SELinux

České forum
1

Ahojte, prosím o radu. SELinux zistil nejaký problém. Výpis chyby:

SELinux is preventing gnome-shell from using the signull access on a process.

***** Plugin catchall (100. confidence) suggests **************************

If you believe that gnome-shell should be allowed signull access on processes labeled unconfined_dbusd_t by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:

ausearch -c ‘gnome-shell’ --raw | audit2allow -M my-gnomeshell

semodule -X 300 -i my-gnomeshell.pp

Additional Information:
Source Context system_u:system_r:xdm_t:s0-s0:c0.c1023
Target Context unconfined_u:unconfined_r:unconfined_dbusd_t:s0-s0
:c0.c1023
Target Objects Unknown [ process ]
Source gnome-shell
Source Path gnome-shell
Port
Host stevo-pc
Source RPM Packages
Target RPM Packages
Policy RPM selinux-policy-3.13.1-225.3.fc25.noarch
Selinux Enabled True
Policy Type targeted
Enforcing Mode Enforcing
Host Name stevo-pc
Platform Linux stevo-pc 4.8.15-300.fc25.x86_64 #1 SMP Thu
Dec 15 23:10:23 UTC 2016 x86_64 x86_64
Alert Count 2
First Seen 2017-01-02 11:23:19 CET
Last Seen 2017-01-02 11:23:19 CET
Local ID 6887c871-5a22-457c-a2b1-50b71a5c3598

Raw Audit Messages
type=AVC msg=audit(1483352599.500:191): avc: denied { signull } for pid=1211 comm=“ibus-daemon” scontext=system_u:system_r:xdm_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_dbusd_t:s0-s0:c0.c1023 tclass=process permissive=0

Hash: gnome-shell,xdm_t,unconfined_dbusd_t,process,signull

Čo mám s tým robiť?

Ďakujem za pomoc.

2

Ahoj,
SELinux je systém, kterému asi moc lidí nerozumí. Kdysi jsem se to snažil pochopit. Našel jsem i českou dokumentaci pro SELinux, kterou napsal Jan Horák jako bakalářskou práci v r. 2007. Něco je napsané i v dokumentaci https://wiki.mojefedora.cz/doku.php?id=navody:prirucka:selinux. Hodně běžných uživatelů z toho uteče vypnutím SELinuxu, alo to hodně sníží bezpečnost systému. Jako lama okopíruji doporučení:

ausearch -c ‘gnome-shell’ --raw | audit2allow -M my-gnomeshell

semodule -X 300 -i my-gnomeshell.pp

a někdy to vyjde.
Vytvoří se dva soubory : my-gnomeshell.pp a my-gnomeshell.te
První je binární a ve druhém je:
require {
type xdm_t;
type unconfined_dbusd_t;
class process signull;
}

#============= xdm_t ==============
allow xdm_t unconfined_dbusd_t:process signull;
Je to asi dokonalý bezpečnostní systém, ale pro normální lidi nepochopitelný. Hlavně, že jsme zdraví.

3

Máš v GNOME Shellu nainstalované nějaké rozšíření? Rozbíjí to něco? Pokud ne, tak bych to asi nechal být. Může to být taky nějaká chyba v aktualizaci politiky SELinuxu.

4

Áno mám nainštalované rozšírenie, ale funguje dobre.

5

Podle me by k tomuto dochazet nemelo - nekde je nejaka chyba. Povolenim vyjimky v selinuxu se odstrani hlaska ale ne problem.

6

Možná, že se jedná o bug. V bugzille jsem našel tři, které vypadají stejně

  1. https://bugzilla.redhat.com/show_bug.cgi?id=1314433
  2. https://bugzilla.redhat.com/show_bug.cgi?id=1375404
  3. https://bugzilla.redhat.com/show_bug.cgi?id=1384783

Kdybych dostal takový SELinux alert, poslal bych report o chybě. Buď bude otevřen nový ticket nebo bude uživatel informován o již existujícím problému.