eaiovnaovbqoebvqoeavibavo 43L1:8sVzgh9|(EH -R;!"t(#I#~$f%,$& Q'[(mw)+1k2/3 M4Z6.X8b:;=>QAJCEGIJ7LNQPTBQR9TUSWPWMXN^ZNZUZGR[][O[kH\R\q]fy]V]F7^K~^V^E!_Sg_j_B&`Ti`T`^crc4dte4fZg?.kZnkkY|nUn6,qcrCt6w#yX| 4}B~Sf |  zՅp 3e)_efUيrJIՏDbޗA\՘b2\+c7< %ś:*&Qa/r:8ݜT5k4x֝tOyĞT>7m˟a9UefWNg :uE¢NFWI76 cW'p+TGGȥuf hlj]hȨ81!j/̩4ܩ$.6e{,ê?ߪ01P]2K2_]cT,ddN Xp_-]E-1_4x!'ϰ$ _=RO9@:zӲ_#>BA.^psϷCڸ9fл7pY-zI\h3yKN)dxcA9VO"=rUdvHh~U,a||7 */ iZ f R+]~]d:Vn]eq]5w"]T_Meic}Uackimf"!V$s#%%q$)),^g.147p;!K<&m=->/?#@'BL>CD4E+FFGHHII JxJyKxK1L4LMMNObjR8VXYZb{\\\]b]\O^+^p^LI_K__*` `6`6`E2aExaa a5aH&bIobhbN"cGqcchdeee@f[fufkZgvgy=h\hsiPiiIiL:jaj^j;Hk6k|k/8l~hl1lPmSjmmIncnr^ooQpip;DqqVq q q< r:GrDr rrDs%KsMqs7s?sd7t9tSt9*uduuov:vv|vfJw)wwx8yUy4z$Mz9rz5z/z8{,K{lx{`{]F|I|J|$9}^}},|S~S҂j&8) wGD^$o.5%z;:T@pRt!u6C3x0W`_~+'hJI egB|Y*ci,yrH}NA21sq 9&kS7[V-MUL(FEK<v "fX>4]njm =# /{\?dPlaObQZ dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. $TARGET_PATH default SELinux type is %s, but its current type is $TARGET_TYPE. Changing this file back to the default type may fix your problem.

File contexts can be assigned to a file in the following ways.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied svirt access to $TARGET_PATH. If this is a virtualization image, it has to have a file context label of virt_image_t. The system is setup to label image files in directory./var/lib/libvirt/images correctly. We recommend that you copy your image file to /var/lib/libvirt/images. If you really want to have your image files in the current directory, you can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied svirt access to the block device $TARGET_PATH. If this is a virtualization image, it needs to be labeled with a virtualization file context (virt_image_t). You can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing access to a file labeled unlabeled_t. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux permission checks on files labeled unlabeled_t are being denied. unlabeled_t is a context the SELinux kernel gives to files that do not have a label. This indicates a serious labeling problem. No files on an SELinux box should ever be labeled unlabeled_t. If you have just added a disk drive to the system, you can relabel it using the restorecon command. For example if you saved the home directory from a previous installation that did not use SELinux, 'restorecon -R -v /home' will fix the labels. Otherwise you should relabel the entire file system. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Change the file label to xen_image_t.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRelabel the whole file system. Includes reboot!Restore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.Set the image label to virt_image_t.This is caused by a newly created file system.Try to fix the label.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: POT-Creation-Date: 2021-09-07 17:26+0200 PO-Revision-Date: 2021-09-04 17:04+0000 Last-Translator: simmon Language-Team: Korean Language: ko MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=1; plural=0; X-Generator: Weblate 4.8 \tdac_override 및 dac_read_search 기능은 일반적으로 root 프로세스가 권한 플래그를 기반으로 하는 파일에 액세스할 수 없는 것을 표시합니다. 이는 일반적으로 사용자가 일부 파일에 대해 잘못된 소유권/권한을 가지고 있음을 의미합니다. SELinux는 $SOURCE에 의해 요청된 접근을 거부합니다. $SOURCE에 의해 요청된 접근를 예상하지 못했으며 이러한 접근은 침입을 시도했다는 신호를 나타낼 수 있습니다. 이는 응용프로그램의 특정 버전 또는 설정이 추가적 접근을 필요로 하기 때문일 수 도 있습니다. SELinux는 $SOURCE에 의해 요청된 액세스를 거부합니다. 현재 boolean 설정은 이러한 접근를 허용하지 않습니다. 이러한 접근를 허용하기 위해 $SOURCE를 설정하지 않은 경우 침입시도 신호가 나타날 수 있습니다. 이 접근을 허용하고자 할 경우 시스템의 부울을 변경하여 접근을 허용합니다. SELinux가 거부되었습니다. $SOURCE "$ACCESS"장치에 대한 접근 $TARGET_통로. $TARGET_PATH의 레이블이 잘못 지정되면이 장치는 / dev 디렉토리의 기본 이름표을 갖습니다. 모든 문자 및 / 또는 블록 장치에는 레이블이 있어야합니다. restorecon -v '$TARGET_PATH'. $TARGET_통로'. 이 장치에 device_t라는 이름표가 지정되어 있으면 SELinux 정책의 결점입니다. 결점 보고서를 제출하십시오. 다른 비슷한 장치 레이블 인 ls -lZ / dev / simil을보고 다음과 같은 유형의 장치를 찾으십시오. $TARGET_PATH를 사용하면 chcon -t SIMILAR_TYPE '$TARGET_PATH ',이 문제가 해결되면 semanage fcontext -a -t SIMILAR_TYPE'을 실행하여이 문제를 해결할 수 있습니다. $FIX_TARGET_PATH 'restorecon이 컨텍스트를 변경하면 장치를 작성한 응용 프로그램이 SELinux API를 사용하지 않고 작성되었음을 나타냅니다. 어떤 응용 프로그램이 장치를 만들 었는지 알 수 있다면이 응용 프로그램에 대한 결점 보고서를 제출하십시오. restorecon -v '$TARGET_PATH' 또는 chcon -t SIMILAR_TYPE '$TARGET_PATH' 시도 "$BOOLEAN" 부울을 true로 변경하는 것은 이러한 액세스를 허용합니다: "setsebool -P $BOOLEAN=1" "$BOOLEAN" 부울을 true로 변경하여 이러한 액세스를 허용합니다: "setsebool -P $BOOLEAN=1." "allow_ftpd_use_nfs" 부울을 true로 변경하여 이러한 액세스를 허용합니다: "setsebool -P allow_ftpd_use_nfs=1." 파일 문맥을 mnt_t로 변경하면 파일 시스템을 적재하도록 마운트 허용하게 됩니다 "chcon -t mnt_t '$TARGET_PATH'." 전체 이름표 변경 시 이를 보존하기 위해 시스템의 기본값 파일 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" 한정된 도메인에는 "sys_resource"를 필요로 하지 않습니다. 이는 일반적으로 디스크 공간, 메모리, 쿼터 등과 같은 시스템 리소스가 부족하다는 것을 의미합니다. 디스크 공간을 확보하면 AVC 메세지가 표시되지 않을 것입니다. 디스크 공간을 확보하고도 AVC 메세지가 계속하여 표시되는 경우 버그로 보고하십시오. 제한된 프로세스는 다른 필요한 액세스를 실행하기 위해 설정할 수 있습니다. SELinux는 필요한 액세스 on/off를 허용하는 부울을 제공합니다. httpd 스크립트가 공용 디렉토리에 쓰기할 수 있도록 허용하는 경우 $BOOLEAN 부울을 활성화하고 공용 디렉토리의 파일 문맥을 public_content_rw_t로 변경해야 합니다. 보다 자세한 문맥은 httpd_selinux man 페이지를 참조하십시오: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " 또한 시스템의 디폴트 파일 문맥 레이블 설정 파일을 변경하여 전체 레이블 설정에서 공용 디렉토리 레이블 설정을 유지하도록 해야 합니다. "semanage fcontext -a -t public_content_rw_t " $TARGET_PATH가 올바르게 작동한다고 확신하신다면, 파일 문맥을 textrel_shlib_t로 변경하실 수 있습니다. "chcon -t textrel_shlib_t '$TARGET_PATH'" 전체 레이블 변경 시에라도 이를 보존하기 위해 시스템의 기본값 파일 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" $SOURCE를 계속 진행하시려면, $BOOLEAN 부울을 켜야만 합니다. 알림: 이러한 부울은 시스템 상의 모든 응용 프로그램에 영향을 미치게 됩니다. 전자우편을 전송하기 위해 httpd를 사용하시고자 할 경우 $BOOLEAN 부울을 작동시키셔야 합니다: "setsebool -P $BOOLEAN=1" $SOURCE 가 포트 $PORT_NUMBER에 바인딩하게 하려면 다음 명령을 실행합니다. # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER 여기서 PORT_TYPE은 다음중 하나입니다: %s. 시스템이 NIS 클라이언트로 실행되고 있을 경우, allow_ypbind boolean을 활성화하면 문제를 해결할 수 도 있습니다. setsebool -P allow_ypbind=1. 당신이 $SOURCE가 $PORT_NUMBER에 연결하는 것을 허용하고자 하면, 다음을 실행합니다 # sandbox -X -t sandbox_net_t $SOURCE $SOURCE가 $PORT_NUMBER에 연결하는 것을 허용하려면 다음을 실행합니다 # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER 여기서 PORT_TYPE은 다음 중 하나가 됩니다: %s. $TARGET_PATH의 파일 문맥을 변경하여 자동 마운트가 이를 실행하게 하려면 "chcon -t bin_t $TARGET_PATH"를 실행합니다. 이를 레이블 후에도 남아있게 하려면 파일 문맥을 영구적으로 변경해야 합니다: "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'"를 실행합니다. SELinux가 $SOURCE 액세스 $TARGET_PATH에 대한 접근 $SOURCE가 거부되었습니다. 이 파일이 스왑 파일이면 swapfile_t라는 파일 내용 이름표가 있어야합니다. 당신이 사용하려고하지 않았다면 $TARGET_ 스왑 파일로 _PATH,이 메시지는 결점 또는 침입 시도를 나타낼 수 있습니다. SELinux가 RSYNC에 $TARGET_통로에 대한 접근을 거부했습니다. RSYNC 저장소 인 경우 rsync_data_t라는 파일 내용 이름표가 있어야합니다. 당신이 사용하려고하지 않았다면 $TARGET_PATH를 RSYNC 저장소로 사용하는 경우 이 메시지는 결점 또는 침입시도를 나타낼 수 있습니다. SELinux가 요청한 액세스를 거부했습니다. $SOURCE. $SOURCE_PATH가 잘못 표시 될 수 있습니다. $SOURCE_PATH 기본 SELinux 유형 %s, 그러나 이것이 현재 유형입니다 $SOURCE_유형. 이 파일을 기본 유형으로 다시 변경하면 문제가 해결 될 수 있습니다.

이 파일은 사용자 오류 또는 일반적으로 제한된 응용 프로그램이 잘못된 도메인에서 실행 된 경우 잘못 표시 될 수 있습니다.

그러나 이것은 파일이이 유형으로 분류되어서는 안되기 때문에 SELinux의 결점를 나타낼 수도 있습니다.

이것이 결점이라고 생각되면이 꾸러미에 대한 결점 보고서를 제출하십시오. SELinux가 요청한 접근을 거부했습니다. $SOURCE. $TARGET_PATH에 잘못된 레이블이 표시될 수 있습니다. $TARGET_PATH의 기본 SELinux 유형 %s, 하지만 현재의 유형은$TARGET_TYPE입니다. 이 파일을 기본 유형으로 다시 변경하면 문제가 해결될 수 있습니다.

파일 내용는 다음과 같은 방법으로 파일에 할당 할 수 있습니다.

이 파일은 사용자 오류 또는 일반적으로 제한된 응용 프로그램이 잘못된 도메인에서 실행 된 경우 잘못 표시 될 수 있습니다.

그러나 이것은 파일이이 유형으로 분류되어서는 안되기 때문에 SELinux의 결점일 수도 있습니다.

이것이 결점라고 생각되면 이 꾸러미(package)에 대한 결점 리포트를 제출하십시오. SELinux가 요청한 접근을 거부했습니다. $SOURCE. $TARGET_PATH가 잘못 표시 될 수 있습니다. openvpn은 올바르게 이름표로 된 경우 홈 디렉토리의 내용을 읽을 수 있습니다. SELinux가 요청한 액세스를 거부했습니다. $SOURCE. $TARGET_PATH가 잘못 표시 될 수 있습니다. sshd는 올바르게 이름표가 된 경우 /root/.ssh 디렉토리의 내용을 읽을 수 있습니다. SELinux는 $SOURCE에 의해 요청된 접근을 거부했습니다. 이 접근은 $SOURCE에서 필요한 접근이 아니기 때문에 침입을 시도했다는 신호가 표시될 수 있습니다. 응용프로그램의 특정 버전 또는 설정이 추가 접근을 필요로 하는 원인이 될 가능성이 있습니다. SELinux는 $SOURCE에 의해 요청된 접근를 거부했습니다. 이 액세스는 $SOURCE에서 필요하지 않으므로 침입 시도 신호가 나타날 수 있습니다. 또한 응용프로그램의 특정 버전이나 설정에서 추가 접근을 필요로 할 수 있습니다. mozplugger 및 spice-xpi는 데스크톱으로의 접근이 필요한 mozilla-plugins에서 응용프로그램을 실행하지만 mozilla_plugin 잠금에서는 이를 허용하지 않기 때문에 mozilla_plugin 잠금을 해제하거나 꾸러미 자체를 사용하지 않도록 합니다. SELinux는 $SOURCE에 의해 요청된 접근를 거부했습니다. 이 액세스는 $SOURCE에서 필요하지 않으므로 침입 시도 신호가 나타날 수 있습니다. 또한 응용프로그램의 특정 버전이나 설정이 추가 접근을 필요로 할 수 있습니다. spice-xpi는 데스크톱으로의 접근이 필요한 mozilla-plugins에서 응용프로그램을 실행하지만 mozilla_plugin 잠금에서는 이를 허용하지 않기 때문에 mozilla_plugin 잠금을 해제하거나 꾸러미 자체를 사용하지 않도록 합니다. SELinux는 $SOURCE 명령에 의해 요청된 접근를 거부합니다. 이는 누출된 서술자 또는 $SOURCE 출력 결과가 접근를 허용하지 않는 파일로 방향 전환된 것처럼 보입니다. 누출된 서술자는 SELinux가 이를 종료하고 오류를 보고하므로 무시할 수 있습니다. 응용프로그램은 서술자를 사용하지 않으므로 올바르게 실행됩니다. 이것이 방향 전환이 된 경우, $TARGET_PATH에서 출력 결과를 갖지 않게 됩니다. selinux-정책에 대하 버그질라를 생성하여 올바른 꾸러미로 라우트되게 합니다. 이러한 avc는 무시해도 상관 없습니다. SELinux는 $SOURCE가 요청한 $TARGET_PATH로의 접근을 거부합니다. $TARGET_PATH는 다른 프로그램의해 공유하는데 사용되는 문맥을 가지고 있습니다. $SOURCE에서 $TARGET_PATH를 공유하시고자 할 경우, 파일 문맥을 public_content_t로 변경하셔야 합니다. 이러한 접근 허용을 의도하지 않으신 경우, 침입을 시도했다는 신호가 나타날 수 있습니다. SELinux는 $TARGET_PATH로 cvs 접근하는 것을 거부합니다. 이것이 CVS 저장소일 경우 cvs_data_t의 파일 문맥 레이블을 가지고 있어야 합니다. CVS 저장소로 $TARGET_PATH를 사용하고자 하지 않으실 경우 결정이 나타나거나 또는 침입을 시도했다는 신호가 나타날 수 있습니다. SELinux가 Samba에 대한 $TARGET_PATH 접근을 거부했습니다. 이 디렉토리를 삼바와 공유하려면 파일 내용 이름표 samba_share_t가 있어야합니다. 당신이 사용하려고하지 않았다면 $TARGET_PATH를 samba 저장소로 사용하는 경우 이 메시지는 결점 또는 침입 시도를 나타낼 수 있습니다. 삼바 및 SELinux 설정에 대한 자세한 내용은 'man samba_selinux'를 참조하십시오. SELinux는 $TARGET_PATH로의 svirt 액세스를 거부했습니다. 이것이 가상화 이미지인 경우virt_image_t로 레이블된 파일 문맥을 가지고 있어야 합니다. 이 시스템은 디렉토리 /var/lib/libvirt/images에 있는 이미지 파일을 올바르게 레이블할 수 있도록 설정되어 있습니다. 이미지 파일을 /var/lib/libvirt/images에 복사하실 것을 권장합니다. 현재 디렉토리에 이미지 파일을 보관하도록 하려면, chcon을 사용하여 $TARGET_PATH를 virt_image_t로 다시 레이블할 수 있습니다. 또한 새 경로를 시스템 기본값으로 추가하기 위해 semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'를 실행해야 합니다. 가상화 이미지로서 $TARGET_PATH를 사용하려고 한 경우가 아니라면, 이것은 버그나 침입 시도를 나타내는 신호일 수 있습니다. SELinux는 블록 장치 $TARGET_PATH에 대한 Svirt 접근이 거부되었습니다. 이 이미지가 가상화 이미지 인경우 가상화 파일 내용 (virt_image_t)로 이름표가 지정되어야합니다. chcon을 사용하여 $TARGET_PATH이 virt_image_t가 되도록 이름표를 다시 지정할 수 있습니다. 또한 semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH를 실행하여 새로운 경로를 시스템 기본값에 추가해야 합니다. $TARGET_PATH를 가상화 이미지로 사용하지 않으려는 경우 결점 또는 침입 시도를 나타낼 수 있습니다. SELinux는 $TARGET_PATH로의 xen 액세스를 거부했습니다. 이것이 XEN 이미지인 경우 xen_image_t로 레이블된 파일 문맥을 가지고 있어야 합니다. 이 시스템은 디렉토리 /var/lib/xen/images에 있는 이미지 파일을 올바르게 레이블할 수 있도록 설정되어 있습니다. 이미지 파일을 /var/lib/xen/images에 복사하실 것을 권장합니다. 현재 디렉토리에 xen 이미지 파일을 보관하도록 하려면, chcon을 사용하여 $TARGET_PATH를 xen_image_t로 다시 레이블할 수 있습니다. 또한 새 경로를 시스템 기본값으로 추가하기 위해 semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'를 실행해야 합니다. xen 이미지로서 $TARGET_PATH를 사용하려고 한 경우가 아니라면, 이것은 결점이나 침입 시도를 나타내는 신호일 수 있습니다. SELinux가 거부되었습니다. $SOURCE 네트워크 포트에 연결하는 중 $PORT_NUMBER에는 SELinux 유형이 연결되어 있지 않습니다. 만약 $SOURCE은 $PORT_NUMBER에 연결을 허용해야하며 , $SOURCE_TYPE은 (%s)에 연결 할 수 있는 포트유형에 $PORT_NUMBER를 지정할 수 있는 명령semanage을 사용합니다. 만약 $SOURCE는 $PORT_NUMBER에 연결하는 것을 추측 할 수 없다면 이는 침입 시도의 신호일 수 있습니다. SELinux가 sandbox내에 연결에서부터 네트워크 포트 $PORT_NUMBER까지 $SOURCE가 거부되었습니다. 만약 $SOURCE가 $PORT_NUMBER에서 연결을 허용해야 한다면, 당신은 andbox_web_t or sandbox_net_t같이 다른 sandbox를 사용해야 합니다. # sandbox -X -t sandbox_net_t $SOURCE 만약 $SOURCE가 $PORT_NUMBER에 연결되지 않은 것으로 추축되면 이것은 침입 시도를 알려주는 신호일 수 있습니다. SELinux는 잠재적으로 잘못 레이블된 파일 $TARGET_PATH로 $SOURCE 액세스하는 것을 거부합니다. 이는 SELinux가 이러한 파일을 사용하기 위해 httpd를 허용하지 않는다는 것을 의미합니다. httpd가 이러한 파일에 이 액세스를 허용해야 할 경우 다음 유형 중 하나로 파일 문맥을 변경하셔야 합니다, %s. 많은 제삼자 응용 프로그램은 SELinux 정책을 예측할 수 없는 디렉토리에 html 파일을 설치합니다. 이러한 디렉토리는 httpd가 액세스할 수 있는 파일 문맥을 사용하여 레이블되어야 합니다. SELinux는 포트에 연결된 SELinux 유형이 없는 네트워크 포트 $PORT_NUMBER에 바인딩하는 것에서 $SOURCE를 거부합니다. $SOURCE가 $PORT_NUMBER에서 수신 허용되어야 하는 경우 semanage 명령을 사용하여 $SOURCE_TYPE이 (%s)에 바인딩될 수 있는 포트 유형에 $PORT_NUMBER를 할당합니다. $SOURCE가 $PORT_NUMBER에 바인딩하려 하지 않을 경우, 이는 침입 시도를 표시할 수 있습니다. SELinux는 $SOURCE 커널 주소 공간의 낮은 영역을 mmap 할 수있는 능력. 주소 공간의 낮은 영역을 mmap 할 수있는 능력은 / proc / sys / kernel / mmap_min_addr에 의해 설정됩니다. 이러한 매핑을 방지하면 커널에서 null deref 결점을 악용하지 않아도됩니다. 이 접근은 필요한 모든 응용 프로그램에는 정책이 이미 작성되어 있어야합니다. 손상된 응용 프로그램이 커널을 수정하려고하면이 AVC가 생성됩니다. 이것은 심각한 문제입니다. 시스템이 손상 될 수 있습니다. SELinux는 $SOURCE_PATH가 잠재적으로 잘못 레이블된 파일 $TARGET_PATH 를 실행하지 못하게 합니다. 자동 마운트 도구를 설정하여 설정 파일을 실행할 수 있으며, $TARGET_PATH가 자동 마운트되어 설정파일을 실행할 수 있을 경우 이는 bin_t로 레이블된 파일을 가지고 있어야 합니다. 자동 마운트 도구가 실행해서는 안되는 파일을 실행하려할 경우, 침입을 시도했다고 나타날 수 있습니다. SELinux가 http 데몬이 전자우편을 보내는 것을 거부했습니다. httpd 스크립트가 전자우편 포트에 연결하거나 sendmail 명령을 실행하려고합니다. sendmail에 httpd를 설정하지 않으면 침입 시도를 알릴 수 있습니다. SELinux는 $SOURCE가 커널 모듈을 불러오지 못하게 합니다. 커널 모듈을 불러오기 위해 필요한 지정된 모든 파일에는 해당하는 정책이 있어야 합니다. 영향을 받을 수 있는 응용 프로그램이 커널을 수정하려 할 경우 AVC가 생성되어 심각한 문제를 일으킬 수 있습니다 시스템이 아주 쉽게 손상될 수 있습니다. SELinux는 $SOURCE가 $TARGET을 수정하지 못하게 합니다. 이는 $SOURCE가 selinux 정책 설정을 수정하려 했다고 나타날 수 있습니다. 이러한 접근이 필요한 모든 응용 프로그램에는 해당하는 정책이 있어야 합니다. 영향을 받을 수 있는 응용 프로그램이 SELinux 정책을 수정하려 할 경우 AVC가 생성되어 심각한 문제를 일으킬 수 있으며 시스템이 쉽게 손상될 수 있습니다. SELinux는 $SOURCE가 $TARGET을 수정하지 못하게 합니다. 이는 $SOURCE가 커널이 실행하는 방식을 수정하려 했거나 또는 커널에 코드를 삽입하려 했음을 나타냅니다. 이러한 접근이 필요한 모든 응용 프로그램에는 해당하는 정책이 있어야 합니다. 영향을 받을 수 있는 응용 프로그램이 커널을 수정하려 할 경우 AVC가 생성되어 심각한 문제를 일으킬 수 있으며 시스템이 쉽게 손상될 수 있습니다. SELinux는 작성에서 /sys/fs/selinux 아래에서 파일까지 $SOURCE를 막고 있습니다. /sys/fs/selinux 제어하는 방식 아래에 있는 파일은 구성되어 있습니다. /sys/fs/selinux 아래에 있는 파일에 작성되어 있어야 하는 모든 프로그램은 이미 정책을 갖고 있어야 합니다. 만약 손상된 응용 프로그램이 SELinux를 끄려고 하면 이와 같은 AVC가 발생 될 것입니다. 이는 심각한 문제입니다. 자신의 시스템은 손상 될 수 있습니다. SELinux는 vbetool이 안전하지 않은 메모리 운영을 수행하지 못하게 합니다. SELinux는 wine이 안전하지 않은 메모리 운영을 실행하지 못하게 합니다. SELinux는 $SOURCE가 파일 시스템에 있는 $SOURCE_TYPE의 문맥으로 파일을 생성하지 못하게 합니다. 주로 이는 "cp -a"과 같이 파일 시스템 사이에서 복사할 때 파일 문맥을 유지하기 위해 cp 명령을 요청할 때 발생합니다. 모든 파일 문맥이 파일 시스템 사이에서 유지되어야 할 필요는 없습니다. 예를 들어, iso9660_t와 같이 읽기 전용 파일 유형은 r/w 시스템에 없어도 됩니다. "cp -p"는 기본값 파일 문맥을 채택하므로 이를 사용하는 것이 더 좋습니다. SELinux는 $TARGET_PATH로 $SOURCE_PATH "$ACCESS" 접근하지 못하게 합니다. SELinux는 $TARGET_PATH로 $SOURCE_PATH "$ACCESS" 접근하지 못하게 합니다. SELinux는 $TARGET_PATH 장치로 $SOURCE_PATH "$ACCESS" 접근하지 못하게 합니다. SELinux는 $TARGET_PATH로 $SOURCE_PATH "$ACCESS"하지 못하게 합니다. SELinux는 누출된 $TARGET_PATH 파일 서술자로 $SOURCE_PATH 접근하지 못하게 합니다. SELinux는 $SOURCE_PATH가 포트 $PORT_NUMBER로 연결하지 못하게 합니다. SELinux는 $SOURCE가 힙 영역에서 메모리의 접근 보안을 변경하지 못하게 합니다. SELinux는 $SOURCE_PATH가 포트 $PORT_NUMBER로 연결하지 못하게 합니다. SELinux는 $SOURCE_PATH가 파일 시스템에서 $SOURCE_TYPE의 문맥을 사용하여 파일을 생성하지 못하게 합니다. SELinux는 $SOURCE_PATH가 텍스트 재배치가 필요한 $TARGET_PATH를 불러오지 못하게 합니다. SELinux는 $SOURCE_PATH가 프로그램 스택을 실행 불가능하게 합니다. SELinux는 $SOURCE_PATH의 "$ACCESS" 기능을 차단하고 있습니다. SELinux는 $SOURCE_PATH의 "sys_resource" 기능을 작동하지 못하게 합니다. SELinux는 $TARGET_PATH로 Samba ($SOURCE_PATH) "$ACCESS" 접근하지 못하게 합니다. SELinux가 unlabeled_t로 레이블된 파일에 대한 액세스를 금지하고 있습니다. SELinux는 $TARGET_PATH로 cvs ($SOURCE_PATH) "$ACCESS" 접근하지 못하게 합니다. SELinux는 $SOURCE가 잠재적으로 잘못된 이름표를 파일 $TARGET_PATH를 사용하지 못하게 합니다. SELinux는 http 데몬이 전자우편을 전송하지 못하게 합니다. SELinux는 $TARGET_PATH로 xen ($SOURCE_PATH) "$ACCESS" 접근하지 못하게 합니다. unlabeled_t로 레이블 된 파일에 대한 SELinux 권한 검사가 거부되었습니다. unlabeled_t는 SELinux 커널이 이름표가 없는 파일에 제공하는 컨텍스트입니다. 이는 심각한 레이블 문제를 보여줍니다. SELinux 상자의 어떤 파일도 unlabeled_t로 이름표가 않아야합니다. 시스템에 디스크 드라이브를 추가 한 경우 restorecon 명령을 사용하여 이름표를 다시 지정할 수 있습니다. 예를 들어 SELinux를 사용하지 않은 이전 설치에서 홈 디렉토리를 저장 한 경우 'restorecon -R -v / home'은 이름표를 수정합니다. 그렇지 않으면 전체 파일 시스템의 이름표를 다시 지정해야합니다. SELinux 정책은 httpd 스크립트가 공개 디렉토리에 기록하지 못하게 합니다. SELinux 정책은 httpd 스크립트가 공개 디렉토리에 기록하지 못하게 합니다. 공개 디렉토리에 기록하기 위해 httpd가 설정되지 않았을 경우, 침입을 시도하였다는 신호가 나타날 수 있습니다. SELinux는 $SOURCE가 "$TARGET_TYPE"유형의 파일 또는 디렉토리 "$TARGET_PATH"에 있는 파일시스템을 마운트하지 못하게 합니다. 기본 값으로 SELinux는 일부 파일 또는 디렉토리 (마운트 포인트 속성을 가진 유형의 디렉토리)에 파일시스템을 마운트하는 것을 제한합니다. "$TARGET_TYPE" 유형은 이러한 속성을 가지고 있지 않습니다. 파일 또는 디렉토리의 레이블을 변경하실 수 있습니다. SELinux는 $SOURCE가 파일 또는 디렉토리 "$TARGET_PATH" (유형 "$TARGET_TYPE")에 적재하지 못하게 합니다. SELinux는 $TARGET_PATH로 httpd $ACCESS 액세스하지 못하게 합니다. httpd 스크립트는 모든 파일을 명확하게 레이블하지 않고 문맥에 쓰기를 허용하지 않습니다. $TARGET_PATH가 쓰기 가능한 문맥일 경우, httpd_sys_rw_content_t로 레이블하거나 또는 필요한 모든 것이 추가되어 있을 경우 httpd_sys_ra_content_t로 레이블 할 수 있습니다. httpd 및 SELinux 설정에 대한 보다 자세한 내용은 'man httpd_selinux'에서 참조하십시오. SELinux가 httpd를 막았습니다 $ACCESS http 파일에 대한 접근. 일반적으로 httpd는 http 파일 컨텍스트로 레이블 된 모든 파일에 대한 전체 접근이 허용됩니다. 이 기계는 $BOOLEAN모든 파일을 명시 적으로 이름표를 해야 합니다. 파일이 cgi 스크립트이면 실행될 수 있도록 httpd_TYPE_script_exec_t로 이름표되어야합니다. 읽기 전용 내용인 경우 httpd_TYPE_content_t라는 이름표이 있어야합니다. 쓰기 가능한 내용이면 httpd_TYPE_script_rw_t 또는 httpd_TYPE_script_ra_t라는 이름표가 있어야합니다. chcon 명령을 사용하여 이러한 내용을 변경 할 수 있습니다. man 페이지 "man httpd_selinux"또는 자주하는 질문" TYPE"은 "sys", "user"또는 "staff"또는 잠재적으로 다른 스크립트 유형 중 하나를 나타냅니다. SELinux는 http 파일에 httpd $ACCESS 액세스하지 못하게 합니다. SELinux는 ftp 데몬이 CIFS 파일 시스템에 저장된 파일에 $ACCESS 하지 못하게 합니다. SELinux는 ftp 데몬이 CIFS 파일 시스템에 저장된 파일을 $ACCESS하지 못하게 합니다. CIFS (Comment Internet File System)는 SMB과 유사한 네트워크 파일 시스템 입니다 (http://www.microsoft.com/mind/1196/cifs.asp) ftp 데몬은 이러한 유형으로 마운트된 파일 시스템에서 하나 이상의 파일 또는 디렉토리를 읽어오는 것을 시도합니다. CIFS 파일 시스템이 정교하게 SELinux 레이블하는 것을 지원하지 않음으로서 파일 시스템에 있는 모든 파일 및 디렉토리는 동일한 보안 문맥을 갖게 됩니다. CIFS 파일 시스템에서 파일을 읽어오기 위해 ftp 데몬을 설정하지 않은 경우 이러한 액세스를 시도하면 침입 시도 신호가 나타날 수 있습니다. SELinux는 ftp 데몬이 NFS 파일 시스템에 지정된 파일을 $ACCESS하지 못하게 합니다. SELinux는 ftp 데몬이 NFS 파일 시스템에 저장된 파일을 $ACCESS하지 못하게 합니다. NFS (네트워크 파일 시스템)는 유닉스/리눅스상에서 주로 사용되는 네트워크 파일 시스템입니다. ftp 데몬은 이러한 유형으로 적재된 파일 시스템에서 하나 이상의 파일 또는 디렉토리 읽어오기를 시도합니다. NFS 파일 시스템이 정교하게 SELinux 이름표을 지원하지 않음으로서 파일 시스템에 있는 모든 파일 및 디렉토리는 동일한 보안 문맥을 갖게 됩니다. NFS 파일 시스템에서 파일을 읽어오기 위해 ftp 데몬을 설정하지 않은 경우 이러한 액세스를 시도했을 때 침입 시도 신호가 나타날 수 있습니다. 일부 경우 라이브러리가 실수로 execstack 플래그로 표시될 수 있습니다, 이 플래그로 표시된 라이브러리를 발견한 경우 execstack -c LIBRARY_PATH를 사용하여 이를 삭제 할 수 있습니다. 그 후 응용프로그램을 다시 시도합니다. 응용프로그램이 계속하여 작동하지 않을 경우, execstack -s LIBRARY_PATH를 사용하여 플래그를 되돌릴 수 있습니다. $SOURCE 응용 프로그램은 힙 영역(예, malloc을 사용한 할당)에서 메모리의 접근보안 변경을 시도합니다. 잠재적으로 보안 문제가 발생할 수 있습니다. 응용 프로그램은 이를 실행해서는 안됩니다. 때때로 응용 프로그램이 잘못 코드되어 이러한 권한을 요청합니다. SELinux 메모리 보안 테스트 웹 페이지에서 이러한 요구 사항을 어떻게 삭제하는 지에 대하여 설명합니다. $SOURCE 가 작동하지 않을 경우, 이를 작동시키려면, 응용 프로그램이 작동 할 때 까지 이러한 액세스를 허용하기 위해 임시적으로 SELinux를 설정하실 수 있습니다. 이러한 꾸러미에 대해 결점 보고서를 제출해 주시기 바랍니다. 그만큼 $SOURCE 응용 프로그램을로드하려고했습니다. $TARGET텍스트 재배치가 필요한 _PATH. 이는 잠재적 인 보안 문제입니다. 대부분의 도서관에는이 허가가 필요하지 않습니다. 라이브러리가 잘못 코딩되는 경우가 있으며이 권한을 요청하십시오. 그만큼 SELinux 메모리 보호 테스트 웹 페이지는이 요구 사항을 제거하는 방법을 설명합니다. SELinux를 일시적으로 허용하도록 구성 할 수 있습니다. $TARGET_PATH는 라이브러리가 수정 될 때까지 재배치를 임시 해결책으로 사용합니다. 버그 보고서를 제출하십시오. 그만큼 $SOURCE 응용 프로그램을 적재하려 했습니다. $TARGET 텍스트 재배치가 필요한 _PATH. 이는 잠재적인 보안문제입니다. 대부분의 라이브러리에는 이허가가 필요하지 않습니다. 그만큼 SELinux 메모리보호 시험웹 페이지에서이 점검을 설명합니다. 이 도구는 라이브러리를 검사하여 올바르게 구성(built) 된 것처럼 보입니다. 그래서 setroubleshoot는이 응용프로그램이 손상 되었는지 여부를 판단 할 수 없습니다. 이것은 심각한 문제 일 수 있습니다. 시스템이 손상 될 수 있습니다. 보안 관리자에게 문의하여 이 문제점을 보고하십시오. $SOURCE 응용 프로그램은 스택을 실행가능하게 합니다. 이로 인해 잠재적 보안 문제가 발생할 수 있습니다. 이는 절대 필요하지 않은 사항입니다. 최근 스택 메모리는 대부분의 OS에서 실행가능하지 않으며 이는 변경되지 않을 것입니다. 실행 가능한 스택 메모리는 가장 심각한 보안 문제 중 하나입니다. 사실 execstack 오류는 악성 코드에 의해 가장 많이 제기되는 문제입니다. 때때로 응용 프로그램이 잘못 코드되어 이러한 권한을 요청합니다. SELinux 메모리 보안 테스트 웹 페이지에서 이러한 요청을 삭제하는 방법을 설명합니다. $SOURCE가 제대로 작동하지 않을 경우 응용 프로그램이 수정될 때 까지 이러한 액세스를 허용하기 위해 SELinux를 임시로 설정할 수 있습니다. 이 꾸러미에 대한 결점 보고서를 제출해 주시기 바랍니다. "cp -p"와 같은 명령을 사용하여 SELinux 문맥을 제외한 모든 권한을 보존합니다. chcon -R -t cvs_data_t ' $TARGET_PATH'를 실행하여 파일 내용을 변경할 수 있습니다. 전체 relabel에서도 파일을 보존하려면 시스템의 기본 파일 내용을 파일을 변경해야합니다. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH ' " chcon -R -t rsync_data_t '$TARGET_PATH'를 실행하여 파일 문맥을 변경할 수 있습니다 전체 이름표 변경 시 이를 보존하기 위해 시스템의 기본값 파일 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" chcon -R -t samba_share_t '$TARGET_PATH'를 실행하여 파일 문맥을 변경할 수 있습니다 전체 레이블 변경 시 이를 보존하기 위해 시스템의 기본값 파일 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t samba_share_t 'FIX_$TARGET_PATH'" chcon -t public_content_t '$TARGET_PATH'를 실행하여 파일 문맥을 변경할 수 있습니다 전체 레이블 변경 시 이를 보존하기 위해 시스템의 기본값 파일 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" chcon -t swapfile_t '$TARGET_PATH'를 실행하여 파일 문맥을 변경할 수 있습니다 전체 레이블 변경 시 이를 보존하기 위해 시스템의 기본값 파일 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" chcon -t virt_image_t '$TARGET_PATH'를 실행하여 파일 문맥을 변경할 수 있습니다 전체 레이블 변경 시 이를 보존하기 위해 시스템의 기본값 파일 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" 당신은 chcon -t xen_image_t '$TARGET_PATH'를 실행하여 파일 문맥을 변경 할 수 있습니다. 당신은 또한 전체 이름표 재지정시에 파일을 보존하기 위한 시스템에서 기본 파일인 문맥 파일을 변경해야 합니다. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" 컴퓨터 시스템에 레이블하기 위하여 root 계정으로 다음 명령을 사용하여 실행할 수 있습니다: "touch /.autorelabel; reboot" 이러한 접근를 허용하기 위해 로컬 정책 모듈을 생성할 수 있습니다 접근 - 참고 FAQ 이러한 결점 보고를 파일로 해주세요. 이러한 접근을 허용하기 위해 로컬 정책 모듈을 생성 할 수 있습니다 - FAQ를 참조하십시오. restorecon 명령을 실행하여 기본 시스템 컨텍스트를 이 파일로 복원 할 수 있습니다. # restorecon -R /root/.ssh rstorecon 명령을 실행하여 기본 시스템 컨텍스트를이 파일로 복원 할 수 있습니다. # restorecon -R /root/.ssh restorecon 명령을 실행하여 이 파일에 기본값 시스템 문맥을 복구할 수 있습니다. restorecon '$SOURCE_PATH'. restorecon 명령을 실행하여 이 파일에 기본값 시스템 문맥을 복구할 수 있습니다. restorecon '$TARGET_PATH', 이 파일이 디렉토리일 경우, restorecon -R '$TARGET_PATH'를 사용하여 재귀적으로 복구할 수 있습니다. 당신의 시스템이 심각하게 손상될 수 있습니다! 시스템이 심각하게 손상될 수 있습니다! $SOURCE_PATH는 용량이 적은 커널 메모리를 mmap하려 합니다. 시스템이 심각하게 손상될 수 있습니다! $SOURCE_PATH가 커널 모듈을 불러오려 합니다. 시스템이 심각하게 손상될 수 있습니다! $SOURCE_PATH가 SELinux 강제를 변경하려 합니다. 시스템이 심각하게 손상될 수 있습니다! $SOURCE_PATH가 커널 설정을 변경하려 합니다. IPV6를 올바르게 비활성화합니다. 'yum remove mozplugger'를 실행하여 mozplluger 꾸러미를 제거하거나 파이어폭스 플러그인을 통해 SELinux 강제를 비활성화합니다. setsebool -P unconfined_mozilla_plugin_transition 0 'yum remove mozplugger spice-xpi'를 실행하여 mozplugger 또는 spice-xpi 꾸러미를 제거하거나 파이어폭스 플러그인을 통해 SELinux 강제를 해제합니다. setsebool -P unconfined_mozilla_plugin_transition 0 'yum remove mozplugger spice-xpi'를 실행하여 mozplugger 또는 spice-xpi 꾸러미를 제거하거나 Chrome 플러그인을 통해 SELinux의 강제를 비활성화 합니다. setsebool -P unconfined_chrome_sandbox_transition 0 문제가 되고 있는 프로그램을 계속 실행하기로 결정한 경우 이러한 작업을 허용해야 합니다. 이를 위해 명령행에서 다음과 같이 실행할 수 있습니다: # setsebool -P mmap_low_allowed 1 SELinux는 비디오 하드웨어 상태를 변경하기 위해 사용되는 프로그램인 $SOURCE에서 요청한 작업을 거부했습니다. vbetool로 위장한 여러 불법/악성 프로그램과 마찬가지로 이 프로그램은 시스템 메모리에서 안전하지 않게 작동하는 것으로 알려져 있습니다. 이 도구는 컴퓨터가 중지 상태에서 다시 시작할 때 비디오 상태를 다시 설정하는데 사용됩니다. 컴퓨터가 정상적으로 다시 시작되지 않을 경우, 이 작업을 허용하는 것이 유일한 방법이며 악성 프로그램에 대한 시스템 보안이 저하됩니다. SELinux는 리눅스에서 MS윈도우 응용프로그램을 실행하는데 사용되는 프로그램인 wine-preloader에서 요청한 작업을 거부했습니다. 이 프로그램은 시스템 메모리에서 안전하지 않은 사용으로 알려져 있으나 그런 것은 와인으로 위장한 다수의 불법/악성 프로그램입니다. 만약 당신이 윈도우 프로그램을 실행하고자 한다면, 당신의 선택은 이와 같은 동작을 허용하고 이러한 악성 프로그램에 대하여시스템 보안을 낮추는 것이거나 또는 리눅스 환경에서 윈도우 응용프로그램을 실행하지 않도록 하는 것입니다. MS 윈도우 응용프로그램을 실행하고자 하는 경우에, 이는 악의로 사용자의 시스템에 침입 시도하는 악성 프로그램의 공격을 받고 있다고 나타납니다. 다음 언급된 부분을 참조하세요: http://wiki.winehq.org/PreloaderPageZeroProblem 이는 와인이 안전하지 않은 메모리 사용으로 인하여 발생하는 다른 문제와 이들 문제에 대한 해결책을 설명합니다. 완전 감시를 활성화합니다 # auditctl -w /etc/shadow -p w AVC 재생성을 시도합니다. 그 후 다음을 실행합니다 # ausearch -m avc -ts recent 경로(PATH) 기록이 보이면 파일의 소유권/권한을 확인 후 이를 수정하고, 보이지 않으면 버그질라에 보고합니다. %s에 파일 유형이 아닌 유형을 배치 시도했습니다. 이는 허용되지 않으므로, 파일 유형을 지정해야 합니다. seinfo 명령을 사용하여 모든 파일 유형을 나열할 수 있습니다. seinfo -afile_type -x "$BOOLEAN" 및 "$WRITE_BOOLEAN" 부울을 true로 변경하는 것은 이러한 액세스를 허용하게 됩니다: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". 경고: "$WRITE_BOOLEAN" 부울을 true로 설정하는 것은 ftp 데몬이 모든 공개 내용 (public_content_t 유형으로 된 파일 및 디렉토리)에 쓰는 것을 허용하며 CIFS 파일 시스템에 있는 파일 및 디렉토리에 쓰는 것도 허용합니다. "allow_ftpd_use_nfs"및 "ftpd_anon_write"boolean을 true로 변경하면 "setsebool -P allow_ftpd_use_nfs = 1 ftpd_anon_write = 1"액세스가 허용됩니다. 경고 : "ftpd_anon_write"부울을 true로 설정하면 ftp 데몬이 NFS 파일 시스템의 파일 및 디렉토리에 기록하는 것 외에도 모든 공용 컨텐츠 (public_content_t 유형의 파일 및 디렉토리)에 쓸 수 있습니다. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' 여기서 파일_유형은 다음 중 하나입니다.: %s. 그런 후 실행합니다: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER 여기서 PORT_TYPE은 다음중 하나가 됩니다: %s.프로세스가 시스템에 해킹을 시도하고 있을 수 있습니다.net.ipv6.conf.all.disable_ipv6 = 1을 /etc/sysctl.conf에 추가합니다 다음을 실행하여 현재상태의 이 접근을 허용하세요: # ausearch -c '$SOURCE- - | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.pp파일 컨텍스트를 변경하십시오.라벨 변경라이브러리에서 레이블을 변경하십시오.파일 레이블을 xen_image_t로 변경하십시오.보안 관리자에게 문의하여 이 문제를 보고하십시오.Chrome 플러그인에서 SELinux 컨트롤을 사용 중지합니다불리언 사용부울을 활성화하십시오.만약 $TARGET_BASE_PATH는 가상화 대상입니다만약 $TARGET_BASE_PATH는 RSYNC 데몬을 통해 공유해야합니다만약 $TARGET_BASE_PATH는 cvs 데몬을 통해 공유되어야합니다네가 믿으면 $SOURCE_BASE_PATH는 (는) 생성이 허용되어야합니다. $TARGET_BASE_PATH 파일네가 믿으면 $SOURCE_PATH가 SELinux를 비활성화하려고했습니다.당신이 그렇게 믿으면 %s execstack이 필요하지 않습니다네가 그렇게 생각하면 $SOURCE_BASE_PATH가 허용되어야합니다. $ACCESS 액세스 권한 $TARGET_CLASS 레이블이 붙음 $TARGET기본적으로 _TYPE입니다.네가 그렇게 생각하면 $SOURCE_BASE_PATH가 허용되어야합니다. $ACCESS 라벨이 지정된 프로세스에 대한 액세스 $TARGET기본적으로 _TYPE입니다.네가 그렇게 생각하면 $SOURCE_BASE_PATH가 허용되어야합니다. $ACCESS 에 대한 액세스 $TARGET_BASE_PATH $TARGET_CLASS 기본적으로.네가 그렇게 생각하면 $SOURCE_BASE_PATH에 $ACCESS 기능이 기본적으로 제공됩니다.테스트를 통해이 AVC를 직접 일으키지 않은 경우.네가 그렇게 생각하지 않는다면 $SOURCE_PATH는 커널 모듈을로드하여 커널을 수정하려고 시도해야합니다.당신이 당신을 믿지 않는다면 $SOURCE_PATH는 커널 모듈을 적재하여 커널을 수정해야합니다생각하지 않는다면 $SOURCE_BASE_PATH가 시도해야 함 $ACCESS 액세스 권한 $TARGET_BASE_PATH.생각하지 않는다면 $SOURCE_PATH는 쓰기 가능하고 실행 가능한 힙 메모리를 맵핑해야합니다.생각하지 않는다면 $SOURCE_PATH는 쓰기 가능하고 실행 가능한 스택 메모리를 맵핑해야합니다.생각하지 않는다면 $SOURCE_PATH는 커널의 메모리를 적게 mmap해야합니다.프로세스가 시스템의 모든 시스템 자원을 사용하는 기능을 필요로하지 않도록 하려면;이것이 잘못 라벨이 붙은 기계로 인한 것이라고 생각한다면.네가 원한다면 %s허용하려는 경우 $SOURCE마운트 할 _BASE_PATH $TARGET_BASE_PATH.허용하려는 경우 $SOURCE공동 공개 콘텐츠에 쓸 수있는 _PATH허용하려는 경우 $SOURCE_PATH를 사용하여 네트워크 포트에 바인딩 $PORT_번호허용하려는 경우 $SOURCE_PATH를 사용하여 네트워크 포트에 연결 $PORT_번호ftpd가 cifs 파일 시스템에 쓸 수 있도록하려면ftpd가 nfs 파일 시스템에 쓸 수있게하려면httpd가 cgi 스크립트를 실행하고 모든 컨텐트 파일의 HTTPD 처리를 통합하도록 허용하려는 경우.httpd가 메일을 보내도록 허용하려면라벨을 변경하려는 경우 $TARGET_PATH에 %s, 유효한 파일 유형이 아니기 때문에 허용되지 않습니다.이 컴퓨터에서 IPV6을 비활성화하려면이름표를 고치려면. $SOURCE_PATH 기본 라벨이 있어야합니다. %s.이름표를 고치려면. $TARGET_PATH 기본 이름표가 있어야합니다. %s.도메인에이 액세스가 필요한지 또는 시스템에 잘못된 사용 권한을 가진 파일이 있는지 확인하려는 경우무시하고 싶다면 $SOURCE시도중인 _BASE_PATH $ACCESS 그 $TARGET_BASE_PATH $TARGET_CLASS,이 액세스가 필요하지 않아야한다고 생각하기 때문입니다.위험하기 때문에이 AVC를 무시하고 컴퓨터가 제대로 작동하는 것 같습니다.위험하고 와인 응용프로그램이 올바르게 작동하기 때문에이 AVC를 무시하고 싶습니다.라벨을 수정하려면 $TARGET_BASE_PATH 이렇게 $SOURCE_BASE_PATH는 가질 수 있음 $ACCESS 그것에 대한 액세스당신이 mv에 원하면 $TARGET_BASE_PATH를 표준 위치로 설정하면 $SOURCE_BASE_PATH는 가질 수 있음 $ACCESS 접속하다mozplugger 꾸러미를 사용하지 않고 SELinux Firefox 플러그인 봉쇄를 계속 사용하려면치료하고 싶다면 $TARGET_BASE_PATH (공개 콘텐츠)당신이 %s 꾸러미재시작을 포함하여, 전체 파일 시스템의 이름표를 재지정하세요!문맥 복구문맥 복구SELinux는 $SOURCE_PATH "$ACCESS" 접근를 차단합니다.이미지 레이블을 virt_image_t로 설정하십시오.이는 새로 생성 된 파일 시스템에 의해 발생합니다.레이블을 수정하십시오.메모리 보호 비활성화보다 자세한 내용은 '%s' man 페이지를 읽어보십시오.해킹되고 있을 수 있습니다.'%s' 부울을 활성화하여 이에 대해 SELinux에 알려야 합니다. $FIX_TARGET_PATH의 이름표을 변경해야 합니다$TARGET_BASE_PATH에 있는 이름표를 변경해야 합니다$TARGET_BASE_PATH to public_content_t or public_content_rw_t에 이름표를 변경해야 합니다.$TARGET_BASE_PATH'의 이름표을 변경해야 합니다$TARGET_PATH 의 레이블을 유사한 장치 유형으로 변경해야 합니다.'$FIX_TARGET_PATH'의 이름표를 변경해야 합니다이 결점를 보고해야 합니다. 이러한 접근를 허용하기 위해 로컬 정채 모듈을 생성할 수 있습니다.이를 결점로 보고해야 합니다. 이러한 접근을 감사하지 않도록 로컬 정책 모듈을 생성할 수 있습니다.execstack -c %s만약 당신이 해킹되었다고 생각할 것입니다setsebool -P %s %s잘못된 파일과 반복적인 오류 발생에 대해 경로 정보를 얻기 위해 완전 감시를 활성화합니다."cp -p"와 같은 명령을 사용하여 SELinux 문맥을 제외한 모든 권한을 저장합니다.restorecon을 실행할 수 있습니다.restorecon을 실행할 수 있습니다. 상위 디렉토리에 액세스 할 권한이 없기 때문에 액세스 시도가 중지되었을 수 있습니다.이 경우 다음 명령을 적절하게 변경하십시오.지정된 응용프로그램에는 이러한 접근이 필요하지 않으므로 해커가 공격하고 있을 수 있습니다.지정된 응용프로그램이 이러한 접근이 필요로 하지 않기 때문에 해커로 부터 공격을 받을 수 있습니다.해커로 부터 공격을 받을 수 있고 이는 매우 위험한 접근입니다.$TARGET_PATH의 이름표을 변경해야 합니다.이름표를 수정해야 합니다.인증서 파일을 ~/.cert 디렉토리로 옮겨야 함유효한 파일 레이블을 선택해야 합니다.mozplugger 꾸러미를 제거해야 합니다.이를 허용하려면 SELinux를 설정해야 합니다이에 대해 SELinux에 알려야 합니다'httpd_unified' 및 'http_enable_cgi' 부울을 활성화하여 이에 대해 SELinux에 알려야 합니다vbetool_mmap_zero_ignore 부울을 활성화하여 이에 대해 SELinux에 알려야 합니다.wine_mmap_zero_ignore 부울을 활성화하여 이에 대해 SELinux에 알려야 합니다.Chrome 플러그인에서 SELinux 제어를 비활성화해야 합니다.Firefox 플러그인에서 SELinux 제어를 비활성화해야 합니다.이름표를 추가해야 합니다.$TARGET_PATH에서의 레이블을 public_content_rw_t로 변경해야 하며 allow_httpd_sys_script_anon_write 부울을 활성화해야 합니다.시스템 자원이 부족한 이유를 진단하고 문제를 해결해야 합니다 . /usr/include/linux/capability.h에 따르면 sys_resource는 다음을 수행해야 합니다: /* 자원 제한을 무시합니다. 자원 한계를 설정하세요. */ /* 할당량 한계를 재정의합니다. */ /* ext2 파일 시스템에서 예약된 공간을 재정의합니다. */ /* ent3 파일 시스템에서 자료 저널링 공간을 수정합니다 (저널링 자원 사용) */ / * 기록 : ext2는 자원 재정의를 확인 할 때 fsuid를 존중하며, 그래서 fsuid를 사용하여 재정의 할 수도 있습니다. */ / * IPC 메시지 대기열에서 크기 제한을 재정의 합니다 */ / * 실-시간 클럭에서 64hz 이상의 인터럽트 허용합니다 */ / * 콘솔 할당에서 콘솔의 최대 수를 재정의 합니다 */ / * 키맵의 최대 수를 재정의 합니다 */ 모두 다시 이름표를 해야 합니다.샌드박스 유형을 수정해야 합니다. sandbox_web_t 또는 sandbox_net_t. 예: sandbox -X -t sandbox_net_t $SOURCE_PATH 보다 자세한 내용은 '샌드박스' man 페이지에서 참조하십시오. 버그를 보고해야 합니다. 이는 잠재적으로 위험한 접근입니다.결점를 보고해야 합니다. 이는 잠재적으로 위험한 접근입니다./proc/sys/net/ipv6/conf/all/disable_ipv6를 1로 설정하고 모듈을 블랙리스트하지 않습니다다른 명령을 사용해야 합니다. 대상 파일 시스템에서 SELinux 문맥을 저장하는 것을 허용하지 않습니다.execstack 플래그를 삭제하고 $SOURCE_PATH가 올바르게 작동하고 있는지 확인합니다. 이를 %s에 버그로 보고합니다. 다음을 실행하여 exestack 플래그를 삭제 할 수 있습니다: