Bonjour,
Suite à la mise à niveau (réussie) de Fedora 32 vers 33, SELinux est devenu pénible avec ses alertes repétées. J'ai bien coché pour ne plus recevoir les alertes. J'ai même redémarré mais ces alertes sont insistantes. Certains diront que ce n'est pas réeelement un problème mais j'aimerais bien ne plus voir ces messages toutes les secondes. Une recherche porte sur des dates trop lointaines. Une idée ?
Merci par avance 😉
Edit :
Cela semble concerner 2 problèmes dont voici les détails :
*Problème n1 :
SELinux interdit à abrt-action-lis d'utiliser l'accès setattr sur le fichier rpmdb.sqlite-wal.
***** Le greffon catchall_labels (83.8 de confiance) suggère **************
Si vous souhaitez autoriser abrt-action-lis à accéder à setattr sur rpmdb.sqlite-wal file
Alors l'étiquette sur rpmdb.sqlite-wal doit être modifiée.
Faire
# semanage fcontext -a -t FILE_TYPE 'rpmdb.sqlite-wal'
où FILE_TYPE est l'une des valeurs suivantes : abrt_tmp_t, abrt_upload_watch_tmp_t, abrt_var_cache_t, abrt_var_log_t, abrt_var_run_t, kdump_crash_t, mail_home_rw_t, mock_var_lib_t, rhsmcertd_var_run_t, rpm_log_t, rpm_var_cache_t, rpm_var_run_t, usr_t.
Puis exécutez :
restorecon -v 'rpmdb.sqlite-wal'
***** Le greffon catchall (17.1 de confiance) suggère *********************
Si vous pensez que abrt-action-lis devrait être autorisé à accéder setattr sur rpmdb.sqlite-wal file par défaut.
Alors vous devriez rapporter ceci en tant qu'anomalie.
Vous pouvez générer un module de stratégie local pour autoriser cet accès.
Faire
autoriser cet accès pour le moment en exécutant :
# ausearch -c "abrt-action-lis" --raw | audit2allow -M my-abrtactionlis
# semodule -X 300 -i my-abrtactionlis.pp
Informations complémentaires :
Contexte source system_u:system_r:abrt_t:s0-s0:c0.c1023
Contexte cible system_u:object_r:var_lib_t:s0
Objets du contexte rpmdb.sqlite-wal [ file ]
Source abrt-action-lis
Chemin de la source abrt-action-lis
Port <Inconnu>
Hôte localhost.localdomain
Paquets RPM source
Paquets RPM cible
Stratégie RPM SELinux <Inconnu>
Stratégie locale RPM selinux-policy-targeted-3.14.6-29.fc33.noarch
Selinux activé True
Type de stratégie targeted
Mode strict Enforcing
Nom de l'hôte localhost.localdomain
Plateforme Linux localhost.localdomain 5.8.16-300.fc33.x86_64
#1 SMP Mon Oct 19 13:18:33 UTC 2020 x86_64 x86_64
Compteur d'alertes 126
Première alerte 2020-11-02 21:36:47 CET
Dernière alerte 2020-11-02 21:59:20 CET
ID local 0afb053b-7df4-4e2a-9a52-a37f2b42aa82
Messages d'audit bruts
type=AVC msg=audit(1604350760.575:436): avc: denied { setattr } for pid=2186 comm="abrt-action-lis" name="rpmdb.sqlite-wal" dev="nvme0n1p3" ino=1967780 scontext=system_u:system_r:abrt_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_lib_t:s0 tclass=file permissive=0
Hash: abrt-action-lis,abrt_t,var_lib_t,file,setattr
* Problème 2 :
SELinux interdit à abrt-action-lis d'utiliser l'accès write sur le fichier rpmdb.sqlite-wal.
***** Le greffon catchall_labels (83.8 de confiance) suggère **************
Si vous souhaitez autoriser abrt-action-lis à accéder à write sur rpmdb.sqlite-wal file
Alors l'étiquette sur rpmdb.sqlite-wal doit être modifiée.
Faire
# semanage fcontext -a -t FILE_TYPE 'rpmdb.sqlite-wal'
où FILE_TYPE est l'une des valeurs suivantes : abrt_etc_t, abrt_tmp_t, abrt_upload_watch_tmp_t, abrt_var_cache_t, abrt_var_log_t, abrt_var_run_t, afs_cache_t, initrc_tmp_t, kdump_crash_t, mail_home_rw_t, mock_var_lib_t, postfix_postdrop_t, puppet_tmp_t, rhsmcertd_var_run_t, rpm_log_t, rpm_var_cache_t, rpm_var_run_t, sysfs_t, user_cron_spool_t, user_tmp_t, usr_t.
Puis exécutez :
restorecon -v 'rpmdb.sqlite-wal'
***** Le greffon catchall (17.1 de confiance) suggère *********************
Si vous pensez que abrt-action-lis devrait être autorisé à accéder write sur rpmdb.sqlite-wal file par défaut.
Alors vous devriez rapporter ceci en tant qu'anomalie.
Vous pouvez générer un module de stratégie local pour autoriser cet accès.
Faire
autoriser cet accès pour le moment en exécutant :
# ausearch -c "abrt-action-lis" --raw | audit2allow -M my-abrtactionlis
# semodule -X 300 -i my-abrtactionlis.pp
Informations complémentaires :
Contexte source system_u:system_r:abrt_t:s0-s0:c0.c1023
Contexte cible system_u:object_r:var_lib_t:s0
Objets du contexte rpmdb.sqlite-wal [ file ]
Source abrt-action-lis
Chemin de la source abrt-action-lis
Port <Inconnu>
Hôte localhost.localdomain
Paquets RPM source
Paquets RPM cible
Stratégie RPM SELinux <Inconnu>
Stratégie locale RPM selinux-policy-targeted-3.14.6-29.fc33.noarch
Selinux activé True
Type de stratégie targeted
Mode strict Enforcing
Nom de l'hôte localhost.localdomain
Plateforme Linux localhost.localdomain 5.8.16-300.fc33.x86_64
#1 SMP Mon Oct 19 13:18:33 UTC 2020 x86_64 x86_64
Compteur d'alertes 154
Première alerte 2020-11-02 21:36:47 CET
Dernière alerte 2020-11-02 21:59:20 CET
ID local 819bbe21-42a0-4a5b-afea-beef16246b48
Messages d'audit bruts
type=AVC msg=audit(1604350760.624:493): avc: denied { write } for pid=2186 comm="abrt-action-lis" name="rpmdb.sqlite-wal" dev="nvme0n1p3" ino=1967780 scontext=system_u:system_r:abrt_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_lib_t:s0 tclass=file permissive=0
Hash: abrt-action-lis,abrt_t,var_lib_t,file,write
Edit 2 :
Si je suis les consignes : échec :
[fedora@localhost ~]$ semanage fcontext -a -t FILE_TYPE 'rpmdb.sqlite-wal'
ValueError: La stratégie SELinux n’est pas gérée ou la base n’est pas accessible.
[fedora@localhost ~]$ sudo semanage fcontext -a -t FILE_TYPE 'rpmdb.sqlite-wal'
[sudo] Mot de passe de fedora :
ValueError: Le type FILE_TYPE est invalide, il doit être un type de fichier ou de périphérique
[fedora@localhost ~]$