SELinux detekoval problém

ArcBrut · říjen 26, 2022, 6:25pm

15.9. jsem povýšil na Fedoru 37 beta, ale SELinux mi začal vyhazovat varování:
SELinux detekoval problém(výpis detailu):
SELinux brání journal-offline z relabelfrom přístupu k soubor .#user-1000@20e762918dd748b8856d5bd07f175592-0000000000021b58-0005ebe00298a71b.journal04efdf549daac0cc.

***** Plugin catchall (100. důvěry) naznačuje*********************************

Pokud jste přesvědčeni, že má journal-offline mít ve výchozím stavu přístup relabelfrom na .#user-1000@20e762918dd748b8856d5bd07f175592-0000000000021b58-0005ebe00298a71b.journal04efdf549daac0cc file.
Pak měli byste tento problém nahlásit jako chybu.
Abyste přístup povolili, můžete vygenerovat lokální modul pravidel.
Udělejte
prozatím tento přístup povolíte příkazy:

ausearch -c ‘journal-offline’ --raw | audit2allow -M my-journaloffline

semodule -X 300 -i my-journaloffline.pp

Doplňující informace:
Kontext zdroje system_u:system_r:syslogd_t:s0
Kontext cíle system_u:object_r:var_log_t:s0
Objekty cíle .#user-1000@20e762918dd748b8856d5bd07f175592-
0000000000021b58-
0005ebe00298a71b.journal04efdf549daac0cc [ file ]
Zdroj journal-offline
Cesta zdroje journal-offline
Port <Neznámé>
Počítač FedoraPC
RPM balíčky zdroje
RPM balíčky cíle
SELinux Policy RPM selinux-policy-targeted-37.12-2.fc37.noarch
Local Policy RPM selinux-policy-targeted-37.12-2.fc37.noarch
Selinux povolen True
Typ politiky targeted
Vynucovací režim Enforcing
Název počítače FedoraPC
Platforma Linux FedoraPC 5.19.15-301.fc37.x86_64 #1 SMP
PREEMPT_DYNAMIC Thu Oct 13 19:00:55 UTC 2022
x86_64 x86_64
Počet upozornění 2
Poprvé viděno 2022-10-26 19:59:00 CEST
Naposledy viděno 2022-10-26 19:59:00 CEST
Místní ID 5da928eb-e161-4ccf-b402-993a5fa51acc

Původní zprávy auditu
type=AVC msg=audit(1666807140.623:259): avc: denied { relabelfrom } for pid=550 comm=“journal-offline” name=".#user-1000@20e762918dd748b8856d5bd07f175592-0000000000021b58-0005ebe00298a71b.journal04efdf549daac0cc" dev=“sda3” ino=1087641 scontext=system_u:system_r:syslogd_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=0

Hash: journal-offline,syslogd_t,var_log_t,file,relabelfrom

Čekal jsem na opravu příchozím balíčkem nové verze, ale zatím se tak nestalo. Reinstaloval jsem balíček selinux-policy-targeted a použil příkaz fixfiles -F onboot , nepomohlo.
Mám čekat dál na opravu, nebo upozornit správce?

covex · říjen 31, 2022, 7:57pm

Jak si to sem nakopiroval tak to neni moc citelne, ale prijde mi to jako “bezny” problem se selinuxem. Klidne to nahlas do bugzilly, vetsinou to v dalsim update politiky opravi.
Obcas se stane, ze nejaky soubor ma historicky spatna nastaveni selinuxu, pak na nej staci postvat “restorecon” ale to by v zasade mel delate te fixfiles akorat je samozrejme potreba potom reboot, kdyz to mas ze to ma udelat “onboot”.

ArcBrut · říjen 31, 2022, 9:29pm

Ano fixfiles nepomohlo, zkoušel jsem i po reinstalaci balíčku. Vyskytly se ještě další dva problémy v rsyslogd a systemd-gpt-aut. Zatím nemám účet na bugzille. Pro nahlášení jsem použil tlačítko “upozornit správce” v programu Prohlížeč SELinux varování. To vygenerovalo email s detailem chyby a odeslalo na selinux-policy-maintainers@fedoraproject.org Tak snad mě za to neukamenují.

covex · listopad 1, 2022, 6:01am

Nevim zda je to z toho popisu jasne, ale po fixfiles je potreba rebootovat. Pri restartu se pak chvili provadi re-label celeho souboroveho systemu. Pokud by ses chtel zbavit “otravnych” hlasek, jde to vyresit pomoci audit2allow jak radi chybove hlaseni, tim se pridat SELinux pravidlo do mistnich nastaveni. Zalozeni uctu v bugzille je jen stejne jako jine na forech apod. proste dej Register a prijde ti potvrzovaci mail, pak das New, product Fedora, komponenta selinux(policy), verzi fedory a vyplnis popis (staci kratce + prilozit chybove haseni). Ten mail by mohl fugnovat taky, ale nejsem si jist jak to funguje (mozna to dela zaznam v BZ?).

ArcBrut · listopad 1, 2022, 11:06am

Děkuji za reakci. Důkladně jsem prostudoval manuálovou stránku k fixfiles, takže o restartu vím a vždy ihned po zadání jsem restartoval.
To přidání do místních pravidel, jestli jsem dobře pochopil, je jen dočasné? Dokud nedojde k aktualizaci. Mě to až tak nevadí, jen mám rád systém bez chybových hlášek
Správce balíčku mi odpověděl hned ráno, že všechny tři chyby jsou už reportované na bugzille a požádal mě o hlášení chyb pomocí ní. Pomohl by jim popis replikace chyby. Účet jsem si už zřídil a snad trochu pomůžu při testování.

covex · listopad 1, 2022, 2:27pm

Pravidla pridana pres audit2allow jdou udelat trvala, normalne se to ulozi do /etc/selinux/targeted/src/policy/, mozna je jeste potreba to poprve zbuildit pres semodule nebo tak neco… uz si to nepamatuju presne. Ale jde to udelat trvale.