        oui 👍

                        J’ai lu la suite de tes échanges… Je continue à chercher.

                          kona68 Je peux attendre des corrections de bug pour mes machines virtuelles, c’est en effet la meilleure solutions.

                          Il y a une nouvelle version de politiques SELinux disponible en testing si tu souhaites faire l’essai.
                          Elle contient entre autre

                          • Define transitions for /run/libvirt/common and /run/libvirt/qemu

                          Pour l’installer
                          $ sudo dnf upgrade --enablerepo=updates-testing --refresh --advisory=FEDORA-2024-57cdb8429c

                            Merci pour le suivi.

                            A Nicoss: quelques questions

                            • avec cette commande, on active le dépôt testing uniquement pour l’installation de ce paquet, je suppose, je ne veux pas basculer ma fedora en testing pour les autres paquets.
                            • Si ça marche pas, comment on revient en arrière, pour repasser sur la version actuelle
                            • SELinux c’est sensible: avec cette version, risque de perturber ailleurs ? Sachant que je peux attendre la validation du paquet, j’utilise mes VM juste pour tester d’autres distributions (arch, debian et opensuse)

                              kona68 Tu as raison de poser des questions si c’est obscur pour toi.

                              • Oui, ça n’active pas les dépôts testing pour l’ensemble des mises à jour. Ça va permettre uniquement à dnf d’être autorisé à aller chercher dans testing une mise à jour particulière identifiée par l’option --advisory donc aucun impact sur les autres mises à jour qui dépendront toujours du dépôt updates.
                              • Suite à redémarrage, si ce n’est pas mieux ce n’est pas grave en soit car la prochaine mise à jour concernant SELinux viendra prendre la suite comme une mise à jour normale. Mais pour revenir en arrière tu peux juste faire la commande
                                $ sudo dnf history undo last
                              • Il y a en effet d’autres correctifs apportés sur les règles de politique SELinux et ça peut potentiellement engendrer une régression. Mais tu peux très bien surveiller la mise à jour lorsqu’elle sera passée dans updates et voir si le fonctionnement est rétabli.

                              Voilà, j’espère que ça répond à tes questions.

                                super, merci, j’en apprends tous les jours. Je teste et fais un retour tout soudain.

                                Problème résolu avec la suggestion de nicoss ci-dessus (version testing de SELinux) !

                                $ sudo dnf upgrade --enablerepo=updates-testing --refresh --advisory=FEDORA-2024-57cdb8429c

                                  kona68 Parfait, bonne nouvelle !

                                  Pour information complémentaire il s’agit de selinux-policy-40.17-1.fc40.noarch.rpm (et ses autres paquets associés) qui vient corriger le problème du coup.

                                  Edit : Retrait commentaire sur mauvais choix meilleure réponse