eaiovnaovbqoebvqoeavibavo % PQ1>:pVg hq|(WE eRs !t`"I"~$$,\% &'m(++/~, -/.1b3K5c67:2<=?7/AgCDTE9GHJSJLPLLNONOOUOGO]h8!Km}4.›, 9?U01Ɯ]2VK2՝]cfʞ,ڞdNΟ_]Ea-ա4!#'E$m _ROf9:+IդBaA^sEP>_[eU!ewfݴDIǵmi`ʻ`tzrvdD2RwoDKHw St#8FW@}@~nQ:@aZ/U`UAnSlZTsW'FN]\skI<6m+p@yidyku] 9d.J=y;>02+c@vGKx<to1 x y!#!!}"b#F$@%D'*+,*.b/"0\0b1\z1+1r28v2=22 33%3R3@+4l4464@4> 5UL595956687]79#8]]8\8W9`p9f9c8:l:6 ; @;JM;X;K;J=<B<A<t =+=e=*>\?>[>>x?i!@u@mAvoAvA:]BBBBDB5 C VC8wCC=C2 D3=D]qD3DVE3ZElEnEjF+zFFFbAGGGuqHzHLbI0II/I,-J$ZJ-JJWJK%KGqKFKJLKLgLL#{PPKfQKQfQ{eRRY1"#m}3c[-0|uFzVj94e or\wC/k!M;2B&dtWy:La_*P5N(fUK$`RHQ=)D%O,A T{liIJS. n7~x 8E+sg^Z@6XhG? 'q <b]>vp dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRestore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.This is caused by a newly created file system.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: POT-Creation-Date: 2021-09-07 17:26+0200 PO-Revision-Date: 2018-08-23 05:41-0400 Last-Translator: Copied by Zanata Language-Team: Spanish (http://www.transifex.com/projects/p/fedora/language/es/) Language: es MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=2; plural=(n != 1); X-Generator: Zanata 4.6.2 las capacidadeds dac_override y dac_read_search por lo general indican que los procesos root no tienen aceso a un archivo basado en las marcas de permisos. Generalmente esto significa que posee algún archivo cuyo permiso o pertenencia es equivocado. SELinux impidió el acceso solicitado por $SOURCE. No se esperaba que este acceso fuera solicitado por $SOURCE, y podría indicar un intento de ataque. También es posible que la versión específica o la configuración de la aplicación esté provocando esta necesidad de acceso adicional. SELinux impidió el acceso solicitado por $SOURCE. La parametría actual no está permitiendo este acceso. Si no configuró a $SOURCE para que este acceso fuera necesario, puede ser indicio de un intento de ataque. Si realmente desea permitir este acceso, tendrá que modificar los indicadores del sistema para permitirlo. SELinux impidió a $SOURCE el acceso "$ACCESS" a $TARGET_PATH. $TARGET_PATH está mal etiquetado: este dispositivo tiene la etiqueta predeterminada de la carpeta /dev, y no debería ser así. Todos los dispositivos de caracteres y/o de bloques deben tener una etiqueta. Puede intentar cambiar la etiqueta del archivo usando restorecon -v '$TARGET_PATH'. Si el dispositivo continúa etiquetado como device_t, entonces se trata de un error en la política de SELinux. Por favor, informe acerca de este error. Si mira las etiquetas de dispositivos similares (ls -lZ /dev/SIMILAR) y encuentra un tipo que pueda funcionar para $TARGET_PATH, puede utilizar chcon -t TIPO_SIMILAR '$TARGET_PATH'. Si esto corrige el problema, puede hacer que el cambio sea permanente ejecutando semanage fcontext -a -t TIPO_SIMILAR '$FIX_TARGET_PATH' Si restorecon modifica el contexto, indicaría que la aplicación que creó el dispositivo lo hizo sin utilizar la API de SELinux. Si puede descubrir qué aplicación creó el dispositivo, informe acerca de este error de la aplicación. Intente restorecon -v '$TARGET_PATH' o chcon -t TIPO_SIMILAR '$TARGET_PATH' Puede permitir este acceso activando el indicador "$BOOLEAN": "setsebool -P $BOOLEAN=1" Puede permitir este acceso activando el indicador "$BOOLEAN": "setsebool -P $BOOLEAN=1." Cambiando el indicador "allow_ftpd_use_nfs" a verdadero permitirá este acceso: "setsebool -P allow_ftpd_use_nfs=1." Modificar el contexto a mnt_t permitirá el montaje del sistema de archivo: "chcon -t mnt_t '$TARGET_PATH'." También debe cambiar el archivo predeterminado de contexto de archivos en el sistema, para preservarlos aún cuando realice un reetiquetado completo. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Los dominios confinados no deberían requerir “sys_resource”. Esto normalmente significa que su sistema se está quedando sin algún recurso del sistema como espacio de disco, memoria, cuota, etc. Haga una limpieza de disco y este mensaje AVC debería desaparecer. Si este AVC persiste después de la limpieza de disco, por favor informe de esto como un error. Los procesos confinados se pueden configurar para ejecutarse con diferentes requerimientos de acceso, SELinux ofrece una serie de indicadores para permitir activar/desactivar estos accesos según sea necesario. Si los guiones httpd deben tener permiso de escritura sobre las carpetas públicas, es necesario activar el indicador $BOOLEAN y cambiar el contexto de archivos de la carpeta pública a public_content_rw_t. Consulte la página de manual httpd_selinux para obtener más información: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " También debe cambiar las etiquetas de contexto de archivo predeterminadas en el sistema con el fin de preservar el etiquetamiento de la carpeta pública incluso en un reetiquetamiento completo. "semanage fcontext -a -t public_content_rw_t " Si confía en que $TARGET_PATH se está ejecutando correctamente, puede cambiar el contexto de archivo a textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" También debe cambiar el contexto de archivo predeterminado de los archivos del sistema, para preservarlos incluso después de un reetiquetado completo. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" Si quiere que $SOURCE continúe, debe cambiar el valor de $BOOLEAN. Nota: este indicador afectará a todas las aplicaciones en el sistema. Si quiere que httpd pueda mandar correo, debe activar el indicador $BOOLEAN: "setsebool -P $BOOLEAN=1" Si quiere permitir que $SOURCE se asocie con el puerto $PORT_NUMBER, puede ejecutar # semanage port -a -t TIPO_DE_PUERTO -p %s $PORT_NUMBER donde TIPO_DE_PUERTO es uno de los siguientes: %s. Si este sistema se está ejecutando como un cliente NIS, la activación del indicador allow_ypbind podría corregir este problema. setsebool -P allow_ypbind=1. Si quiere permitir que $SOURCE se conecte a $PORT_NUMBER, ejecute # sandbox -X -t sandbox_net_t $SOURCE Si quiere permitir a $SOURCE conectarse al puerto $PORT_NUMBER, puede ejecutar # semanage port -a -t TIPO_DE_PUERTO -p %s $PORT_NUMBER donde TIPO_DE_PUERTO es uno de los siguientes: %s. Si quiere modificar el contexto de archivo de $TARGET_PATH para que el automontador pueda ejecutarlo, puede ejecutar "chcon -t bin_t $TARGET_PATH". Si quiere que se mantenga tras un reetiquetado, debe modificar permanentemente el contexto de archivo: ejecute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux impidió a $SOURCE acceder a $TARGET_PATH. Si se trata de un archivo de intercambio debería estar etiquetado con contexto de archivo swapfile_t. Si no intenta usar $TARGET_PATH como un archivo de intercambio probablemente se trate de un error; sin embargo, también podría indicar un intento de ataque. SELinux impidió a RSYNC acceder a $TARGET_PATH. Si es un repositorio RSYNC debería tener la etiqueta de contexto de archivo rsync_data_t. Si no pretende usar $TARGET_PATH como un repositorio rsync, esto podría indicar un error o un intento de ataque. SELinux denegó el acceso solicitado por $SOURCE. $SOURCE_PATH puede estar mal etiquetado. El tipo SELinux predeterminado para $SOURCE_PATH es %s, pero el actual es $SOURCE_TYPE. Cambiar este archivo de vuelta al predeterminado podría resolver su problema.

Este archivo puede haber sido mal etiquetado por un error de usuario, o si una aplicación normalmente confinada se ejecutó en un dominio erróneo.

De todas formas, esto también puede indicar un error en SELinux si el archivo no debiera estar etiquetado con este tipo.

Si cree que esto es un error, por favor abra un informe sobre este paquete. SELinux impidió el acceso solicitado por $SOURCE. Puede que $TARGET_PATH esté mal etiquetado. openvpn tiene permitido leer contenidos del directorio del usuario, siempre que esté correctamente etiquetado. SELinux impidió el acceso solicitado por $SOURCE. $TARGET_PATH puede estar mal etiquetado. sshd tiene permitido leer contenidos de /root/.ssh, siempre que el directorio esté correctamente etiquetado. SELinux impidió el acceso solicitado por $SOURCE. No se esperaba que este acceso fuera requerido por $SOURCE y ésto podría indicar un intento de ataque. También es posible que la versión específica o la configuración de la aplicación esté causando este requerimiento de acceso adicional. SELinux impidió el acceso solicitado por $SOURCE. Podría tratarse de un intento de ataque, pues no se esperaba esta solicitud de $SOURCE. También es posible que la versión o configuración concreta de la aplicación lo esté causando al necesitar acceso adicional. mozplugger y spice-xpi ejecutan aplicaciones dentro de los complementos mozilla que requieren acceso al escritorio, que el bloqueo mozilla_plugin no permitirá, de modo que debe desactivar el bloqueo mozilla_plugin o no usar estos paquetes. SELinux impidió el acceso solicitado por $SOURCE. Podría tratarse de un intento de ataque, pues no se esperaba esta solicitud de $SOURCE. También es posible que la versión o configuración concreta de la aplicación lo esté causando al necesitar acceso adicional. spice-xpi ejecuta aplicaciones dentro de los complementos mozilla que requieren acceso al escritorio, que el bloqueo mozilla_plugin no permitirá, de modo que debe desactivar el bloqueo mozilla_plugin o no usar estos paquetes. SELinux impidió el acceso solicitado por el comando $SOURCE. Parece que éste es un descriptor de archivo filtrado o la salida de $SOURCE fue redirigida a un archivo sobre el cual no tiene acceso. Los filtros usualmente son ignorados dado que SELinux simplemente los cierra e informa del error. La aplicación no usa el descriptor, por lo que funcionará apropiadamente. Si esta es una redirección, no obtendrá la salida en $TARGET_PATH. Debe generar un informe en bugzilla sobre selinux-policy, y será enviado al paquete apropiado. Puede ignorar sin problemas este avc. SELinux impidió el acceso a $TARGET_PATH solicitado por $SOURCE. $TARGET_PATH tiene un contexto usado para ser compartido por distintos programas. Si quiere compartir $TARGET_PATH también desde $SOURCE, necesita cambiar su contexto de archivo a public_content_t. Si no pretende permitir este acceso, ésto podría indicar un intento de ataque. SELinux impidió a cvs el acceso a $TARGET_PATH. Si éste es un repositorio CVS, debería tener la etiqueta de contexto de archivo cvs_data_t. Si su intención no es usar $TARGET_PATH como un repositorio CVS, esto podría indicar un error o un intento de ataque. SELinux impidió a samba el acceso a $TARGET_PATH. Si quiere compartir esta carpeta con samba, debe tener el contexto de archivo etiquetado como samba_share_t. Si no pretende utilizar $TARGET_PATH como un repositorio samba, este mensaje podría indicar un error o un intento de ataque. Vea 'man samba_selinux' para obtener mayor información acerca de la configuración de Samba y SELinux. SELinux impidió a xen acceder a $TARGET_PATH. Si ésta es una imagen XEN, debería tener un contexto de archivo etiquetado como xen_image_t. El sistema está configurado para etiquetar correctamente los archivos de imagen en la carpeta /var/lib/xen/images. Le recomendamos que copie su archivo de imagen a /var/lib/xen/images. Si realmente quiere mantener su archivo de imagen xen en su carpeta actual, puede reetiquetar $TARGET_PATH para que sea un archivo xen_image_t utilizando chcon. También necesitará ejecutar semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' para añadir esta nueva ruta a las predeterminadas del sistema. Si no pretende utilizar $TARGET_PATH como una imagen xen, ésto podría indicar un error o un intento de ataque. SELinux impidió a $SOURCE conectarse al puerto de red $PORT_NUMBER, que no tiene ningún tipo SELinux asociado. Si $SOURCE debería poder conectarse al puerto $PORT_NUMBER, use el comando semanage para asignar $PORT_NUMBER a un tipo de puerto al que $SOURCE_TYPE se pueda conectar (%s). Si $SOURCE no debería conectarse al puerto $PORT_NUMBER, esto podría indicar un intento de ataque. SELinux impidió a $SOURCE conectarse al puerto de red $PORT_NUMBER dentro de un entorno limitado. Si $SOURCE debería poder conectarse a $PORT_NUMBER, necesita usar un tipo de entorno diferente, como sandbox_web_t o sandbox_net_t. Para ello ejecute: # sandbox -X -t sandbox_net_t $SOURCE Si se supone que $SOURCE no debería conectarse a $PORT_NUMBER, este aviso podría indicar un intento de ataque. SELinux impidió a $SOURCE acceder a archivos potencialmente mal etiquetados $TARGET_PATH. Ésto significa que SELinux no permitirá a httpd utilizar estos archivos. Si httpd debería tener permitido acceder a estos archivos puede cambiar el contexto de archivo a uno de los siguientes tipos, %s. Muchas aplicaciones de terceros instalan archivos html en carpetas que la política de SELinux no puede predecir. Estas carpetas deben ser etiquetadas con el contexto de archivos que permita su acceso por httpd. SELinux impidió a $SOURCE enlazarse al puerto de red $PORT_NUMBER que no tiene un tipo SELinux asociado a él. Si a $SOURCE debería permitírsele escuchar en $PORT_NUMBER, utilice el comando semanage para asignar $PORT_NUMBER a un tipo de puerto al que $SOURCE_TYPE pueda enlazarse con (%s). Si $SOURCE no debería poder enlazarse al puerto $PORT_NUMBER, ésto podría indicar un intento de ataque. SELinux impidió a $SOURCE mapear un área inferior del espacio de direcciones del kernel. La posibilidad de realizar esta acción está configurada en /proc/sys/kernel/mmap_min_addr. Prevenir estas asignaciones ayuda a protegerse contra errores de derreferencia de punteros nulos en el kernel. Todas las aplicaciones que necesiten este acceso, deberían tener alguna política definida para ello. Si una aplicación comprometida intenta modificar el kernel, se generará este AVC. Éste es un problema serio. Su sistema puede estar comprometido. SELinux impidió a $SOURCE_PATH ejecutar archivos potencialmente mal etiquetados $TARGET_PATH. El automontador se puede configurar para ejecutar archivos de configuración, si $TARGET_PATH es un archivo de configuración ejecutable de automount, necesitará tener la etiqueta bin_t. Que el automontador esté intentando ejecutar algo que no debería podría indicar un intento de ataque. SELinux impidió al demonio http el envío de correo-e. Un guión de httpd está intentando conectarse a un puerto de correo o ejecutar sendmail. Si no configuró a httpd para usar sendmail, esto podría indicar un intento de ataque. SELinux impidió a $SOURCE cargar un módulo del kernel. Todos los programas confinados que necesiten cargar módulos del kernel deberían tener políticas definidas que les permitan hacerlo. Si una aplicación vulnerada intenta modificar el kernel, se generará este AVC. Este es un problema serio. Su equipo muy probablemente puede estar comprometido. SELinux impidió a $SOURCE modificar $TARGET. Esta negación muestra que $SOURCE intentaba modificar la política de configuración de selinux. Todas las aplicaciones que necesiten este acceso, deberían haber tenido algún tipo de política definida. Si una aplicación vulnerada intenta modificar la política de selinux, este AVC será generado. Este es un problema serio. Su sistema puede estar comprometido. SELinux impidió a $SOURCE modificar $TARGET. Esta denegación indica que $SOURCE estaba intentando modificar la forma en que se ejecuta el kernel, o que en realidad estaba intentando insertar código en él Todas las aplicaciones que necesiten este acceso deberían tener alguna política definida para ello. Si una aplicación comprometida trata de modificar el kernel, se genera este AVC. Este es un problema serio. Su sistema puede estar comprometido. SELinux impidió a $SOURCE escribir en un archivo bajo /sys/fs/selinux. Los archivos en /sys/fs/selinux controlan la forma en que SELinux está configurado. Todos los programas que necesiten escribir en /sys/fs/selinux ya deberían tener alguna política escrita para esos accesos. Si una aplicación comprometida intenta desactivar SElinux, se generará este AVC. Este es un problema serio. Su sistema puede estar comprometido. SELinux impidió a vbetool ejecutar una operación insegura de memoria. SELinux negó a wine hacer uso inseguro de la memoria. SELinux está evitando que $SOURCE cree un archivo con el contexto $SOURCE_TYPE en un sistema de archivo. Normalmente esto pasa cuando se le pide al comando cp que mantenga el contexto de un archivo cuando copia de un sistema de archivo a otro, por ejemplo con "cp -a". No todos los contextos de archivo se deben mantener entre sistemas de archivo. Por ejemplo, un tipo de archivo sólo lectura como el iso9660_t no debe ser puesto en un sistema que permita la escritura. "cp -p" puede ser una mejor solución, dado que adoptará el contexto de archivo por defecto en el destino. SELinux está impidiendo a $SOURCE_PATH el acceso "$ACCESS" sobre $TARGET_PATH. SELinux está impidiendo a $SOURCE_PATH el acceso "$ACCESS" a $TARGET_PATH. SELinux está negando a $SOURCE_PATH el acceso "$ACCESS" al dispositivo $TARGET_PATH. SELinux le está negando a $SOURCE_PATH el acceso "$ACCESS" a $TARGET_PATH. SELinux está impidiendo a $SOURCE_PATH acceder a un descriptor de archivo de $TARGET_PATH filtrado. SELinux está impidiendo a $SOURCE_PATH enlazarse al puerto $PORT_NUMBER. SELinux está impidiendo a $SOURCE_PATH cambiar la protección de acceso de la memoria heap. SELinux está impidiendo a $SOURCE_PATH conectarse al puerto $PORT_NUMBER. SELinux está previniendo acerca de la intención de $SOURCE_PATH de crear un archivo con el contexto $SOURCE_TYPE en un sistema de archivo. SELinux está impidiendo a $SOURCE_PATH cargar $TARGET_PATH, lo cual requiere una reubicación de texto. SELinux está impidendo a $SOURCE_PATH hacer ejecutable la pila del programa. SELinux está negando a $SOURCE_PATH la capacidad "$ACCESS". SELinux está impidiendo a $SOURCE_PATH la capacidad "sys_resource". SELinux está impidiendo a Samba ($SOURCE_PATH) el acceso "$ACCESS" a $TARGET_PATH. SELinux está impidiendo a cvs ($SOURCE_PATH) el acceso "$ACCESS" a $TARGET_PATH. SELinux está impidiendo a $SOURCE ejecutar archivos potencialmente mal etiquetados $TARGET_PATH. SELinux está impidiendo al demonio http el envío de correo-e. SELinux está negando a xen ($SOURCE_PATHcp La política de SELinux está impidiendo a un guión de httpd escribir en una carpeta pública. La política de SELinux está impidiendo a un guión httpd escribir en una carpeta pública. Si no se configuró httpd para escribir en carpetas públicas, esto podría indicar un posible ataque. SELinux impidió a $SOURCE montar un sistema de archivos sobre el archivo o carpeta "$TARGET_PATH" del tipo "$TARGET_TYPE". Por defecto, SELinux limita el montaje de sistemas de archivo sólo a algunos archivos o carpetas (aquellos con tipos con el atributo de punto de montaje). El tipo "$TARGET_TYPE" no tiene este atributo. Puede cambiar la etiqueta del archivo o carpeta. SELinux impidió a $SOURCE montar sobre el archivo o carpeta "$TARGET_PATH" (tipo "$TARGET_TYPE"). SELinux evitó acceso httpd $ACCESS a $TARGET_PATH. Los scripts de httpd no tienen permitido modificar contenidos sin etiquetado específico de todos los archivos. Si $TARGET_PATH es contenido modificable necesita ser etiquetado como httpd_sys_rw_content_t, o , si todo lo que necesita es agregar, se lo puede etiquetar conmo httpd_sys_ra_content_t. Por favor, lea 'man httpd_selinux' para más información sobre la configuración de httpd y selinux. SELinux impidió a http el acceso $ACCESS a archivos http. Lo normal es que a httpd se le garantice acceso completo a todos los archivos etiquetados con contexto de archivo http. Esta máquina tiene una política de seguridad muy estricta con $BOOLEAN deshabilitado, con lo que necesita un etiquetado explícito de todos los archivos. Si un archivo es un script cgi necesita ser etiquetado con httpd_TYPE_script_exec_t para poder ser ejecutado. Si su contenido es de solo lectura, necesita ser reetiquetado como httpd_TYPE_content_t, si su contenido es de escritura, necesita ser reetiquetado como httpd_TYPE_script_rw_t o httpd_TYPE_script_ra_t. Puede utilizar el comando chcon para modificar los contextos. Por favor consulte la página man "man httpd_selinux" o FAQ "TYPE" se refiere a "sys", "user" o "staff" o potencialmente otro tipo de script. SELinux le negó acceso httpd $ACCESS a archivos http. SELinux impidió al demonio ftp el acceso $ACCESS sobre los archivos almacenados en un sistema de archivo CIFS. SELinux impidió al demonio ftp el acceso $ACCESS sobre los archivos almacenados en un sistema de archivos CIFS. CIFS (Sistema de Archivos Común de Internet) es un sistema de archivos de red similar a SMB (http://www.microsoft.com/mind/1196/cifs.asp) El demonio ftp intentó leer uno o más archivos o carpetas de un sistema de archivos montado de este tipo. Como los sistemas de archivos CIFS no ofrecen soporte adecuado para el etiquetado SELinux, todos los archivos y carpetas en el sistema de archivos tendrán el mismo contexto de seguridad. Si no configuró al demonio ftp para leer archivos de un sistema de archivos CIFS, este acceso podría indicar un intento de ataque. SELinux negó al demonio ftp $ACCESS a archivos almacenados en un sistema de archivos NFS. SELinux impidió al demonio ftp el acceso $ACCESS sobre archivos almacenados en un sistema de archivos NFS. NFS (Sistema de Archivo de Red) es un sistema de archivos de red comúnmente usado en sistemas Unix/Linux El demonio ftp intentó leer uno o mas archivos o carpetas desde un sistema de archivo montado de este tipo. Como los sistemas de archivos NFS no dan soporte a un etiquetado de archivo más fino, todos los archivos y carpetas en el sistema de archivos tendrán el mismo contexto de seguridad. Si no ha configurado al demonio ftp para leer archivos en un sistema de archivos NFS, este acceso podría indicar un intento de ataque. En ocasiones se marcan bibliotecas con execstack por error. Si encuentra una biblioteca con esta etiqueta, puede desactivarla con execstack -c RUTA_BIBLIOTECA. Después, vuelva a intentar ejecutar la aplicación. Si aún así la aplicación sigue sin funcionar, puede volver a activar la etiqueta mediante execstack -s RUTA_BIBLIOTECA. La aplicación $SOURCE intentó cambiar la protección de acceso de memoria en la memoria heap (por ejemplo, la obtenida usando malloc). Este es un problema potencial de seguridad. Las aplicaciones nunca deberían hacer esto. A veces, las aplicaciones se programan de manera incorrecta y requieren este permiso. La página web Pruebas de protección de memoria en SELinux explica cómo eliminar este requerimiento. Si $SOURCE no funciona y necesita que funcione, puede configurar SELinux para que permita temporalmente este acceso hasta que la aplicación sea corregida. Por favor, elabore un informe del error a nombre de para este paquete. La aplicación $SOURCE intentó cargar $TARGET_PATH, que requiere reubicación de texto. Esto es un posible problema de seguridad. La mayoría de las bibliotecas no necesitan este permiso, pero a veces están programadas incorrectamente y lo solicitan. La página web de Pruebas de protección de memoria en SELinux explica cómo eliminar este requerimiento. Puede configurar SELinux para que temporalmente permita a $TARGET_PATH usar la reubicación mientras se corrige la biblioteca. Por favor, elabore un informe de error. La aplicación $SOURCE intentó cargar $TARGET_PATH que requiere reubicación de texto. Esto es un posible problema de seguridad. La mayoría de las bibliotecas no necesitan este permiso. La página web de Pruebas de Protección de Memoria en SELinux explica en qué consiste esta comprobación. Esta herramienta examinó la biblioteca y parece que fue construida correctamente, así que setroubleshoot no puede determinar si esta aplicación está comprometida o no. Puede tratarse de algo serio. Bien puede ser que su sistema esté comprometido. Contacte con su administrador de seguridad e informe de este problema. La aplicación $SOURCE intentó hacer su pila ejecutable. Éste es un problema potencial de seguridad. Ésto nunca debería ser necesario. La memoria de la pila no es ejecutable en la mayoría de los sistemas operativos actuales y esto no va a cambiar. Una memoria de pila ejecutable es uno de los mayores problemas de seguridad que existen. Un error de ejecución de pila puede ser resultado en realidad de algún código malicioso. Las aplicaciones a veces son programadas incorrectamente y requieren este permiso. La página web de Pruebas de protección de memoria en SELinux explica cómo eliminar este requerimiento. Si $SOURCE no funciona y necesita que lo haga, puede configurar SELinux para que permita temporalmente este acceso hasta que se corrija la aplicación. Por favor, elabore un informe de errores. Use un comando como "cp -p" para preservar todos los permisos excepto el contexto SELinux. Puede cambiar el contexto de archivo ejecutando chcon -R -t cvs_data_t '$TARGET_PATH' También debe cambiar los archivos de contextos predeterminados del sistema, para preservarlos incluso después de un reetiquetado completo. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" Puede modificar el contexto de archivo ejecutando chcon -R -t rsync_data_t '$TARGET_PATH' También debe cambiar el archivo predeterminado de contexto de archivos en el sistema, para que se preserven incluso después de un reetiquetado completo. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" Puede modificar el contexto de archivo ejecutando chcon -R -t samba_share_t '$TARGET_PATH' También debe cambiar el archivo predeterminado de contexto de archivos en el sistema, para preservarlos incluso después de un reetiquetado completo. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" Puede modificar el contexto de archivo ejecutando chcon -t public_content_t '$TARGET_PATH' También debe cambiar el archivo predeterminado de contexto de archivos en el sistema, para preservarlos incluso después de un reetiquetado completo. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" Puede cambiar el contexto de archivo ejecutando chcon -t swapfile_t '$TARGET_PATH' También debe cambiar el archivo predeterminado de contexto de archivos en el sistema, para preservarlos incluso después de un reetiquetado completo. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" Puede modificar el contexto de archivo chcon -t virt_image_t '$TARGET_PATH' También debe cambiar el archivo predeterminado de contexto de archivos en el sistema, para preservarlos incluso después de un reetiquetado completo. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" Puede modificar el contexto de archivo ejecutando chcon -t xen_image_t '$TARGET_PATH' También debe cambiar el archivo predeterminado de contexto de archivos en el sistema, para preservarlos incluso después de un reetiquetado completo del sistema. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" Puede ejecutar el siguiente comando como root para reetiquetar su sistema: "touch /.autorelabel; reboot" Puede generar un módulo de política local para permitir este acceso. Vea FAQ Por favor, informe este error. Puede generar un módulo de política local para permitir este acceso. Vea FAQ Puede restaurar el contexto predeterminado del sistema para este archivo ejecutando el comando restorecon: # restorecon -R /root/.ssh Puede restaurar el contexto predeterminado del sistema para este archivo ejecutando el comando restorecon # restorecon -R /root/.ssh Puede restaurar el contexto predeterminado del sistema para este archivo ejecutando el comando restorecon. restorecon '$SOURCE_PATH'. Puede restaurar el contexto predeterminado del sistema para este archivo ejecutando el comando restorecon. restorecon '$TARGET_PATH', si este archivo es una carpeta, puede aplicar restore recursivamente ejecutando restorecon -R '$TARGET_PATH'. ¡Su sistema puede estar seriamente comprometido! ¡Su sistema puede estar seriamente comprometido! $SOURCE_PATH intentó mapear la memoria baja del kernel. ¡Su sistema puede estar seriamente comprometido! $SOURCE_PATH intentó cargar un módulo del kernel. ¡Su sistema puede estar seriamente comprometido! $SOURCE_PATH intentó modificar el estado actual de SELinux. ¡Su sistema puede estar seriamente comprometido! $SOURCE_PATH intentó modificar la configuración del kernel. Inhabilte IPV6 correctamente. Elimine el paquete mozplugger ejecutando 'yum remove mozplugger' O deshabilite la obediencia de SELinux sobre los complementos de Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Elimine los paquetes mozplugger y spice-xpi ejecutando 'yum remove mozplugger spice-xpi', o bien desactive la aplicación de SELinux sobre los complementos de Firefox con: setsebool -P unconfined_mozilla_plugin_transition 0 Elimine los paquetes mozplugger y spice-xpi ejecutando 'yum remove mozplugger spice-xpi', o bien desactive la aplicación de SELinux sobre los complementos de Chrome con: setsebool -P unconfined_chrome_sandbox_transition 0 Si decide continuar ejecutando el programa en cuestión, necesitará permitir esta operación. Esto se puede hacer por la línea de comando ejecutando: # setsebool -P mmap_low_allowed 1 SELinux impidió una operación solicitada por $SOURCE, un programa usado para alterar el estado del hardware de vídeo. Este programa es conocido por usar una operación insegura en la memoria del sistema por lo que hay un número de programas malware/exploit que se enmascaran como vbetool. Esta herramienta se usa para resetear el estado del vídeo cuando una máquina se reanuda desde una suspensión. Si su máquina no está reanudando apropiadamente, su única opción es permitir esta operación y reducir la seguridad de su sistema contra este tipo de malware. SELinux negó una operación pedida por el precargador de wine, un programa usado para ejecutar una aplicación Windows bajo Linux. Este programa es conocido por usar una operación insegura sobre la memoria del sistema y también hay muchos programas malware/exploit que se enmascaran como wine. Si estuvo intentando ejecutar un programa Windows, su única opción es permitir esta operación y reducir la seguridad del sistema contra esos malware o abstenerse de ejecutar aplicaciones Windows bajo Linux. Si no está intentando ejecutar una aplicación Windows, esto indica que puede estar bajo ataque de alguno de los malware o programas que explotan su sistema con fines nefastos. Por favor, vea en http://wiki.winehq.org/PreloaderPageZeroProblem donde se delinean todos los demás problemas de wine descubiertos debido a su uso inseguro de la memoria y las soluciones a esos problemas. Active auditoría completa # auditctl -w /etc/shadow -p w Intente recrear el AVC. Luego ejecute # ausearch -m avc -ts recent Si observa un registro PATH compruebe los permisos y propietarios del archivo y corríjalos, o bien abra un informe en bugzilla. Intentó poner un tipo en un %s que no es un tipo de archivo. Esto no se permite, le debe asignar un tipo de archivo. Puede listar todos los tipos de archivo usando el comando seinfo. seinfo -afile_type -x Cambiando los indicadores "$BOOLEAN" y "$WRITE_BOOLEAN" a 1 permitirá este acceso: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". Advertencia: poner el valor de "$WRITE_BOOLEAN" a 1 permitirá al demonio ftp escribir a todo el contenido público (archivos y carpetas con el tipo public_content_t) además de escribir a archivos y carpetas en sistemas de archivos CIFS. Cambiando los indicadores "allow_ftpd_use_nfs" y "ftpd_anon_write" a 1 se permitirá este acceso: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". Advertencia: poner ftpd_anon_write a 1 permitirá al demonio ftp escribir sobre todo el contenido público (archivos y carpetas con el tipo public_content_t) además de escribir archivos y carpetas en sistemas de archivos NFS.# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M mi-$SOURCE # semodule -X 300 -i mi-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' donde FILE_TYPE es uno de los siguientes: %s. Luego ejecute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t TIPO_DE_PUERTO -p %s $PORT_NUMBER donde TIPO_DE_PUERTO es uno de los siguientes: %s. Un proceso podría estar intentando atacar a su sistema.Añada net.ipv6.conf.all.disable_ipv6 = 1 a /etc/sysctl.conf Permita el acceso temporalmente ejecutando: # ausearch -c '$SOURCE' --raw | audit2allow -M mi-$MODULE_NAME # semodule -X 300 -i mi-$MODULE_NAME.ppCambiar el contexto del archivo.Cambiar etiquetaCambiar la etiqueta de la biblioteca.Póngase en contacto con su administrador de seguridad e informe de este problema.Desactivar los controles SELinux sobre las extensiones de ChromeActivar indicadoresActivar indicadores.Si $TARGET_BASE_PATH es un destino de virtualizaciónSi se debe compartir $TARGET_BASE_PATH mediante el demonio RSYNCSi se debe compartir $TARGET_BASE_PATH mediante el demonio cvsSi cree que se debería permitir a $SOURCE_BASE_PATH crear archivos $TARGET_BASE_PATHSi cree que $SOURCE_PATH ha intentado desactivar SELinux.Si cree que %s no debería necesitar una pila ejecutableSi cree que de manera predeterminada se debería permitir a $SOURCE_BASE_PATH ell acceso $ACCESS sobre $TARGET_CLASS etiquetados como $TARGET_TYPE.Si cree que de manera predeterminada se debería permitir a $SOURCE_BASE_PATH el acceso $ACCESS sobre procesos etiquetados como $TARGET_TYPE.Si cree que de manera predeterminada se debería permitir a $SOURCE_BASE_PATH el acceso $ACCESS sobre $TARGET_BASE_PATH $TARGET_CLASS. Si cree que $SOURCE_BASE_PATH debería tener la capacidad de $ACCESS de forma predeterminada.Si no provocó directamente este AVC mediante una prueba.Si no cree que $SOURCE_PATH deba intentar modificar el kernel cargando un módulo del kernel.Si no cree que $SOURCE_PATH deba intentar modificar el kernel cargando un módulo del kernelSi no cree que $SOURCE_BASE_PATH deba intentar accesos $ACCESS sobre $TARGET_BASE_PATH.Si no cree que $SOURCE_PATH necesite mapear memoria que sea a la vez ejecutable y modificable. Si no cree que $SOURCE_PATH necesite mapear memoria de pila que sea tanto ejecutable como modificable.Si no cree que $SOURCE_PATH debería necesitar realizar un mmap sobre la baja memoria en el kernel.Si no quiere que los procesos requieran del uso de capacidades para agotar todos los recursos de su sistema;Si cree que es a causa de una máquina mal etiquetada.Si quiere %sSi quiere permitir que $SOURCE_BASE_PATH sea montado en $TARGET_BASE_PATH.Si desea permitir que $SOURCE_PATH pueda escribir sobre contenidos públicos compartidosSi quiere permitir que $SOURCE_PATH se asocie al puerto de red $PORT_NUMBERSi quiere permitir a $SOURCE_PATH conectarse al puerto de red $PORT_NUMBERSi quiere permitir a ftpd escribir sobre sistemas de archivos cifsSi quiere permitir a ftpd escribir sobre sistemas de archivos nfsSi quiere permitir que httpd ejecute scripts cgi y unificar la gestión de HTTPD de todos los archivos de contenido.Si quiere permitir que httpd envíe correosNo está permitido cambiar la etiqueta de $TARGET_PATH a %s, porque no es un tipo de archivo válido.Si quiere desactivar IPV6 en esta máquinaSi quiere corregir la etiqueta. La etiqueta predeterminada de $SOURCE_PATH debería ser %s.Si quiere corregir la etiqueta. La etiqueta predeterminada de $TARGET_PATH debería ser %s.Si desea ayudar a identificar si el dominio necesita este acceso o bien tiene un archivo con permisos equivocados en el sistemaSi quiere ignorar los intentos de $SOURCE_BASE_PATH de realizar accesos $ACCESS a $TARGET_BASE_PATH $TARGET_CLASS porque considera que no debería necesitar ese acceso.Si quiere ignorar este AVC por su peligro y porque parece que el sistema esté funcionando correctamente.Si quiere ignorar este AVC por su peligro y porque parece que sus aplicaciones wine están funcionando correctamente.Si quiere modificar la etiqueta de $TARGET_BASE_PATH de modo que $SOURCE_BASE_PATH pueda tener acceso $ACCESSSi quiere mover $TARGET_BASE_PATH a una ubicación estándar, de modo que $SOURCE_BASE_PATH pueda tener acceso $ACCESSSi quiere continuar usando la contención de SELinux para complementos de Firefox en vez de usar el paquete mozpluggerSi quiere tratar $TARGET_BASE_PATH como contenido públicoSi quiere usar el paquete %sRestaurar ContextoRestaurar ContextoSELinux está impidiendo a $SOURCE_PATH el acceso "$ACCESS". Esto se debe a un sistema de archivos recién creado.Apagar la protección de memoriaPuede leer la página de manual '%s' para más detalles.Podría haber sido atacado.Debe informar a SELinux de ello activando el indicador '%s'. Necesita modificar la etiqueta en $FIX_TARGET_PATHNecesita modificar la etiqueta en $TARGET_BASE_PATHnecesita modificar la etiqueta en $TARGET_BASE_PATH a public_content_t o public_content_rw_t.Necesita modificar la etiqueta a $TARGET_BASE_PATH'Necesita modificar la etiqueta en $TARGET_PATH con el tipo de un dispositivo similar.Necesita modificar la etiqueta a '$FIX_TARGET_PATH'Debería reportar esto como un error. Puede generar un módulo de política local para permitir este acceso.Debería reportar esto como un error. Puede generar un módulo de política local para no auditar este acceso.execstack -c %ssi piensa que ha sido víctima de un ataquesetsebool -P %s %sactive la auditoría completa para obtener información de la ruta relacionada con el archivo conflictivo, y vuelva a generar el error.utilice un comando como "cp -p" para preservar todos los permisos excepto el contexto SELinux. puede ejecutar restorecon.puede ejecutar restorecon. Es posible que no se haya permitido el acceso por falta de permisos a un directorio superior, en cuyo caso tendrá que modificar el siguiente comando.podría estar siendo víctima de un ataque, ya que las aplicaciones confinadas nunca deberían necesitar este acceso.podría estar siendo víctima de un ataque, ya que las aplicaciones confinadas no deberían necesitar este tipo de acceso.podría estar siendo víctima de un ataque, este es un acceso muy peligroso.debe modificar el etiquetado sobre $TARGET_PATH.debe arreglar las etiquetas.debe mover el archivo cert a la carpeta ~/.certdebe elegir una etiqueta de archivo válida.debe eliminar el paquete mozplugger.debe configurar a SELinux para permitir esto.debe informar de esto a SELinuxdebe informarle a SELinux activando los indicadores 'httpd_unified' y 'http_enable_cgi'debe informarle a SELinux activando el indicador vbetool_mmap_zero_ignore. debe informarle a SELinux activando el indicador wine_mmap_zero_ignore.debe desactivar los controles SELinux sobre las extensiones de Chrome.debe deshabilitar los controles de SELinux en los complementos de Firefox.necesita añadir etiquetas.debe cambiar la etiqueta de $TARGET_PATH a public_content_rw_t, y tal vez activar el indicador allow_httpd_sys_script_anon_write.debe encontrar la causa por la que su sistema se está quedando sin recursos y corregir el problema. Según /usr/include/linux/capability.h, se necesita sys_resource para: /* Sobrescribir los límites de recursos. Fijar los límites de recursos. */ /* Sobrescribir los límites de cuota. * /* Sobrescribir el espacio reservado en sistemas de archivos ext2 */ /* Modificar el modo de journaling en sistemas de archivos ext3 (usa recursos de journaling) */ /* NOTA: ext2 tiene en cuenta a fsuid en la comprobación a la hora de sobrescribir recursos, de forma que puede sobrescribirlos también por medio de fsuid */ /* Sobrescribir las restricciones de tamaño de las colas de mensaje IPC */ /* Permitir interrupciones de más de 64hz desde el reloj de tiempo real */ /* Sobrescribir el número máximo de consolas en la reserva de consolas */ /* Sobrescribir el número máximo de mapas de teclado */ necesita reetiquetar completamente.necesita modificar el tipo de entorno limitado. sandbox_web_t o sandbox_net_t. Por ejemplo: sandbox -X -t sandbox_net_t $SOURCE_PATH Para mas detalles, por favor lea las páginas man de 'sandbox'. necesita informar de un error. Este es un acceso potencialmente peligroso.necesita informar de un error. Éste es un acceso potencialmente peligroso.necesita establecer /proc/sys/net/ipv6/conf/all/disable_ipv6 a 1 y no poner en lista negra el módulo'necesita utilizar un comando diferente. No tiene permitido preservar el contexto SELinux en el sistema de archivos elegido.debería eliminar la etiqueta execstack y verificar que $SOURCE_PATH funcione correctamente. Informe de esto como un error en %s. Puede eliminar la etiqueta execstack ejecutando: