eaiovnaovbqoebvqoeavibavo % PQ1>:pVg hq|(WE eRs !t`"I"~$$,\% &'m(++/~, -/.1b3K5c67:2<=?7/AgCDTE9GHJSJLPLLNONOOUOGO]h8!Km}4.›, 9?U01Ɯ]2VK2՝]cfʞ,ڞdNΟ_]Ea-ա4!#'E$m _ROf9:+IդBaA^sEP`0ca{{uA]DԼZ"ƿQPGHKo,6"@X/,:/j| "a ZUGUMMAXM]6LlZN|e&WFU+USk+ASk-|HJrlqtn  lq%9<=;L.:8+ G!!y"#B$b$u$Y%%(^&&_'T(L)y*,=012{4bK66\]7b7\8+z8i8:9IK99D: Y:5g:_:8:6;T;1s;K;?;Z1<C<8< ==>[>>?nB?f?a@zz@{@PqAZA]B{BNB\BTFC_C>C=:DxD>Dq:E7ESES8FFG{GzXHqHoEIpIC&J'jJJJ2J:J2KJNK%KdK2$L<WLjL<L_MwMwSNN-N OO_O"P9P|:QtQE,R9rR)R>R1S+GS3sS(SrSfCTbTE UESU%UU^V>YGYRZ`XZhZ"[[Y1"#m}3c[-0|uFzVj94e or\wC/k!M;2B&dtWy:La_*P5N(fUK$`RHQ=)D%O,A T{liIJS. n7~x 8E+sg^Z@6XhG? 'q <b]>vp dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRestore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.This is caused by a newly created file system.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: POT-Creation-Date: 2021-09-07 17:26+0200 PO-Revision-Date: 2020-08-19 03:46-0400 Last-Translator: Petr Lautrbach Language-Team: German (http://www.transifex.com/projects/p/fedora/language/de/) Language: de MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=2; plural=(n != 1); X-Generator: Zanata 4.6.2 \tdac_override- und dac_read_search-Berechtigungen weisen normalerweise darauf hin, dass der Root-Prozess keinen Zugriff auf eine Datei basierend den Berechtigungszeichen hat. Normalerweise bedeutet dies, dass auf den Dateien falsche Eigentümer/ Berechtigungen gesetzt sind. SELinux verweigerte den von $SOURCE angeforderten Zugriff. Da nicht davon ausgegangen wird, dass dieser Zugriff von $SOURCE benötigt wird, signalisiert dies möglicherweise einen Einbruchsversuch. Es ist ausserdem möglich, dass diese spezielle Version oder Konfiguration der Anwendung den zusätzlichen Zugriff verursacht. SELinux verweigerte den von $SOURCE angeforderten Zugriff. Da nicht davon ausgegangen wird, dass dieser Zugriff von $SOURCE benötigt wird, signalisiert dies möglicherweise einen Einbruchsversuch. Es ist außerdem möglich, dass diese spezielle Version oder Konfiguration der Anwendung den zusätzlichen Zugriff verursacht. SELinux hat bestritten $SOURCE "$ACCESS"Zugriff auf das Gerät $TARGET_PFAD. $TARGET_PATH ist falsch beschriftet. Dieses Gerät hat die Standardbezeichnung des Verzeichnisses / dev. Dies sollte nicht vorkommen. Alle Zeichen- und / oder Blockgeräte sollten eine Bezeichnung haben. Sie können versuchen, das Label der Datei mit restorecon -v 'zu ändern.$TARGET_PFAD'. Wenn dieses Gerät als device_t bezeichnet wird, ist dies ein Fehler in der SELinux-Richtlinie. Bitte reichen Sie einen Fehlerbericht ein. Wenn Sie sich die anderen ähnlichen Gerätekennungen ls -lZ / dev / SIMILAR ansehen, finden Sie einen Typ, für den Sie arbeiten könnten $TARGET_PATH, Sie können chcon -t SIMILAR_TYPE verwenden. '$TARGET_PATH ', Wenn das Problem dadurch behoben wird, können Sie dies dauerhaft machen, indem Sie die Semanage fcontext -a -t SIMILAR_TYPE' ausführen.$FIX_TARGET_PATH 'Wenn das restorecon den Kontext ändert, bedeutet dies, dass die Anwendung, die das Gerät erstellt hat, es ohne Verwendung von SELinux-APIs erstellt hat. Wenn Sie herausfinden können, von welcher Anwendung das Gerät erstellt wurde, reichen Sie einen Fehlerbericht für diese Anwendung ein. Versuchen Sie es mit restorecon -v $TARGET_PATH oder chcon -t SIMILAR_TYPE $TARGET_PATH Die Änderung der Booleschen Variablen "$BOOLEAN" in "wahr" erlaubt diesen Zugriff: "setsebool -P $BOOLEAN=1" Die Änderung der Booleschen Variable "$BOOLEAN" in "wahr" erlaubt diesen Zugriff: "setsebool -P $BOOLEAN=1." Das Ändern der Booleschen Variable "allow_ftpd_use_nfs" in "wahr" erlaubt diesen Zugriff: "setsebool -P allow_ftpd_use_nfs=1." Ändern des file_context in mnt_t erlaubt das Einhängen in das Dateisystem: "chcon -t mnt_t '$TARGET_PATH'". Sie müssen auf dem System auch die Standarddatei mit dem Dateikontext ändern, um sie von einer kompletten Neukennzeichnung auszunehmen: "semanage fcontext -a -t mnt_t '$TARGET_PATH'" Eingeschränkte Domains sollten »sys_resource« nicht benötigen. Dies weist normalerweise darauf hin, dass die Ressourcen Ihres Systems wie Speicherplatz, Arbeitsspeicher, Kontingente, etc. knapp werden. Bitte bereinigen Sie den Speicherplatz und diese AVC-Meldung sollte wieder verschwinden. Falls dies nicht der Fall ist, nachdem Sie den Speicherplatz bereinigt haben, melden Sie dies als Fehler. Beschränkte Prozesse können so konfiguriert werden, dass sie mit unterschiedlichen Zugriffen laufen, SELinux stellt Booleans zur Verfügung, mit deren Hilfe Sie den Zugriff bei Bedarf ein- und ausschalten können. Falls httpd-Skripten das Schreiben in öffentliche Verzeichnisse erlaubt sein soll, müssen Sie die Boolesche Variable $BOOLEAN aktivieren und den Dateikontext des öffentlichen Verzeichnisses auf public_content_rw_t setzen. Siehe httpd_selinux Handbuchseite für weitere Informationen: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " Sie müssen zudem den standardmäßigen Dateikontext ändern, der Dateien auf dem System kennzeichnet, um die Kennzeichnung als öffentliches Verzeichnung selbst nach einer umfassenden Neukennzeichnung auf dem System zu erhalten. "semanage fcontext -a -t public_content_rw_t " Wenn Sie darauf vertrauen, dass $TARGET_PATH korrekt läuft, können Sie den Dateikontext mittels "chcon -t textrel_shlib_t '$TARGET_PATH'" in textrel_shlib_t ändern. Zudem müssen Sie auf dem System die Dateien mit Standarddateikontext ändern, um sie von einer kompletten Neukennzeichnung auszunehmen: "semanage fcontext -a -t textrel_shlib_t '$TARGET_PATH'" Falls Sie mit $SOURCE fortfahren möchten, müssen Sie die Boolesche Variable $BOOLEAN aktivieren. Hinweis: Diese Boolesche Variable wirkt sich auf alle Anwendungen des Systems aus. Wenn Sie dem HTTP-Daemon erlauben möchten E-Mails zu verschicken, müssen Sie die Boolesche Variable $BOOLEAN aktivieren: "setsebool -P $BOOLEAN=1" Falls Sie $SOURCE erlauben möchten, an Port $PORT_NUMBER zu binden, führen Sie Folgendes aus: # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER wobei PORT_TYPE einer der folgenden ist: %s. Falls dieses System als NIS-Client läuft, kann das Aktivieren der Booleschen Variable allow_ypbind boolean das Problem möglicherweise beheben: setsebool -P allow_ypbind=1. Wenn Sie $SOURCE erlauben möchten mit $​​PORT_NUMBER zu verbinden, führen Sie aus # sandbox -X -t sandbox_net_t $SOURCE Wenn Sie $SOURCE die Verbindung mit $PORT_NUMBER gestatten möchten, können Sie # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER ausführen, wobei PORT_TYPE einer der folgenden sein kann: %s. Falls Sie den Dateikontext von $TARGET_PATH ändern möchten, so dass der Automounter ihn ausführen kann, führen Sie "chcon -t bin_t $TARGET_PATH" aus. Falls dies eine Neukennzeichnung überdauern soll, müssen Sie den Dateikontext dauerhaft ändern: Führen Sie dazu "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'" aus. SELinux bestreitet $SOURCE Zugriff auf $TARGET_PFAD. Wenn es sich um eine Auslagerungsdatei handelt, muss sie die Dateikontextbezeichnung "swapfile_t" haben. Wenn Sie nicht beabsichtigen zu verwenden $TARGET_PATH Als Auslagerungsdatei kann diese Nachricht entweder einen Fehler oder einen Eindringversuch anzeigen. SELinux verweigerte den RSYNC-Zugriff auf $TARGET_PFAD. Wenn es sich um ein RSYNC-Repository handelt, muss es eine Dateikontextbezeichnung von rsync_data_t haben. Wenn Sie nicht beabsichtigen zu verwenden $TARGET_PATH als RSYNC-Repository kann diese Nachricht entweder einen Fehler oder einen Eindringversuch anzeigen. SELinux verweigert den Zugriff von $SOURCE. $SOURCE_PATH ist möglicherweise falsch etikettiert. $SOURCE_PATH Standard SELinux-Typ ist %s, aber der aktuelle Typ ist $SOURCE_ART. Wenn Sie diese Datei wieder auf den Standardtyp setzen, wird Ihr Problem möglicherweise behoben.

Diese Datei wurde möglicherweise durch einen Benutzerfehler falsch gekennzeichnet oder wenn eine normalerweise beschränkte Anwendung unter der falschen Domäne ausgeführt wurde.

Dies kann jedoch auch auf einen Fehler in SELinux hinweisen, da die Datei nicht mit diesem Typ gekennzeichnet sein sollte.

Wenn Sie glauben, dass dies ein Fehler ist, reichen Sie bitte einen Fehlerbericht für dieses Paket ein. SELinux verweigert den Zugriff von $SOURCE. $TARGET_PATH ist möglicherweise falsch etikettiert. openvpn darf Inhalte im Heimatverzeichnis lesen, wenn es richtig beschriftet ist. SELinux verweigert den Zugriff von $SOURCE. $TARGET_PATH ist möglicherweise falsch etikettiert. sshd darf Inhalte im Verzeichnis /root/.ssh lesen, wenn es richtig beschriftet ist. SELinux verweigerte den von $SOURCE angeforderten Zugriff. Es wird nicht angenommen, dass $SOURCE diesen Zugriff benötigt und dies könnte auf einen Angriffsversuch hinweisen. Es ist auch möglich, dass die spezifische Version oder Konfiguration der Anwendung zusätzliche Zugriffe benötigt. SELinux verweigerte den von $SOURCE angeforderten Zugriff. Es ist nicht vorgesehen, dass $SOURCE diesen Zugriff benötigt und dies könnte auf einen Angriffsversuch hinweisen. Es ist jedoch auch möglich, dass die entsprechende Version oder Konfiguration der Anwendung diesen Zugriff nötig macht. Auf mozplugger und spice-xpi-laufende Anwendungen in Mozilla Plugins, die Zugriff auf den Desktop benötigen, werden durch mozilla_plugin geblockt. Entweder deaktivieren Sie diese Sperrung oder Sie verzichten auf die Benutzung dieser Pakete. SELinux verweigerte den von $SOURCE angeforderten Zugriff. Es ist nicht vorgesehen, dass $SOURCE diesen Zugriff benötigt und dies könnte auf einen Angriffsversuch hinweisen. Es ist jedoch auch möglich, dass die entsprechende Version oder Konfiguration der Anwendung diesen Zugriff nötig macht. Auf spice-xpi-laufende Anwendungen in Mozilla Plugins, die Zugriff auf den Desktop benötigen, werden durch mozilla_plugin geblockt. Entweder deaktivieren Sie diese Sperrung oder Sie verzichten auf die Benutzung dieser Pakete. SELinux verweigerte den vom $SOURCE-Befehl angeforderten Zugriff. Dies kann entweder ein Leck des Dateideskriptors sein, oder $SOURCE Ausgabe wurde an eine Datei umgeleitet, für die es kein Zugriffsrecht besitzt. Lecks können in der Regel ignoriert werden, denn SELinux schließt einfach das Leck und meldet den Fehler. Die Anwendung wird den Deskriptor nicht verwenden und infolgedessen einwandfrei funktionieren. Falls dies eine Umleitung ist, werden Sie keine Ausgabe im $TARGET_PATH erhalten. Sie sollten einen Fehlerbericht für selinux-policy einreichen, der anschließend dem richtigen Paket zugeordnet wird. Sie können diese AVC bedenkenlos ignorieren. SELinux verweigerte den von $SOURCE angeforderten Zugriff auf $TARGET_PATH. $TARGET_PATH besitzt einen Kontext zur gemeinsamen Nutzung durch verschiedene Programme. Wenn Sie $TARGET_PATH von $SOURCE ebenfalls gemeinsam nutzen möchten, müssen Sie dessen Dateikontext in public_content_t ändern. Falls Sie nicht beabsichtigten, diesen Zugriff freizugeben, könnte dies einen Einbruchsversuch signalisieren. SELinux verweigerte cvs den Zugriff auf $TARGET_PATH. Wenn dies ein CVS-Depot ist, muss es eine Dateikontextkennung von cvs_data_t haben. Falls Sie $TARGET_PATH nicht als CVS-Depot verwenden wollten, könnte dies entweder ein Bug sein oder einen Einbruchsversuch signalisieren. SELinux verweigerte Samba-Zugriff auf $TARGET_PFAD. Wenn Sie dieses Verzeichnis für Samba freigeben möchten, muss es eine Dateikontextbezeichnung für Samba_share_t haben. Wenn Sie nicht beabsichtigen zu verwenden $TARGET_PATH als Samba-Repository kann diese Nachricht entweder einen Fehler oder einen Eindringversuch anzeigen. Weitere Informationen zum Einrichten von Samba und SELinux finden Sie unter "man samba_selinux". SELinux hinderte xen am Zugriff auf $TARGET_PATH. Falls dies ein XEN-Abbild ist, muss es die Dateikontextkennung xen_image_t haben. Das System ist so eingerichtet, dass das Abbilddateien im Verzeichnis /var/lib/xen/images korrekt gekennzeichnet werden. Wir empfehlen Ihnen, die Abbilddatei nach /var/lib/xen/images zu kopieren. Wenn Sie Ihre XEN-Abbilddateien wirklich im aktuellen Verzeichnis belassen möchten, sollten Sie die Kennzeichnung von $TARGET_PATH mit Hilfe von chcon auf xen_image_t ändern. Sie müssen zudem semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' ausführen, um diesen neuen Pfad zu den Systemstandards hinzuzufügen. Falls Sie nicht beabsichtigten, $TARGET_PATH als ein xen- Abbild zu verwenden, könnte dies einen Einbruchsversuch signalisieren. SELinux verweigerte $SOURCE die Verbindung mit einem Netzwerk-Port $PORT_NUMBER, mit dem kein SELinux-Typ verknüpft ist. Wenn Sie $SOURCE die Verbindung mit $PORT_NUMBER gestatten möchten, können Sie den Befehl semanage verwenden, um $PORT_NUMBER einem Port-Typ zuzuordnen, mit dem sich $SOURCE_TYPE verbinden kann (%s). Falls $SOURCE sich nicht mit $PORT_NUMBER verbinden soll, könnte dies auf einen Einbruchsversuch hinweisen. SELinux hat bestritten $SOURCE von der Verbindung mit einem Netzwerkanschluss $PORT_NUMBER in einer Sandbox. Ob $SOURCE sollte erlaubt sein, eine Verbindung herzustellen $PORT_NUMBER, Sie müssen einen anderen Sandbox-Typ wie sandbox_web_t oder sandbox_net_t verwenden. # Sandbox -X -t Sandbox_net_t $SOURCEOb $SOURCE soll sich nicht verbinden $PORT_NUMBER, dies könnte einen Eindringversuch signalisieren. SELinux verweigerte $SOURCE den Zugriff auf potentiell falsch gekennzeichnete Dateien $TARGET_PATH. Dies bedeutet, dass SELinux httpd die Verwendung dieser Dateien untersagt. Wenn httpd der Zugriff auf diese Dateien gestattet sein soll, müssen Sie den Dateikontext auf einen dieser folgenden Typen ändern, %s. Viele Dritt-Anwendungen installieren HTML-Dateien in Verzeichnissen, die die SELinux-Richtlinie nicht vorhersehen kann. Diese Verzeichnisse müssen mit einem Dateikontext gekennzeichnet werden, auf den httpd zugreifen kann. SELinux hinderte $SOURCE an der Bindung mit Netzwerkport $PORT_NUMBER, dem kein SELinux-Typ zugewiesen ist. Falls es $SOURCE erlaubt sein soll, auf $PORT_NUMBER zu horchen, weisen Sie $PORT_NUMBER mithilfe des Befehls semanage einen Porttyp zu, an den $SOURCE_TYPE binden kann (%s). Falls $SOURCE nicht an $PORT_NUMBER binden sollte, könnte dies einen Einbruchsversuch signalisieren. SELinux hat das bestritten $SOURCE die Fähigkeit, einen niedrigen Bereich des Adressraums des Kernels zu mappen. Die Möglichkeit, einen niedrigen Bereich des Adressraums zu überlappen, wird mit / proc / sys / kernel / mmap_min_addr konfiguriert. Das Verhindern solcher Zuordnungen schützt vor dem Ausnutzen von Null-Deref-Fehlern im Kernel. Für alle Anwendungen, die diesen Zugriff benötigen, sollte bereits eine Richtlinie für sie erstellt worden sein. Wenn eine angegriffene Anwendung versucht, den Kernel zu ändern, wird dieser AVC generiert. Dies ist ein ernstes Problem. Ihr System kann sehr wohl gefährdet sein. SELinux verweigerte $SOURCE_PATH die Ausführung potentiell falsch gekennzeichneter Dateien $TARGET_PATH. Der Automounter kann so konfiguriert werden, dass er Konfigurationsdateien ausführt. Wenn $TARGET_PATH eine ausführbare Konfigurationsdatei für Automount ist, benötigt es die Dateikennzeichnung bin_t. Falls der Automounter versucht, etwas auszuführen, zu dem er nicht berechtigt ist, könnte dies einen Einbruchsversuch signalisieren. SELinux hat dem http-Daemon das Versenden von E-Mails abgelehnt. Ein httpd-Skript versucht, eine Verbindung zu einem Mail-Port herzustellen oder den sendmail-Befehl auszuführen. Wenn Sie httpd nicht für sendmail eingerichtet haben, kann dies einen Eindringversuch signalisieren. SELinux verweigerte $SOURCE das Laden eines Kernel-Moduls. Alle eingeschränkten Programme, die Kernel-Module laden müssen, sollten bereits eine entsprechende Richtlinie haben. Falls eine kompromittierte Anwendung den Kernel zu ändern versucht, wird diese AVC generiert. Dies ist unter Umständen ein schwerwiegendes Problem. Ihr System wurde womöglich kompromittiert. SELinux verweigerte $SOURCE das Ändern von $TARGET. Diese Verweigerung weist darauf hin, dass $SOURCE die Konfiguration der SELinux-Richtlinie zu ändern versuchte. Alle Anwendungen, die derartigen Zugriff benötigen, sollten bereits eine entsprechende Richtlinie haben. Falls eine kompromittierte Anwendung die SELinux-Richtlinie zu verändern versucht, wird diese AVC generiert. Dies ist unter Umständen ein schwerwiegendes Problem. Ihr System wurde womöglich kompromittiert. SELinux verweigerte $SOURCE das Ändern von $TARGET. Diese Verweigerung zeigt an, dass $SOURCE versuchte, die Ausführung des Kernels zu beeinflussen oder Code in den Kernel einzufügen. Alle Anwendungen, die derartigen Zugriff benötigen, sollten bereits eine entsprechende Richtlinie haben. Falls eine kompromittierte Anwendung den Kernel zu verändern versucht, wird diese AVC generiert. Dies ist unter Umständen ein schwerwiegendes Problem. Ihr System wurde womöglich kompromittiert. SELinux hat verhindert $SOURCE vom Schreiben in eine Datei unter / sys / fs / selinux. Dateien unter / sys / fs / selinux steuern die Konfiguration von SELinux. Alle Programme, die unter / sys / fs / selinux in Dateien schreiben müssen, sollten bereits über Richtlinien verfügen. Wenn eine gefährdete Anwendung versucht, SELinux zu deaktivieren, wird dieser AVC generiert. Dies ist ein ernstes Problem. Ihr System kann sehr wohl gefährdet sein. SELinux hinderte vbetool an der Ausführung einer unsicheren Speicher-Operation. SELinux hinderte wine an der Ausführung einer unsicher Speicher-Operation. SELinux hindert $SOURCE am Erstellen einer Datei mit einem Kontext von $SOURCE_TYPE auf einem Dateisystem. Dies passiert normalerweise, wenn Sie den cp-Befehl anweisen, den Kontext einer Datei beim Kopieren zwischen Dateisysteme beizubehalten, z.B. "cp -a". Nicht alle Dateikontexte sollten beim Austausch zwischen Dateisystemen beibehalten werden. So sollte z.B. ein schreibgeschützter Dateityp wie iso9660_t nicht auf einem r/w-System abgelegt werden. In diesem Fall wäre "cp -p" eine bessere Lösung, da dies den Standard-Dateikontext für das Ziel übernimmt. SELinux hindert $SOURCE_PATH "$ACCESS" am Zugriff auf $TARGET_PATH. SELinux hindert $SOURCE_PATH "$ACCESS" am Zugriff auf $TARGET_PATH. SELinux hindert $SOURCE_PATH "$ACCESS" am Zugriff auf das Gerät $TARGET_PATH. SELinux hindert $SOURCE_PATH "$ACCESS" am Zugriff auf $TARGET_PATH. SELinux hindert $SOURCE_PATH am Zugriff auf einen $TARGET_PATH Dateideskriptorleck. SELinux hindert $SOURCE_PATH an der Bindung mit Port $PORT_NUMBER. SELinux hindert $SOURCE_PATH an der Änderung des Zugriffs- schutzes des Freispeicherbereichs. SELinux hindert $SOURCE_PATH daran, sich mit dem Port $PORT_NUMBER zu verbinden. SELinux hindert $SOURCE_PATH an der Erstellung einer Datei mit dem Dateikontext $SOURCE_TYPE in einem Dateisystem. SELinux hindert $SOURCE_PATH am Laden von $TARGET_PATH, welches Textverschiebung benötigt. SELinux hindert $SOURCE_PATH daran, den Programm-Stack ausführbar zu machen. SELinux hindert $SOURCE_PATH an der "$ACCESS" Berechtigung. SELinux hindert $SOURCE_PATH an der Nutzung der "sys_resource" Fähigkeit. SELinux hindert Samba ($SOURCE_PATH) "$ACCESS" am Zugriff auf $TARGET_PATH. SELinux hindert cvs ($SOURCE_PATH) "$ACCESS" am Zugriff auf $TARGET_PATH. SELinux hindert den $SOURCE daran, evtl. falsch gekennzeichnete Dateien $TARGET_PATHzu verwenden. SELinux hindert den HTTP-Daemon E-Mails zu verschicken. SELinux hindert xen ($SOURCE_PATH) "$ACCESS" am Zugriff auf $TARGET_PATH. Die SELinux-Richtlinie hindert ein HTTP-Skript am Schreiben in ein öffentliches Verzeichnis. Die SELinux-Richtlinie hindert ein HTTP-Skript am Schreiben in ein öffentliches Verzeichnis. Falls HTTP nicht mit Schreibzugriff auf öffentliche Verzeichnisse konfiguriert ist, könnte dies einen Einbruchsversuch signalisieren. SELinux hinderte $SOURCE am Einhängen eines Dateisystems in der Datei oder im Verzeichnis "$TARGET_PATH" vom Typ "$TARGET_TYPE". Standardmäßig beschränkt SELinux das Einhängen von Dateisystemen in einige Dateien oder Verzeichnisse (solche mit Typen, die das Einhängepunkt-Attribut besitzen). Der Typ "$TARGET_TYPE" hat dieses Attribut nicht. Sie können die Datei oder das Verzeichnis neu kennzeichnen. SELinux hinderte $SOURCE am Einhängen in die Datei oder das Verzeichnis "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux hinderte httpd $ACCESS am Zugriff auf $TARGET_PATH. httpd-Skripte dürfen keine Inhalte schreiben, ohne explizite Kennzeichnung aller Dateien. Falls $TARGET_PATH schreibbaren Inhalt besitzt, muss es mit httpd_sys_rw_content_t, oder, falls Sie nur Daten anfügen müssen, mit httpd_sys_ra_content_t gekennzeichnet werden. Bitte werfen Sie auch einen Blick auf die Handbuchseite »man httpd_selinux« für weitere Informationen über die Einrichtung von httpd und SELinux. SELinux verhindert httpd $ACCESS Zugriff auf http-Dateien. Normalerweise hat httpd vollen Zugriff auf alle Dateien, die mit dem http-Dateikontext gekennzeichnet sind. Diese Maschine hat eine strengere Sicherheitsrichtlinie mit der $BOOLEANWenn diese Option deaktiviert ist, müssen alle Dateien explizit gekennzeichnet werden. Wenn es sich bei einer Datei um ein CGI-Skript handelt, muss es mit httpd_TYPE_script_exec_t gekennzeichnet sein, um ausgeführt zu werden. Wenn es sich um schreibgeschützten Inhalt handelt, muss er als httpd_TYPE_content_t bezeichnet werden. Wenn es sich um beschreibbaren Inhalt handelt, muss er als httpd_TYPE_script_rw_t oder httpd_TYPE_script_ra_t bezeichnet werden. Sie können den Befehl chcon verwenden, um diesen Kontext zu ändern. Bitte beachten Sie die Manpage "man httpd_selinux" oder FAQ"TYPE" bezieht sich auf einen von "sys", "user" oder "staff" oder möglicherweise auf andere Skripttypen. SELinux verhinderte den HTTPD-Zugriff $ACCESS auf http-Dateien. SELinux hinderte den ftp-Daemon am $ACCESS auf Dateien, die auf einem CIFS-Dateisystem gespeichert sind. SELinux hinderte den ftp-Daemon am $ACCESS auf Dateien, die auf einem CIFS-Dateisystem abgelegt sind. CIFS (Comment Internet File System) ist ein Netzwerk-Dateisystem und ähnelt SMB (http://www.microsoft.com/mind/1196/cifs.asp) Der ftp-Daemon versuchte, eine oder mehrere Dateien oder Verzeichnisse auf einem eingehängten Dateisystem dieses Typs zu lesen. Da CIFS-Dateisysteme keine fein granulierte SELinux-Kennzeichnung unterstützen, haben alle Dateien und Verzeichnisse dieses Dateisystems denselben Sicherheitskontext. Falls Sie den FTP-Daemon ohne Lesezugriff auf CIFS-Dateisysteme konfiguriert haben, könnte dieser Zugriff einen Einbruchsversuch signalisieren. SELinux hinderte den ftp-Daemon am $ACCESS auf Dateien, die auf einem NFS-Dateisystem gespeichert sind. SELinux hinderte den ftp-Daemon am $ACCESS auf Dateien, die auf einem NFS-Dateisystem abgelegt sind. NFS (Network Filesystem) ist ein Netzwerk-Dateisystem, das weitverbreitet ist auf Unix /Linux Systemen. Der ftp-Daemon versuchte, eine oder mehrere Dateien oder Verzeichnisse auf einem eingehängten Dateisystem dieses Typs zu lesen. Da NFS-Dateisysteme keine fein granulierte SELinux-Kennzeichnung unterstützen, haben alle Dateien und Verzeichnisse dieses Dateisystems denselben Sicherheitskontext. Falls Sie den FTP-Daemon ohne Lesezugriff auf NFS-Dateisysteme konfiguriert haben, könnte dieser Zugriff einen Einbruchsversuch signalisieren. Manchmal ist eine Bibliothek fälschlicherweise mit dem execstack-Flag markiert; falls Sie eine Bibliothek mit diesem Flag finden, können Sie es mit execstack -c LIBRARY_PATH löschen. Dann führen Sie die Anwendung erneut aus. Falls die Anwendung immer noch nicht funktioniert, können Sie das Flag wieder mit execstack -s LIBRARY_PATH setzen. Die Anwendung $SOURCE versuchte, den Schutz des Freispeicherbereichs zu verändern (z.B. zugeteilt durch malloc). Dies ist ein mögliches Sicherheitsproblem. Anwendungen sollten dies nicht tun. Anwendungen sind gelegentlich fehlerhaft programmiert und fordern diese Erlaubnis an. Die Webseite SELinux Memory Protection Tests erklärt, wie diese Anforderung entfernt werden kann. Falls $SOURCE nicht funktioniert, Sie dies jedoch benötigen, können Sie SELinux vorübergehend so konfigurieren, dass der Zugriff bis zur Korrektur der Anwendung erlaubt wird. Bitte reichen Sie einen Fehlerbericht für dieses Paket ein. Das $SOURCE Anwendung hat versucht zu laden $TARGET_PATH, bei dem Text verschoben werden muss. Dies ist ein potenzielles Sicherheitsproblem. Die meisten Bibliotheken benötigen diese Berechtigung nicht. Bibliotheken werden manchmal falsch codiert und fordern diese Berechtigung an. Das SELinux Speicherschutz-TestsWebseite erläutert, wie diese Anforderung entfernt werden kann. Sie können SELinux vorübergehend konfigurieren, um dies zuzulassen $TARGET_PATH, um die Verschiebung als Problemumgehung zu verwenden, bis die Bibliothek behoben ist. Bitte reichen Sie einen Fehlerbericht ein. Die Anwendung $SOURCE versuchte $TARGET_PATH zu laden, was Textverschiebung benötigt. Dies ist ein mögliches Sicherheitsproblem. Die meisten Bibliotheken benötigen diese Erlaubnis nicht. Die Webseite SELinux Memory Protection Tests erklärt diesen Test. Dieses Tool führte eine Untersuchung der Bibliothek aus und stellte fest, dass diese korrekt aufgebaut ist. Setroubleshoot kann also nicht feststellen, ob diese Anwendung kompromittiert wurde oder nicht. Dies ist unter Umständen ein schwerwiegendes Problem. Ihr System wurde womöglich kompromittiert. Kontaktieren Sie Ihren Sicherheitsadministrator und melden diesen Fehler. Die Anwendung $SOURCE versuchte, den Stack ausführbar zu machen. Dies ist ein mögliches Sicherheitsproblem. Dies sollte niemals nötig sein. Der Stapelspeicher ist heutzutage bei den meisten Betriebssystemen nicht ausführbar, was sich auch nicht ändern wird. Ausführbarer Stapelspeicher ist eines der größten Sicherheitsprobleme. Ein execstack-Fehler könnte sehr wahrscheinlich auch von bösartigem Code stammen. Anwendungen sind manchmal fehlerhaft programmiert und erfordern diese Erlaubnis. Die Webseite SELinux Memory Protection Tests erklärt, wie diese Anforderung entfernt werden kann. Falls $SOURCE nicht funktioniert, Sie dies jedoch benötigen, können Sie SELinux temporär so konfigurieren, dass der Zugriff bis zur Korrektur der Anwendung erlaubt wird. Bitte reichen Sie einen Fehlerbericht für dieses Paket ein. Verwenden Sie den Befehl "cp -p", um alle Berechtigungen mit Ausnahme des SELinux-Kontexts zu erhalten. Sie können den Dateikontext durch Ausführen von "chcon -R -t cvs_data_t '$TARGET_PATH'" ändern. Sie müssen auf dem System auch die Standarddatei mit dem Dateikontext ändern, um diese bei einer kompletten Neubezeichnung auszunehmen: "semanage fcontext -a -t cvs_data_t '$TARGET_PATH'" Sie können den Dateikontext durch Ausführen von "chcon -R -t cvs_data_t '$TARGET_PATH'" ändern. Sie müssen auf dem System auch die Standarddatei mit dem Dateikontext ändern, um sie von einer kompletten Neubezeichnung auszunehmen: "semanage fcontext -a -t rsync_data_t '$TARGET_PATH'" Sie können den Dateikontext durch Ausführen von "chcon -R -t cvs_data_t '"$TARGET_PATH'" ändern. Sie müssen auf dem System auch die Standarddatei mit dem Dateikontext ändern, um sie von einer kompletten Neubezeichnung auszunehmen: "semanage fcontext -a -t samba_share_t '$TARGET_PATH'" Sie können den Dateikontext durch Ausführen von "chcon -t public_content_t '$TARGET_PATH' ändern. Sie müssen auf dem System auch die Standard-Dateikontextdateien ändern, um sie von einer kompletten Neubezeichnung auszunehmen: "semanage fcontext -a -t public_content_t '$TARGET_PATH'" Sie können den Dateikontext durch Ausführen von "chcon -t swapfile_t '$TARGET_PATH'" ändern. Sie müssen auf dem System auch die Standarddatei mit dem Dateikontext ändern, um sie von einer kompletten Neubezeichnung auszunehmen: "semanage fcontext -a -t swapfile_t '$TARGET_PATH'" Sie können den Dateikontext durch Ausführen von "chcon -t virt_image_t '$TARGET_PATH'" ändern. Sie müssen auf dem System auch die Standarddatei mit dem Dateikontext ändern, um sie von einer kompletten Neubezeichnung auszunehmen: "semanage fcontext -a -t virt_image_t '$TARGET_PATH'" Sie können den Dateikontext durch Ausführen von "chcon -R -t cvs_data_t '$TARGET_PATH'" ändern. Sie müssen auf dem System auch die Standarddatei mit dem Dateikontext ändern, um sie von einer kompletten Neubezeichnung auszunehmen: "semanage fcontext -a -t xen_image_t $TARGET_PATH" Sie können folgenden Befehl als root ausführen, um Ihr Computersystem neu zu kennzeichnen: "touch /.autorelabel; reboot" Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu erlauben siehe FAQ Bitte reichen Sie einen Fehlerbericht ein. Sie können ein lokales Richtlininenmodul generieren, um diesen Zugriff zu erlauben - siehe FAQ Sie können den Standardsystemkontext in dieser Datei wiederherstellen, indem Sie den Befehl restorecon ausführen. # restorecon -R /root/.ssh Sie können den Standardsystemkontext in dieser Datei wiederherstellen, indem Sie den Befehl restorecon ausführen. # restorecon -R /root/.ssh Sie können den Standard-System-Kontext für diese Datei durch Ausführen des restorecon Befehls wiederherstellen. restorecon '$SOURCE_PATH'. Sie können den Standarddateikontext für diese Datei wiederherstellen durch die Ausführung des restorecon-Befehls. restorecon '$TARGET_PATH', wenn diese Datei ein Verzeichnis ist, Sie können es auch rekursiv machen durch restorecon -R '$TARGET_PATH'. Ihr System könnte ernsthaft kompromittiert worden sein! Ihr System könnte ernsthaft kompromittiert worden sein! $SOURCE_PATH versuchte, niedrigen Kernel-Speicher zuzuweisen. Ihr System könnte ernsthaft kompromittiert worden sein! $SOURCE_PATH versuchte, ein Kernel-Modul zu laden. Ihr System könnte ernsthaft kompromittiert worden sein! $SOURCE_PATH versuchte, das SELinux-Enforcement zu verändern. Ihr System könnte ernsthaft kompromittiert worden sein! $SOURCE_PATH versuchte, die Kernel-Konfiguration zu verändern. IPV6 ordnungsgemäß deaktivieren. Entweder enternen Sie das mozplluger-Paket, indem Sie 'yum remove mozplugger' ausführen oder Sie deaktivieren den strikten SELinux-Modus bei den Firefox-Plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Entfernen Sie entweder das mozplugger- oder spice-xpi-Paket, indem Sie 'yum remove mozplugger spice-xpi' ausführen, oder deaktivieren Sie SELinux-Erzwingungsmodus über die Firefox Plugins. setsebool -P unconfined_chrome_sandbox_transition 0 Entfernen Sie entweder das mozplugger- oder spice-xpi-Paket, indem Sie 'yum remove mozplugger spice-xpi' ausführen, oder deaktivieren Sie den SELinux-Erzwingungsmodus über Chrome Plugins. setsebool -P unconfined_chrome_sandbox_transition 0 Falls Sie das fragliche Programm weiterhin ausführen wollen, müssen Sie diese Operation zulassen. Dies kann an der Befehlszeile erfolgen, indem Sie folgendes ausführen: # setsebool -P mmap_low_allowed 1 SELinux verweigerte eine Operation angefragt von $SOURCE, einem Programm, das den Status von Grafik-Hardware ändert. Dieses Programm führt bekanntermaßen eine unsichere Operation auf dem Systemspeicher durch, dasselbe gilt jedoch für eine Reihe von Malware-Programmen, die sich als vbetool tarnen. Dieses Tool wird dazu verwendet, den Grafikstatus zurückzusetzen, wenn ein Rechner aus dem Ruhezustand zurückkehrt. Falls Ihr Rechner nicht ordnungsgemäß aus dem Ruhezustand zurückkehrt, ist Ihre einzige Möglichkeit, diese Operation zuzulassen und geringere Systemsicherheit gegen diese Art Malware in Kauf zu nehmen. SELinux verweigerte eine Operation angefragt vom Wine-Preloader, einem Programm, das Windows-Anwendungen unter Linux ausführt. Dieses Programm führt bekanntermaßen eine unsichere Operation auf dem Systemspeicher durch, dasselbe gilt jedoch für eine Reihe von Malware-Programmen, die sich als Wine tarnen. Falls Sie ein Windows-Programm ausführen möchten, bestehen Ihre einzigen Möglichkeiten darin, diese Operation zuzulassen und geringere Systemsicherheit gegen diese Art von Malware in Kauf zu nehmen, oder aber davon abzusehen, Windows-Anwendungen unter Linux auszuführen. Falls Sie nicht versuchten, eine Windows-Anwendung auszuführen, deutet dies darauf hin, dass Sie wahrscheinlich von einer Art Malware oder einem Programm angegriffen werden, das versucht, Ihr System für zwielichtige Zwecke auszunutzen. Werfen Sie bitte einen Blick auf http://wiki.winehq.org/PreloaderPageZeroProblem Dort werden andere Probleme mit Wine erläutert, die aufgrund dessen unsicheren Gebrauchs von Speicher entstehen, sowie deren Lösungen. Volle Audit-Funktion aktivieren # auditctl -w /etc/shadow -p w Versuchen Sie AVC zu reproduzieren. Führen Sie dann folgendes aus # ausearch -m avc -ts recent Falls PATH record ersichtlich ist, überprüfen Sie Eigentümer/ Berechtigungen der Datei und korrigieren Sie dies, anderenfalls melden Sie dies an Bugzilla. Sie haben versucht einen Typ auf %s anzuwenden, welcher kein Dateityp ist. Das ist nicht erlaubt, Sie müssen einen Dateityp zuweisen. Mit dem seinfo-Befehl können SIe alle Dateitypen auflisten. seinfo -afile_type -x Das Ändern der Booleschen Variablen "$BOOLEAN" und "$WRITE_BOOLEAN" in wahr, erlaubt diesen Zugriff: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". Warnung: Wird die Boolesche Variable "$WRITE_BOOLEAN" in wahr geändert, kann der FTP-Daemon in alle öffentlichen Dateien und Verzeichnisse mit dem Typ public_content_t schreiben, zusätzlich zu den Dateien und Verzeichnissen auf CIFS-Dateisystemen. Das Ändern der boolschen Variablen "allow_ftpd_use_nfs" and "ftpd_anon_write" auf true erlaubt diesen Zugrif: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". Warnung: Das Setzen von Boolean "ftpd_anon_write" auf "True" erlaubt dem FTP - Daemon Schreibrechte auf alle öffentlichen Inhalte (Dateien und Verzeichnisse mit dem Typ public_content_t) zusätzlich zu deb Schreibrechten in Dateien und Verzeichnisse auf NFS-Dateisystemen.# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' wobei FILE_TYPE einer der folgenen Werte ist: %s. Führen Sie danach Folgendes aus: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER wobei PORT_TYPE einer der folgenden Werte ist: %s.Ein Prozess könnte versuchen, in Ihr System einzudringen.Fügen Sie net.ipv6.conf.all.disable_ipv6 = 1 zu /etc/sysctl.conf hinzu Zugriff jetzt erlauben, indem Sie die nachfolgenden Befehle ausführen: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppDateikontext ändernLabel ändernÄndern Sie das Label (Kennzeichnung) der Bibliothek.Setzen Sie sich mit Ihrem Sicherheitsadministrator in Verbindung und melden Sie dieses Problem.Deaktivierung der SELinux-Überwchung der Chrome-PluginsBoolsche Variabeln aktivierenBoolsche Variabeln aktivieren.Ob $TARGET_BASE_PATH ist ein VirtualisierungszielOb $TARGET_BASE_PATH sollte über den RSYNC-Daemon gemeinsam genutzt werdenWenn $TARGET_BASE_PATH über den CVS-Dämon genutzt werden sollWenn du glaubst $SOURCE_BASE_PATH sollte erstellt werden dürfen $TARGET_BASE_PATH-DateienWenn du glaubst $SOURCE_PATH hat versucht, SELinux zu deaktivieren.Sie glauben, dass %s keinen execstack benötigen sollteWenn du das glaubst $SOURCE_BASE_PATH sollte erlaubt sein $ACCESS Zugriff auf $TARGET_CLASS beschriftet $TARGET_TYPE standardmäßig.Wenn Sie denken, dass es $SOURCE_BASE_PATH standardmäßig erlaubt sein sollte, $ACCESS Zugriff auf $TARGET_TYPE Prozesse zu erhalten.Wenn Sie denken, dass es $SOURCE_BASE_PATH standardmäßig erlaubt sein sollte, $ACCESS Zugriff auf $TARGET_BASE_PATH $TARGET_CLASS zu erhalten.Wenn Sie denken, dass $SOURCE_BASE_PATH standardmäßig $ACCESS Berechtigung haben sollten.Wenn Sie diesen AVC nicht direkt durch Tests verursacht haben.Wenn du das nicht glaubst $SOURCE_PATH sollte versuchen, den Kernel durch Laden eines Kernelmoduls zu ändern.Wenn du deiner nicht glaubst $SOURCE_PATH sollte den Kernel ändern, indem Kernelmodule geladen werdenWenn du nicht denkst $SOURCE_BASE_PATH sollte es versuchen $ACCESS Zugriff auf $TARGET_BASE_PATH.Sie nicht glauben, dass $SOURCE_PATH auf Heap-Speicher verweisen sollte, der sowohl beschreibbar als auch ausführbar ist.Sie nicht glauben, dass $SOURCE_PATH auf Stack-Speicher verweisen sollte, der sowohl beschreibbar als auch ausführbar ist.Wenn du nicht denkst $SOURCE_PATH sollte im Kernel wenig Speicher bereitstellen.Wenn Sie nicht möchten, dass Prozesse die gesamten Systemressourcen Ihres Systems nutzen,Wenn Sie der Meinung sind, dass dies durch eine falsch beschriftete Maschine verursacht wird.Sie folgendes tun möchten: %sWenn du zulassen möchtest $SOURCE_BASE_PATH zum Einhängen $TARGET_BASE_PATH.Sie möchten, dass $SOURCE_PATH in gemeinsam genutzte, öffentliche Inhalte schreiben darf. Sie möchten $SOURCE erlauben, mit dem Netzwerk-Port $​​PORT_NUMBER zu verbindenWenn Sie $SOURCE erlauben möchten, sich mit dem Netzwerk-Port $​​PORT_NUMBER zu verbindenSie möchten ftpd erlauben, auf cifs-Dateisysteme zu schreibenSie möchten ftpd erlauben, auf nfs-Dateisysteme zu schreibenWenn Sie zulassen möchten, dass httpd cgi-Skripts ausführt und die HTTPD-Verarbeitung aller Inhaltsdateien vereinheitlicht wird.Wenn Sie httpd zulassen möchten, dass E-Mails gesendet werdenSie möchten das Label von $TARGET_PATH ändern zu %s, dies ist nicht erlaubt, da es kein gültiger Dateityp ist.Wenn Sie IPV6 auf diesem Computer deaktivieren möchtenWenn Sie das Etikett reparieren möchten.$SOURCE_PATH Default Label sollte sein %s.Wenn Sie das Etikett reparieren möchten.$TARGET_PATH Default Label sollte sein %s.Wenn Sie feststellen möchten, ob die Domäne diesen Zugriff benötigt oder Sie eine Datei mit den falschen Berechtigungen für Ihr System habenWenn du ignorieren willst $SOURCE_BASE_PATH versucht zu versuchen $ACCESS Greife auf ... zu $TARGET_BASE_PATH $TARGET_CLASS, weil Sie glauben, dass es diesen Zugriff nicht benötigen sollte.Wenn Sie diesen AVC ignorieren möchten, da dies gefährlich ist und Ihr Computer anscheinend ordnungsgemäß funktioniert.Wenn Sie diesen AVC ignorieren möchten, weil dies gefährlich ist und Ihre Weinanwendungen ordnungsgemäß funktionieren.Wenn Sie das Etikett ändern möchten $TARGET_BASE_PATH damit $SOURCE_BASE_PATH kann haben $ACCESS Zugriff daraufWenn Sie mv wollen $TARGET_BASE_PATH zum Standardspeicherort damit $SOURCE_BASE_PATH kann haben $ACCESS ZugriffWenn Sie die SELinux Firefox-Plugin-Eindämmung weiterhin verwenden möchten, verwenden Sie das Paket mozpluggerWenn du behandeln willst $TARGET_BASE_PATH als öffentlicher InhaltWenn Sie das %s-Paket benutzen möchtenKontext WiederherstellenKontext wiederherstellenSELinux verhindert $SOURCE_PATH "$ACCESS" Zugriff.Dies wird durch ein neu erstelltes Dateisystem verursacht.Speicher-Schutz ausschaltenFür weitere Einzelheiten, können Sie die »%s« man-Seiten konsultieren.Sie könnten angegriffen worden sein.Sie müssen SELinux darüber benachrichtigen, indem Sie die \tboolesche Variable »%s« aktivieren. Sie müssen das Label auf $FIX_TARGET_PATH ändernSie müssen die Kennzeichnung von $TARGET_BASE_PATH ändern.Sie müssen die Kennzeichnung von $TARGET_BASE_PATH auf public_content_t oder public_content_rw_t ändern.Sie müssen die Kennzeichnung von $TARGET_BASE_PATH' ändernSie müssen die Kennzeichnung von $TARGET_PATH auf einen Typ eines ähnlichen Elementes ändernSie müssen die Kennzeichnung von »$FIX_TARGET_PATH« ändernSie sollten dies als Fehler melden. Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.Sie sollten dies als Fehler melden. Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.execstack -c %sFalls Sie denken, dass Sie angegriffen wurdensetsebool -P %s %sAktivieren Sie die vollständige Audit-Funktion, um die Pfad-Information der problematischen Datei zu erhalten. Dann reproduzieren Sie den Fehler erneut.Benutzen Sie einen Befehl wie "cp -p" um alle Berechtigungen ausser SELinux-Kontext zu sichern.Sie können restorecon ausführen.Sie können restorecon ausführen. Der Zugriffsversuch wurde möglicherweise aufgrund unzureichender Berechtigungen für den Zugriff auf ein übergeordnetes Verzeichnis angehalten. Versuchen Sie in diesem Fall, den folgenden Befehl entsprechend zu ändern.Sie werden eventuell durch einen Hacker angegriffen, da eingeschränkte Anwendungen diesen Zugriff nicht benötigen sollten.Dies kann auf einen Hackerangriff hinweisen, da eingeschränkte Anwendungen diesen Zugriff nicht benötigen sollten.Dies könnte ein Hackerangriff sein. Dies ist ein kritischer Zugriff.Sie müssen die Kennzeichnungen von $TARGET_PATH ändern.Sie müssen die Markierungen korrigieren.Sie müssen die cert-Datei ins ~/.cert-Verzeichnis verschiebenSie müssen ein gültiges Datei-Label auswählen.Sie müssen das Mozplugger-Paket entfernen.Sie müssen SELinux einrichten, um dies zu erlaubenSie müssen SELinux darüber informierenSie müssten dies SELinux mitteilen, indem Sie die »httpd_unified«- und »http_enable_cgi«-Variablen aktivierenSie müssen SELinux darüber informieren, indem Sie die ivbetool_mmap_zero_ignore-Variable aktivieren.Sie müssen SELinux darüber informieren, indem Sie die wine_mmap_zero_ignore-Variable aktivieren.Sie müssen die SELinux-Überwachung der Chrome-Plugins deaktivieren.Sie müssen die SELinux-Überwachung der Firefox-Plugins ausschalten.Sie müssen Markierungen hinzufügen.Sie müssen das Label auf $TARGET_PATH zu public_content_rw_t ändern und möglicherweise die Boolesche Variable allow_httpd_sys_script_anon_write aktivieren.Sie müssen diagnostizieren, warum Ihrem System die Systemressourcen ausgehen, und das Problem beheben. Gemäß /usr/include/linux/capability.h ist sys_resource erforderlich, um: / * Ressourcenlimits überschreiben. Ressourcenlimits festlegen * / / * Kontingentlimits überschreiben. * / / * Überschreibe reservierten Speicherplatz auf ext2-Dateisystem * / / * Modifiziere den Datenjournalmodus auf ext3-Dateisystem (verwendet Journalressourcen). / * Größenbeschränkungen für IPC-Nachrichtenwarteschlangen überschreiben * / / * Erlauben Sie mehr als 64 Hz-Interrupts von der Echtzeituhr. * / / * Überschreiben Sie die maximale Anzahl von Konsolen bei der Konsolenzuweisung. Sie müssen erneut eine vollständige Markierung durchführen.müssen Sie den Sandbox-Typ ändern. sandbox_web_t oder sandbox_net_t. Zum Beispiel: sandbox -X -t sandbox_net_t $SOURCE_PATH Bitte lesen Sie die 'sandbox' man-Seite für weitere Details. Sie sollten den Fehler melden. Dies ist möglicherweise ein gefährlicher Zugriff.Sie müssen einen Fehlerbereicht einreichen. Dies ist ein möglicherweise gewährlicher Zugriff.Sie müssen /proc/sys/net/ipv6/conf/all/disable_ipv6 auf 1 und das Modul nicht auf die Blacklist setzen'Sie müssen einen anderen Befehl verwenden. Sie sind nicht berechtigt, den SELinux-Kontext auf dem Ziel-Dateisystem zu sichern.Sie sollten das execstack-Flag entfernen und testen, ob $SOURCE_PATH ordnungsgemäß funktioniert. Berichten Sie dieses Problem als Fehler in %s. Entfernen Sie das exestack-Flag wie folgt: