eaiovnaovbqoebvqoeavibavo 43L1:8sVzgh9|(EH -R;!"t(#I#~$f%,$& Q'[(mw)+1k2/3 M4Z6.X8b:;=>QAJCEGIJ7LNQPTBQR9TUSWPWMXN^ZNZUZGR[][O[kH\R\q]fy]V]F7^K~^V^E!_Sg_j_B&`Ti`T`^crc4dte4fZg?.kZnkkY|nUn6,qcrCt6w#yX| 4}B~Sf |  zՅp 3e)_efUيrJIՏDbޗA\՘b2\+c7< %ś:*&Qa/r:8ݜT5k4x֝tOyĞT>7m˟a9UefWNg :uE¢NFWI76 cW'p+TGGȥuf hlj]hȨ81!j/̩4ܩ$.6e{,ê?ߪ01P]2K2_]cT,ddN Xp_-]E-1_4x!'ϰ$ _=RO9@:zӲ_#>BA.^psϷCڸ<YڼU4VuuWPX^*{_[x?=.}mv bB>,B9_&n]A2+ZwvSPWVHHQ@ A _ L4 k O v= c Q ?j D P F@ M p <FNZytSCLgfcV!e"} %'wH*d-,%.!R/t05123 466J778&99;:u:nb;r;xD<<<=x>U?A @OB(F%GHIbwKK\zLbL\:M+McM4'NB\NN6OPO&cO+OJO1P3PFP/ZP=P;PSQ>XQ;QuQqIRpRQ,S>~SqSb/TgT|T|wU[UqPVKVWOWOmWLWO XDZXCXqX0UYY-ZM4ZLZZ\[Z\^_\j\{)]]<'^#d^A^^^-^'_?@___3__J `0W`1`^`1aXKa2ajaqBbb&bbpbZocccqdp/eJe0ef8:f+sf*f-ffigUgRg<)h@fh hhCUi%llIlmHmZmZnn8) wGD^$o.5%z;:T@pRt!u6C3x0W`_~+'hJI egB|Y*ci,yrH}NA21sq 9&kS7[V-MUL(FEK<v "fX>4]njm =# /{\?dPlaObQZ dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. $TARGET_PATH default SELinux type is %s, but its current type is $TARGET_TYPE. Changing this file back to the default type may fix your problem.

File contexts can be assigned to a file in the following ways.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied svirt access to $TARGET_PATH. If this is a virtualization image, it has to have a file context label of virt_image_t. The system is setup to label image files in directory./var/lib/libvirt/images correctly. We recommend that you copy your image file to /var/lib/libvirt/images. If you really want to have your image files in the current directory, you can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied svirt access to the block device $TARGET_PATH. If this is a virtualization image, it needs to be labeled with a virtualization file context (virt_image_t). You can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing access to a file labeled unlabeled_t. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux permission checks on files labeled unlabeled_t are being denied. unlabeled_t is a context the SELinux kernel gives to files that do not have a label. This indicates a serious labeling problem. No files on an SELinux box should ever be labeled unlabeled_t. If you have just added a disk drive to the system, you can relabel it using the restorecon command. For example if you saved the home directory from a previous installation that did not use SELinux, 'restorecon -R -v /home' will fix the labels. Otherwise you should relabel the entire file system. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Change the file label to xen_image_t.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRelabel the whole file system. Includes reboot!Restore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.Set the image label to virt_image_t.This is caused by a newly created file system.Try to fix the label.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: POT-Creation-Date: 2021-09-07 17:26+0200 PO-Revision-Date: 2021-02-28 13:40+0000 Last-Translator: Geert Warrink Language-Team: Dutch Language: nl MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=2; plural=n != 1; X-Generator: Weblate 4.4.2 dac_override en dac_read_search mogelijkheden geven gewoonlijk aan dat het root proces geen toegang heeft tot een bestand gebaseerd op rechten vlaggen. Dit betekent gewoonlijk dat je een bestand hebt met de verkeerde eigenaar/rechten. SELinux belette toegang gevraagd door $SOURCE. Het wordt niet verwacht dat deze toegang voor $SOURCE nodig is en deze toegang kan een indringing poging aangeven. Het is ook mogelijk dat de specifieke versie of configuratie van de toepassing het veroorzaakt om extra toegang aan te vragen. SELinux verbood toegang gevraagd door $SOURCE. De huidige boolean instellingen staat deze toegang niet toe. Als je $SOURCE niet ingesteld hebt om deze toegang te vragen kan dit een indringingsaanval betekenen. Als je deze toegang bedoeld hebt moet je de booleans op dit systeem veranderen om de toegang toe te staan. SELinux belette de $SOURCE "$ACCESS" toegang tot apparaat $TARGET_PATH. $TARGET_PATH is verkeerd gelabeld, dit apparaat heeft het standaard label van de /dev map, wat niet mag gebeuren. Alle Karakter en/of Blok apparaten moeten een label hebben. Je kunt proberen het label van het bestand te veranderen met restorecon -v '$TARGET_PATH'. Als dit apparaat gelabeld blijft met device_t, dan is er een fout in SELinux tactiek. Dien een fout rapport in. Als je kijkt naar andere vergelijkbare apparaat labels, ls -lZ /dev/SIMILAR, en vindt een type dat kan werken voor $TARGET_PATH, kun je chcon -t SIMILAR_TYPE '$TARGET_PATH' gebruiken. Als dat het probleem oplost, kun je dit permanent maken door uit te voeren semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' Als restorecon de context verandert, geeft dit aan dat de toepassing die het apparaat heeft aangemaakt, dit gedaan heeft zonder het gebruik van SELinux API's. Als je uit kunt vinden welke toepassing het apparaat aangemaakt heeft, dien dan een fout rapport in.voor deze toepassing. Probeer restorecon -v '$TARGET_PATH' of chcon -t SIMILAR_TYPE '$TARGET_PATH' Het veranderen van de "$BOOLEAN" boolean naar waar zal deze toegang toestaan: "setsebool -P $BOOLEAN=1" Het veranderen van de $BOOLEAN" boolean naar waar zal deze toegang toestaan: "setsebool -P $BOOLEAN=1." Het veranderen van de "allow_ftpd_use_nfs" boolean naar waar zal deze toegang toestaan: "setsebool -P allow_ftpd_use_nfs=1." Het veranderen van de file_context naar mnt_t zal mount toestaan om het bestandssysteem aan te koppelen: "chcon -t mnt_t '$TARGET_PATH'." Je moet ook de standaard bestand context bestanden op het systeem veranderen om ze te behouden bij een volledige her-labelering. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Beperkte domeinen moeten "sys_resource" niet nodig hebben. Dit betekent gewoonlijk dat je systeem draait met te weinig systeem hulpbronnen zoals schijfruimte, geheugen, quota enz. Ruim de schijf op en deze AVC boodschap moet verdwijnen. Als deze AVC blijft nadat je de schijfruimte opgeschoond hebt, moet je dit als een bug rapporteren. Beperkte processen kunnen ingesteld worden om te draaien met andere toegang, SELinux levert booleans om je toe te staan toegang aan/uit te zetten naar behoefte. Als het aan httpd scripts toegestaan moet worden om naar publieke mappen te schrijven, moet je de $BOOLEAN boolean aanzetten en de bestandscontext van de publieke map veranderen naar public_content_rw_t. Lees de httpd_selinux man pagina voor meer informatie: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " Je moet ook de standaard bestandscontext label bestanden op het systeem veranderen om de publieke map labeling te behouden na een volledig opnieuw labelen. "semanage fcontext -a -t public_content_rw_t " Als je $TARGET_PATH vertrouwt om correct te draaien, kun je de bestands context veranderen naar textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" Je moet ook de standaard bestandscontext bestanden op het systeem veranderen om deze te behouden ook na een volledige her-bestempeling. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" Als je $SOURCE wilt laten doorgaan, moet je de $BOOLEAN boolean aanzetten. Merk op: Deze boolean zal alle toepassingen op het systeem beïnvloeden. Als je httpd wilt toestaan om mail te versturen moet je de $BOOLEAN boolean aanzetten: "setsebool -P $BOOLEAN=1" Als je $SOURCE wilt toestaan om te verbinden met poort $PORT_NUMBER, voer je uit # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER waarin PORT_TYPE een van de volgende is: %s. Als dit systeem als een NIS cliënt draait, kan het aanzetten van de allow_ypbind boolean het probleem oplossen. setsebool -P allow_ypbind=1. Als je $SOURCE wilt toestaan om te verbinden met $PORT_NUMBER, kun je het volgende uitvoeren # sandbox -X -t sandbox_net_t $SOURCE Als je $SOURCE wilt toestaan om naar $PORT_NUMBER te verbinden, kun je uitvoeren # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER waarin PORT_TYPE een van de volgende is: %s. Als je de bestand context van $TARGET_PATH wilt veranderen zodat de automounter het kan uitvoeren moet je "chcon -t bin_t $TARGET_PATH" uitvoeren. Als je dit wilt handhaven na een her-bestempeling, moet je de bestand context permanent veranderen: voer uit "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux belette $SOURCE toegang tot $TARGET_PATH. Als dit een swap bestand is moet het een swapfile_t bestandscontext label hebben. Als je niet van plan was $TARGET_PATH als een swap bestand te gebruiken is kan deze boodschap aangeven dar het een fout of een indringingspoging is. SELinux verbood RSYNC toegang tot $TARGET_PATH. Als dit een RSYNC repository is moet het een rsync_data_t bestandscontext hebben. Als je $TARGET_PATH niet als een RSYNC repository bedoeld had kan het een fout of indringingspoging aangeven. SELinux belette toegang aangevraagd door $SOURCE. $SOURCE_PATH kan verkeerd gelabeld zijn. $SOURCE_PATH standaard SELinux type is %s, maar het huidige type is $SOURCE_TYPE. Het veranderen van dit bestand naar het standaard type, kan je probleem oplossen.

Dit bestand kan verkeerd gelabeld zijn door een gebruikersfout of als een normaal beperkte toepassing in het verkeerde domein werd uitgevoerd.

Het kan echter ook een bug aangeven in SELinux omdat het bestand niet met dit type gelabeld had moeten zijn.

Als je denkt dat dit een bug is, maak dan een bugrapport aan voor dit pakket. SELinux weigerde toegang aangevraagd door $SOURCE. $TARGET_PATH kan verkeerd gelabeld zijn. $TARGET_PATH standaard SELinux type is %s , maar het huidige type is $TARGET_TYPE. Veranderen van dit bestand naar het standaardtype kan je probleem oplossen.

Bestandscontexten kunnen op de volgende manieren aan een bestand worden toegewezen.

Dit bestand kan verkeerd zijn gelabeld door een gebruikersfout of door een normaal beperkte toepassing werd uitgevoerd onder het verkeerde domein.

Dit kan echter ook duiden op een bug in SELinux omdat het bestand niet gelabeld had moeten zijn met dit type.

Als je denkt dat dit een bug is, dien dan een bugrapport in voor dit pakket. SELinux belette toegang verzocht door $SOURCE. $TARGET_PATH kan verkeerd gelabeld zijn. Het is openvpn toegestaan om inhoud in de persoonlijke te lezen als deze een juist label heeft. SELinux belette toegang verzocht door $SOURCE. $TARGET_PATH kan veroorzaakt zijn door een verkeerd label. Het is sshd toegestaan om inhoud in de /root/.ssh map te lezen als deze een juist label heeft. SELinux verbood toegang aangevraagd door $SOURCE. Het wordt niet verwacht dat deze toegang nodig is voor $SOURCE en deze toegang kan een teken zijn van een indringingspoging. Het is ook mogelijk dat de specifieke versie of configuratie van de toepassing veroorzaakt dat het extra toegang vereist. SELinux verbood toegang aangevraagd door $SOURCE. Het wordt niet verwacht dat deze toegang nodig is voor $SOURCE en deze toegang kan een teken zijn van een indringingspoging. Het is ook mogelijk dat de specifieke versie of configuratie van de toepassing veroorzaakt dat het extra toegang vereist. mozplugger en spice-xpi draaien toepassingen in mozilla-plugin's die toegang vereisen tot het bureaublad, wat de mozilla_plugin vergrendeling niet zal toestaan, dus je moet de mozilla_plugin vergrendeling uitzetten of deze pakketten niet gebruiken. SELinux verbood toegang aangevraagd door $SOURCE. Het wordt niet verwacht dat deze toegang nodig is voor $SOURCE en deze toegang kan een teken zijn van een indringingspoging. Het is ook mogelijk dat de specifieke versie of configuratie van de toepassing veroorzaakt dat het extra toegang vereist. spice-xpi draait toepassingen in mozilla-plugin's die toegang vereisen tot het bureaublad, wat de mozilla_plugin vergrendeling niet zal toestaan, dus je moet de mozilla_plugin vergrendeling uitzetten of deze pakketten niet gebruiken. SELinux belet toegang gevraagd door het $SOURCE commando. Het lijkt erop dat dit, of een lekkende beschrijving is, of $SOURCE output was omgeleid naar een bestand waartoe toegang niet toegestaan is. Lekken kunnen gewoonlijk genegeerd worden omdat SELinux de lek sluit en de fout rapporteert. De toepassing gebruikt de beschrijving niet, dus het draait correct. Als dit een omleiding is, zul je geen output in $TARGET_PATH krijgen. Je moet een bugzilla voor selinux-policy aanmaken, en dit wordt doorgegeven van het betreffende pakket. Je kunt deze avc veilig negeren. SELinux verbood toegang tot $TARGET_PATH aangevraagd door $SOURCE. $TARGET_PATH heeft een context gebruikt voor het delen met een ander programma. Als je ook $TARGET_PATH van $SOURCE wilt delen, moet je zijn bestand context veranderen naar public_content_t veranderen. Als je deze toegang niet bedoeld had, kan dit een teken zijn van een indringing poging. SELinux belette cvs toegang tot $TARGET_PATH. Als dit een CVS repository is moet het een bestand context label hebben van het type cvs_data_t. Als je niet van plan was om $TARGET_PATH als een CVS repository te gebruiken kan dit, of een fout zijn, of een teken zijn van een indringing poging. SELinux verbood samba toegang tot $TARGET_PATH. Als je deze map met samba wilt delen moet het een samba_share_t bestandscontext label hebben. Als je niet van plan was om $TARGET_PATH als een samba repository te gebruiken kan deze boodschap een fout of een indringing poging aangeven. Refereer naar 'man samba_selinux' voor meer informatie over het instellen van Samba en SELinux. SELinux belette svirt toegang tot $TARGET_PATH. Als dit een virtualisatie image is, moet het gelabeld worden met een virt_image_t bestand context label. Het systeem is ingesteld om image bestanden in de map /var/lib/libvirt/images correct te labelen. We bevelen je aan om een kopie van jouw image bestand te maken in var/lib/libvirt/images. Als je echt je image bestanden in de huidige map wilt hebben, kun je $TARGET_PATH her-labelen naar virt_image_t door chcon te gebruiken. Je moet ook semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH uitvoeren om dit nieuwe pad aan jouw systeem standaarden toe te voegen. Als je niet van plan was om $TARGET_PATH als een virtualisatie image te gebruiken geeft dit een fout of een indringingspoging aan. SELinux verbood svirt toegang tot het blok apparaat $TARGET_PATH. Dit is een virtualisatie image, het moet gelabeld worden met een virtualisatie bestand context (virt_image_t). Je kunt $TARGET_PATH her-labelen naar een virt_image_t met chcon. Je moet ook uitvoeren: semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' om dit nieuwe pad toe te voegen aan de systeem standaard instelling. Als je niet bedoeld had om $TARGET_PATH als een virtualisatie image te gebruiken kan dit of een fout of een indringingsaanval betekenen. SELinux belette xen toegang tot $TARGET_PATH. Als dit een XEN image is, moet het een xen_image_t bestandscontext hebben. Het systeem is ingesteld om image bestanden in de /var/lib/xen/images correct te labelen. We bevelen aan om je image bestanden te kopiëren naar var/lib/xen/images. Als je echt wilt dat er xen image bestanden in de huidige map zijn, moet je $TARGET_PATH her-labelen naar xen_image_t met chcon. Je moet ook semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' uitvoeren om dit nieuwe pad toe te voegen aan de systeem standaarden. Als je niet van plan was om $TARGET_PATH als een xen image te gebruiken kan dit een fout of een indringing poging aangeven. SELinux heeft de $SOURCE niet toegestaan om te verbinden met een netwerkpoort $PORT_NUMBER welke geen SELinux type met zich verbonden heeft. Als $SOURCE verondersteld wordt toegang te hebben naar $PORT_NUMBER, gebruik je het semanage commando om aan $PORT_NUMBER een poorttype toe te kennen dat $SOURCE_TYPE kan verbinden met (%s). Als $SOURCE niet verondersteld wordt om met $PORT_NUMBER te verbinden, kan dit een teken zijn van een indringingspoging. SELinux heeft $SOURCE niet toegestaan om te verbinden met een netwerkpoort $PORT_NUMBER binnen een zandbak. Als $SOURCE verondersteld wordt toegang te hebben tot $PORT_NUMBER, moet je een ander type zandbak gebruiken zoals sandbox_web_t of sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE. Als $SOURCE niet verondersteld wordt te verbinden met $PORT_NUMBER, dan kan dit een teken zijn van een inbraakpoging. SELinux heeft $SOURCE niet toegestaan om toegang te krijgen tot mogelijk verkeerd gelabelde bestanden $TARGET_PATH. Dit betekent dat SELinux httpd niet zal toestaan deze bestanden te gebruiken. Als httpd deze toegang toegestaan moet, zijn moet je de bestand context veranderen naar een van de volgende types, %s. Vele toepassingen van derden installeren html bestanden in mappen op een manier niet die niet voorzien is in de SELinux tactiek. Deze mappen moeten gelabeld worden met een bestand context waarnaar httpd toegang heeft. SELinux heeft de $SOURCE verboden om te verbinden met een netwerk poort $PORT_NUMBER welke geen SELinux type met zich verbonden heeft. Als $SOURCE verondersteld wordt om naar $PORT_NUMBER te luisteren, gebruik je het semanage commando om aan $PORT_NUMBER een poort type toe te kennen dat $SOURCE_TYPE kan verbinden met (%s). Als $SOURCE niet verondersteld wordt met $PORT_NUMBER te verbinden, kan dit een teken zijn van een indringingspoging. SELinux heeft $SOURCE de mogelijkheid belet voor mmap van lage gebieden van de kernel adres ruimte. De mogelijkheid voor mmap van een laag gebied van de geheugenruimte, wordt geconfigureerd door /proc/sys/kernel/mmap_min_addr. Het voorkomen van zulke afbeeldingen helpt voor de bescherming tegen het uitbuiten van null deref fouten in de kernel. Alle toepassingen die deze toegang nodig moeten al een geschreven tactiek hiervoor hebben. Als een in gevaar gebrachte toepassing probeert de kernel te veranderen wordt deze AVC aangemaakt. Dit is een ernstig probleem. Jouw systeem kan zeker in gevaar zijn gebracht. SELinux heeft de $SOURCE_PATH niet toegestaan om potentieel verkeerd bestempelde bestanden $TARGET_PATH uit te voeren. Automounter kan ingesteld worden om configuratie bestanden uit te voeren. Als $TARGET_PATH een automount uitvoerbaar configuratie bestand is moet het een bin_t bestand label hebben. Als automounter probeert iets uit te voeren wat het niet verondersteld wordt te doen, kan dit een indringing aanval betekenen. SELinux heeft de http daemon verboden om mail te versturen. Een httpd script probeert te verbinden met een dmail poort of het uitvoeren van het sendmail commando. Als je httpd niet ingesteld hebt voor sendmail, kan dit een teken zijn van een indringingspoging. SELinux heeft $SOURCE belet om een kernel module te laden. Alle beperkte programma's die kernel modules moeten laden moeten hiervoor al een geschreven tactiek hebben. Als een in gevaar gebrachte toepassing probeert om de kernel te veranderen wordt deze AVC aangemaakt. Dit is een ernstig probleem. Jouw systeem kan zeker in gevaar gebracht zijn. SELinux heeft $SOURCE belet om $TARGET te veranderen. Deze weigering geeft aan dat $SOURCE probeerde om de selinux tactiek instelling te veranderen. Alle toepassingen die deze toegang nodig hebben moeten al een geschreven tactiek hiervoor hebben. Als een in gevaar gebrachte toepassing de selinux tactiek probeert te veranderen zal deze AVC aangemaakt worden. Dit is een ernstig probleem. Jouw systeem kan zeker in gevaar gebracht zijn. SELinux heeft $SOURCE belet om $TARGET te veranderen. Deze weigering geeft aan dat $SOURCE probeerde om de manier waarop de kernel draait te veranderen of om code aan de kernel toe te voegen. Alle toepassingen die deze toegang nodig hebben moeten al een tactiek hebben die hiervoor geschreven is. Als een in gevaar gebrachte toepassing probeert de kernel te veranderen zal deze AVC aangemaakt worden. Dit is een ernstig probleem. Jouw systeem kan zeker in gevaar gebracht zijn. SELinux heeft $SOURCE belet om naar een bestand in /sys/fs/selinux te schrijven. Bestanden in /sys/fs/selinux bepalen de manier waarop SELinux ingesteld is. Alle programma's die naar bestanden in /sys/fs/selinux moeten schrijven moeten hiervoor al een geschreven tactiek hebben. Als een in gevaar gebrachte toepassing probeert om SELinux uit te zetten wordt deze AVC aangemaakt. Dit is een ernstig probleem. Jouw systeem kan zeker in gevaar gebracht zijn. SELinux belette vbetool om een onveilige geheugen operatie uit te voeren. SELinux belette wine om een onveilige geheugen operatie uit te voeren. SELinux belet $SOURCE om een bestand aan te maken met een $SOURCE_TYPE context type in een bestandssysteem. Gewoonlijk gebeurt dit als je met het cp commando vraagt om de context van een bestand te handhaven als het kopieert tussen bestandssystemen, "cp -a" bijvoorbeeld. Niet alle bestand context moet gehandhaafd blijven tussen bestandssystemen. Bijvoorbeeld, een alleen-lezen bestand type zoals iso9660_t moet niet geplaatst worden in een r/w systeem. "cp -p" kan een betere oplossing zijn, want dit zal de standaard bestandscontext overnemen van de bestemming. SELinux belet $SOURCE_PATH "$ACCESS" toegang tot $TARGET_PATH. SELinux belet $SOURCE_PATH "$ACCESS" toegang tot $TARGET_PATH. SELinux belet $SOURCE_PATH "$ACCESS" toegang tot apparaat $TARGET_PATH. SELinux belet $SOURCE_PATH "$ACCESS" naar $TARGET_PATH. SELinux belet $SOURCE_PATH toegang tot een gelekte $TARGET_PATH bestand beschrijving. SELinux belet $SOURCE_PATH om te verbinden met poort $PORT_NUMBER. SELinux belet $SOURCE_PATH om de toegang bescherming van geheugen op de stapel te veranderen. SELinux belet de $SOURCE_PATH om te verbinden met poort $PORT_NUMBER. SELinux belet $SOURCE_PATH om een bestand aan te maken in een bestandssysteem met context type $SOURCE_TYPE. SELinux belet $SOURCE_PATH het laden van $TARGET_PATH wat een tekst verplaatsing vereist. SELinux belet $SOURCE_PATH om de programma stapel uitvoerbaar te maken. SELinux belet $SOURCE_PATH de "$ACCESS" mogelijkheid. SELinux belet $SOURCE_PATH de "sys_resource" mogelijkheid. SELinux belet Samba ($SOURCE_PATH) "$ACCESS" toegang tot $TARGET_PATH. SELinux belet toegang tot een bestand met label unlabeled_t. SELinux belet cvs ($SOURCE_PATH) "$ACCESS" toegang tot $TARGET_PATH SELinux belet de $SOURCE_PATH om potentieel verkeerd gelabelde bestanden ($TARGET_PATH) uit te voeren. SELinux belet de http daemon om mail te versturen. SELinux belet xen ($SOURCE_PATH) "$ACCESS" toegang tot $TARGET_PATH. SELinux toestemmingscontroles op bestanden met het label unlabeled_t worden verboden. unlabeled_t is een context die de SELinux kernel aan bestanden geeft die geen label hebben. Dit geeft een serieus label probleem aan. In een SELinux box mogen bestanden nooit gelabeld zijn met unlabeled_t. Als je zojuist een schijfstation aan het systeem hebt toegevoegd kun je het opnieuw labelen met het restorecon commando. Bijvoorbeeld, als je de persoonlijke map van een vorige installatie opgeslagen hebt waarin SELinux niet gebruikt werd, zal 'restorecon -R -v /home' de labels repareren. Anders moet je het gehele bestandssysteem opnieuw labelen. SELinux tactiek belet een http script om naar een publieke map te schrijven. SELinux tactiek belet een httpd script om naar een publieke map te schrijven. Als httpd niet ingesteld is om naar publieke mappen te schrijven, kan dit een teken zijn van een indringing poging. SELinux belette $SOURCE om een bestandssysteem aan te koppelen op het bestand of de map "$TARGET_PATH" van het type $TARGET_TYPE". Standaard beperkt SELinux het aankoppelen van bestandssystemen tot maar een paar bestanden of mappen (die met types die het aankoppel punt attribuut hebben). Het type "$TARGET_TYPE" heeft deze attribuut niet. Je kunt het label van het bestand of de map veranderen. SELinux belette $SOURCE om aan te koppelen op het bestand of map "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux belette httpd $ACCESS toegang tot $TARGET_PATH. Het is httpd scripts niet toegestaan om te schrijven zonder expliciete labeling van alle bestanden. Als $TARGET_PATH beschrijfbare inhoud heeft, moet het gelabeld zijn met httpd_sys_rw_content_t of als je er alleen iets aan toe wilt voegen kun je het labelen met httpd_sys_ra_content_t. Refereer naar 'man httpd_selinux' voor meer informatie over het instellen van httpd en SELinux. SELinux belette httpd $ACCESS toegang tot http bestanden. Gewoonlijk heeft httpd volledige toegang naar alle bestanden gelabeld met de http bestandscontext. Deze machine heeft een beperkter beveiligingstactiek met de $BOOLEAN uitgezet, dit vereist een explicite labeling van alle bestanden. Als een bestand een cgi script is moet het met httpd_TYPE_script_exec_t gelabeld zijn om uitvoerbaar te zijn. Als het alleen-lezen inhoud heeft, moet het met httpd_TYPE_content_t gelabeld zijn, als het beschrijfbare inhoud heeft moet het met httpd_TYPE_content_rw_t of httpd_TYPE_script_ra_t gelabeld zijn. Je kunt het chcon commando gebruiken om deze contexten te veranderen. Refereer naar de manual pagina met "man httpd_selinux" of FAQ "TYPE" refereert naar een uit "sys", "user" of "staff" of potentieel andere script types. SELinux belette httpd $ACCESS toegang tot http bestanden. SELinux belette de ftp daemon om te $ACCESS bestanden opgeslagen op een CIFS bestandssysteem. SELinux belette de ftp daemon om te $ACCESS bestanden op een CIFS bestandssysteem. CIFS (Comment Internet File System) is een netwerk bestandssysteem vergelijkbaar met SMB (http://www.microsoft.com/mind/1196/cifs.asp) De ftp daemon probeerde een of meer bestanden of mappen te lezen van een aangekoppeld bestandssysteem van dit type. Daar CIFS bestandssystemen geen ondersteuning bieden voor fijnkorrelige SELinux markering, zullen alle bestanden en mappen in het bestandssysteem dezelfde beveiliging context hebben. Als je ftp niet geconfigureerd hebt om bestanden van een CIFS bestandssysteem te lezen kan deze toegangspoging een teken zijn van een indringingspoging. SELinux belette de ftp daemon om te $ACCESS bestanden opgeslagen op een NFS bestandssysteem. SELinux belette de ftp daemon om te $ACCESS bestanden op een NFS bestandssysteem. NFS (Network Filesystem) is een veel gebruikt netwerkbestandssysteem in Unix / Linux systemen. De ftp daemon probeerde een of meer bestanden op mappen te lezen van een aangekoppeld bestandssysteem van dit type. Daar NFS bestandssystemen geen ondersteuning bieden voor fijnkorrelige SELinux markering, zullen alle bestanden en mappen in het bestandssysteem dezelfde beveiliging context hebben. Als je de fpt daemon niet geconfigureerd hebt om bestanden van een NFS bestandssysteem te lezen kan deze toegang poging een teken zijn van een indringing poging.. Soms wordt een bibliotheek per ongeluk gemarkeerd met de execstack vlag, als je een bibliotheek tegenkomt met deze vlag dan kun je deze verwijderen met execstack -c LIBRARY_PATH. Probeer nu je toepassing opnieuw. Als de toepassing nog steed niet werkt, kun je de vlag weer aanzetten met execstack -s LIBRARY_PATH. De $SOURCE toepassing probeerde de toegang bescherming van geheugen op de stapel te veranderen (b.v., toekenning met malloc). Dit is een potentieel beveiligings probleem. Toepassingen moeten dit niet doen. Toepassingen zijn soms niet correct geschreven en vragen deze rechten. De SELinux Memory Protection Tests web pagina legt uit hoe deze vereiste te verwijderen is. Als $SOURCE niet werkt en je moet het werkende hebben, kun je SELinux tijdelijk configureren om deze toegang toe te staan totdat de toepassing verbeterd is. Dien een fout rapport in voor dit pakket. De $SOURCE toepassing probeerde $TARGET_PATH te laden wat tekstverplaatsing vereist. Dit is een potentieel beveiligingsprobleem. De meeste bibliotheken hebben deze toestemming niet nodig. Bibliotheken zijn soms niet correct geschreven en vereisen deze rechten. De SELinux Memory Protection Tests webpagina legt uit hoe deze vereiste te verwijderen is. Je kunt SELinux tijdelijk configureren om $TARGET_PATH toe te staan om verplaatsing te gebruiken als een noodoplossing totdat de bibliotheek verbeterd is. Dien een fout rapport in. De $SOURCE toepassing probeert $TARGET_PATH te laden wat tekstverplaatsing vereist. Dit is een potentieel beveiligingsprobleem. De meeste bibliotheken hebben deze rechten niet nodig. De SELinux Memory Protection Tests webpagina legt deze controle uit. Dit gereedschap onderzoekt de bibliotheek en kijkt of het correct gemaakt is. Dus setroubleshoot kan niet bepalen of deze toepassing wel of niet in gevaar is gebracht. Dit kan een ernstige zaak zijn. Jouw systeem kan misschien in gevaar zijn gebracht. Neem contact op met jouw beveiliging beheerder en rapporteer dit probleem. De $SOURCE toepassing probeerde zijn stack uitvoerbaar te maken. Dit is een potentieel beveiligingsprobleem. Dit moet nooit en te nimmer nodig zijn. Stackgeheugen is tegenwoordig niet uitvoerbaar in de meeste OS'en en dat zal niet veranderen. Uitvoerbaar stackgeheugen is een van de grootste veiligheidsproblemen. Een execstack fout kan in feite de meest waarschijnlijke zijn om opgewekt te worden door kwaadwillige code. Toepassingen zijn soms verkeert geschreven en vereisen deze toestemming. De SELinux Memory Protection Tests web pagina legt uit hoe deze vereiste te verwijderen is. Als $SOURCE niet werkt en je moet het werkende hebben, kun je SELinux configureren tijdelijk deze toegang toe te staan totdat de applicatie is hersteld. Dien een fout rapport in. Gebruik een commando zoals "cp -p" om alle rechten vast te houden behalve SELinux context. Je kunt de bestand context veranderen door chcon -R -t cvs_data_t '$TARGET_PATH' uit te voeren. Je moet ook de standaard bestandscontext bestanden van het systeem veranderen om dit te handhaven na volledige her-bestempeling. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" Je kunt de bestand context veranderen met chcon -R -t rsync_data_t '$TARGET_PATH' Je moet ook de standaard bestand context bestanden op het systeem veranderen om dit te bewaren zelfs bij een volledig opnieuw labelen. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" Je kunt de bestand context veranderen met chcon -R -t samba_share_t '$TARGET_PATH' Je moet ook de standaard bestand context bestanden op het systeem veranderen om deze te bewaren ook na een volledige her-labeling. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" Je kunt de bestand context veranderen door het uitvoeren van chcon -t public_content_t '$TARGET_PATH' Je moet ook de standaard bestand context bestanden op het systeem veranderen om dit te behouden ook na een volledige her-labeling. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" Je kunt de bestand context veranderen met chcon -t swapfile_t '$TARGET_PATH' Je moet ook de standaard bestand context bestanden op het systeem veranderen om dit te behouden ook na een volledige her-labeling. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" Je kunt de bestand context veranderen met chcon -t virt_image_t '$TARGET_PATH' Je moet ook de standaard bestand context bestanden op het systeem veranderen om dit te bewaren na een volledige her-labeling. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" Je kunt de bestand context veranderen met chcon -t xen_image_t '$TARGET_PATH' Je moet ook de standaard bestand context bestanden veranderen om dit te behouden ook na een volledige her-labeling. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" Je kunt het volgende commando uitvoeren als root om jouw computer systeem te her-labelen: "touch /.autorelabel; reboot" Je kunt een locale tactiek module maken om deze toegang toe te staan - zie FAQ Dien een fout rapport in. Je kunt een locale tactiek module maken om deze toegang toe te staan - zie FAQ Je kunt de standaard systeemcontext voor dit bestand hersytellen door het restorecon commando uit te voeren. # restorecon -R /root/.ssh Je kunt de standaard systeemcontext voor dit bestand hersytellen door het restorecon commando uit te voeren. # restorecon -R /root/.ssh Je kunt de standaard systeemcontext voor dit bestand herstellen met het uitvoeren van het restorecon commando. restorecon '$SOURCE_PATH'. Je kunt de standaard systeem context voor dit bestand herstellen door het restorecon commando uit te voeren. restorecon '$TARGET_PATH', als dit bestand een map is, kun je recursief herstellen met restorecon -R '$TARGET_PATH'. Jouw systeem kan ernstig in gevaar gebracht zijn! Jouw systeem kan ernstig in gevaar gebracht zijn! $SOURCE_PATH probeerde om lage kernel geheugen te mmappen Jouw systeem kan ernstig in gevaar gebracht zijn! $SOURCE_PATH probeerde een kernel module te laden. Je systeem kan ernstig in gevaar gebracht zijn! $SOURCE_PATH probeerde SELinux afdwinging te veranderen. Jouw systeem kan ernstig in gevaar gebracht zijn! $SOURCE_PATH probeerde de kernel configuratie te veranderen. Schakel IPV6 netjes uit. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Verwijder het mozplugger of spice-xpi pakket met het uitvoeren van 'yum remove mozplugger spice-xpi' of zet afdwinging van SELinux voor de Firefox plug-ins uit. setsebool -P unconfined_mozilla_plugin_transition 0 Verwijder het mozplugger of spice-xpi pakket met het uitvoeren van 'yum remove mozplugger spice-xpi' of zet het afdwingen van SELinux uit voor de Chrome plug-ins. setsebool -P unconfined_chrome_sandbox_transition 0 Als je besluit om dit programma te blijven gebruiken moet je deze operatie toestaan. Je kunt dit doen op de commando-regel met het uitvoeren van: # setsebool -P mmap_low_allowed 1 SELinux belette een operatie aangevraagd door $SOURCE, een programma gebruikt om de video hardware toestand te veranderen. Het is bekend dat dit programma een onveilige operatie op systeemgeheugen gebruikt, maar dat doen ook een aantal malware/uitbuitings programma's die zich vermommen als vbetool. Dit gereedschap wordt gebruikt om de video toestand te resetten als een machine verdergaat vanuit de suspend toestand. Als jouw machine niet correct verdergaat is je enigste keuze om deze operatie toe te staan en jouw systeembeveiliging te verlagen voor zulke malware. SELinux heeft een operatie verboden die gevraagd werd door wine-preloader, een programma gebruikt om Windows toepassingen onder Linux te draaien. Het is bekend dat dit programma een onveilige operatie op systeem geheugen gebruikt maar dat doen een aantal malware/uitbuiting programma's ook die zich voordoen als wine. Als je probeerde een Windows programma uit te voeren is je enigste keuze om deze operatie toe te staan en je systeem beveiliging tegen zulke malware te verlagen of om af te zien van het draaien van Windows toepassingen onder Linux. Als je niet probeerde om een Windows toepassing te draaien geeft dit aan dat je waarschijnlijk aangevallen wordt door een vorm van malware of een programma die je systeem probeert uit te buiten voor snode doeleinden. Refereer naar http://wiki.winehq.org/PreloaderPageZeroProblem Waar de andere problemen die wine tegenkomt door zijn onveilig gebruik van geheugen wordt uitgelegd en oplossingen voor deze problemen. Zet volledige audit aan # auditctl -w /etc/shadow -p w Probeer AVC opnieuw te creëren. Voer dan uit # ausearch -m avc -ts recent Als je PATH record ziet controleer eigenaar/rechten van bestand, en herstel dit, rapporteer dit anders als een bugzilla. Je probeerde on type te koppelen aan een %s welke geen bestandstype is. Dit is niet toegestaan, je moet een bestandstype toekennen. Je kunt alle types laten zien met het seinfo commando. seinfo -afile_type -x Het veranderen van de "$BOOLEAN" en "$WRITE_BOOLEAN" booleans naar waar zal deze toegang toestaan: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". Waarschuwing: het zetten van de $WRITE_BOOLEAN" boolean naar waar zal de ftp daemon toestaan om te schrijven naar alle publieke inhoud (bestanden en mappen met het type public_content_t) en bovendien schrijven naar bestanden en mappen in CIFS bestandssystemen. Het veranderen van de "allow_ftpd_use_nfs" en "ftpd_anon_write" booleans naar waar zal deze toegang toestaan: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". Waarschuwing: Het instellen van de "ftpd_anon_writ" boolean naar waar zal de ftp daemon toestaan om te schrijven naar alle publieke inhoud (bestanden en mappen met het type public_content_t) en bovendien schrijven naar bestanden en mappen in NFS bestandssystemen. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext - a -t FILE_TYPE '$ FIX_TARGET_PATH' waar FILE_TYPE een van de volgende is: %s. Vervolgens uitvoeren: restorecon - v '$ FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER waarin PORT_TYPE een van de volgende is: %s.Een proces probeert mogelijk jouw systeem te hacken.Voeg net.ipv6.conf.all.disable_ipv6 = 1 toe aan /etc/sysctl.conf Sta deze toegang nu toe door het uitvoeren van: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppVerander bestandscontext.Verander het labelVerander het label van de bibliotheek.Verander de bestandslabel naar xen_image_t.Neem contact op met jouw beveiliging beheerder en rapporteer dit probleem.Zet SELinux controles uit voor on Chrome plug-insBooleans aanzettenBooleans aanzetten.Als $TARGET_BASE_PATH een virtualisatie doel isAls $TARGET_BASE_PATH moet gedeeld worden via de RSYNC daemonAls $TARGET_BASE_PATH gedeeld moet worden via de cvs daemonAls je denkt dat $SOURCE_BASE_PATH $TARGET_BASE_PATH bestanden moet kunnen aanmakenAls je denkt dat $SOURCE_PATH probeerde SELinux uit te zetten.Als je denkt dat %s geen execstack nodig zou moeten hebbenAls je denkt dat $SOURCE_BASE_PATH standaard $ACCESS toegang moet hebben tot $TARGET_CLASS gelabeld met $TARGET_TYPE.Als je denkt dat $SOURCE_BASE_PATH standaard $ACCESS toegang moet hebben tot processen gelabeld met $TARGET_TYPE.Als je denkt dat $SOURCE_BASE_PATH standaard $ACCESS toegang moet hebben tot de $TARGET_BASE_PATH $TARGET_CLASS.Als je denkt dat $SOURCE_BASE_PATH standaard de $ACCESS mogelijkheid moet hebben.Als je deze AVC niet rechtstreeks veroorzaakt hebt met testen.Als je denkt dat $SOURCE_PATH niet moet proberen om de kernel te veranderen door het laden van een kernel module.Als je denkt dat jouw $SOURCE_PATH de kernel niet mag veranderen door het laden van kernel modulesAls je niet denkt dat $SOURCE_BASE_PATH $ACCESS toegang tot $TARGET_BASE_PATH moet proberen te krijgen.Als je denkt dat het niet nodig is dat $SOURCE_PATH heap geheugen moet afbeelden dat zowel beschrijfbaar als uitvoerbaar is.Als je denkt dat het niet nodig is dat $SOURCE_PATH stackgeheugen moet afbeelden dat zowel beschrijfbaar als uitvoerbaar is.Als je denkt dat $SOURCE_PATH geen toegang nodig heeft tot mmap laag geheugen in de kernel.Als je niet wilt dat processen mogelijkheden vereisen voor het opmaken van alle systeemhulpbronnen op je systeem;Als je denkt dat dit veroorzaakt wordt door een verkeerd gelabelde machine.Als je %s wiltAls je $SOURCE_BASE_PATH wilt toestaan om aan te koppelen op $TARGET_BASE_PATH.Als je $SOURCE_PATH wilt toestaan om te schrijven naar gedeelde publieke inhoudAls je $SOURCE_PATH wilt toestaan om te binden met netwerkpoort $PORT_NUMBERAls je $SOURCE_PATH wilt toestaan om te verbinden met netwerkpoort $PORT_NUMBERAls je ftpd wilt toestaan om te schrijven naar cifs bestandssystemenAls je ftpd wilt toestaan om te schrijven naar nfs bestandssystemenAls je httpd wilt toestaan om cgi scripts uit te voeren en HTTPD afhandeling van alle inhoud bestanden verenigen.Als je httpd wilt toestaan om email te verzendenAls je het label van $TARGET_PATH wilt veranderen naar %s, dat is echter niet toegestaan omdat het geen geldig bestandstype is.Als je IPV6 wilt uitschakelen op deze machineAls je het label wilt herstellen. $SOURCE_PATH standaard label moet zijn %s.Als je het label wilt repareren. $TARGET_PATH standaard label moet %s zijn.Als je wilt helpen bij het identificeren als domein deze toegang nodig heeft of je hebt een bestand met de verkeerde rechten op jouw systeemAls je wilt negeren dat $SOURCE_BASE_PATH $ACCESS toegang probeert te krijgen tot de $TARGET_BASE_PATH $TARGET_CLASS, omdat je denkt het deze toegang niet nodig heeft.Als je deze AVC wilt negeren omdat het gevaarlijk is en jouw machine goed te lijkt werken.Als je deze AVC wilt negeren omdat het gevaarlijk is en jouw wine toepassingen correct werken.Als je het label van $TARGET_BASE_PATH wilt veranderen zodat $SOURCE_BASE_PATH $ACCESS toegang kan krijgenAls je $TARGET_BASE_PATH wilt verplaatsen met mv naar standaard locatie zodat $SOURCE_BASE_PATH $ACCESS toegang kan krijgenAls je wilt doorgaan met het gebruik van SELinux Firefox plug-in insluiting in plaats van het gebruiken van het mozplugger pakketAls je $TARGET_BASE_PATH wilt behandelen als publieke inhoudAls je het %s pakket wilt gebruikenHerlabel het gehele bestandssysteem. Inclusief opnieuw opstarten!Herstel contextHerstel contextSELinux belet $SOURCE_PATH "$ACCESS" toegang.Stel de image label in op virt_image_t.Dit wordt veroorzaakt door een zojuist gemaakt bestandssysteem.Probeer het label te repareren.Zet geheugen bescherming uitJe kunt de '%s' man pagina lezen voor meer details.Je bent misschien gehackt.Je moet dit aan SELinux doorgeven door het aanzetten van de '%s' boolean. Je moet het label op $FIX_TARGET_PATH veranderenJe moet het label op $TARGET_BASE_PATH veranderenJe moet het label van $TARGET_BASE_PATH veranderen in public_content_t of public_content_rw_t.Je moet het label op $FIX_TARGET_PATH' veranderenJe moet het label op $TARGET_PATH veranderen naar een type van een soortgelijk apparaat.Je moet het label op '$FIX_TARGET_PATH' veranderenJe moet dit melden als een fout. Je kunt een locale tactiek module genereren om deze toegang toe te staan.Je moet dit melden als een fout. Je kunt een locale tactiek module genereren om deze toegang niet te auditeren.execstack -c %sje denkt dat je misschien gehackt bentsetsebool -P %s %szet volledig audit aan om pad informatie te verkrijgen over het gewraakte bestand en genereer deze fout opnieuw.gebruik een commando zoals "cp -p" om alle rechten vast te houden behalve SELinux context.je kunt restorecon uitvoeren.je kunt restorecon uitvoeren. De toegangspoging kan gestopt zijn door onvoldoende rechten om toegang te krijgen tot een ouder map in welk geval je moet proberen het volgende commando overeenkomstig te veranderen.je kunt mogelijk aangevallen worden door een hacker, omdat beperkte toepassingen deze toegang nooit nodig hebben.je kunt mogelijk aangevallen worden door een hacker, omdat beperkte toepassingen deze toegang niet nodig hebben.je kunt aangevallen worden een hacker, dit is een zeer gevaarlijk toegang.je moet de labeling van $TARGET_PATH veranderen.je moet de labels herstellen.je moet het cert bestand verplaatsen naar de ~/.cert mapje moet een geldig bestandslabel uitkiezen.je moet het mozplugger pakket verwijderen.je moet SELinux instellen om dit toe te staanje moet SELinux dit vertellenje moet SELinux dit vertellen SELinux door de 'httpd_unified' en 'http_enable_cgi' booleans aan te zettenje moet SELinux dit vertellen door de vbetool_mmap_zero_ignore boolean aan te zetten.je moet SELinux dit vertellen door de wine_mmap_zero_ignore boolean aan te zetten.je moet SELinux controles uitzetten voor de Chrome plug-ins.je moet de SELinux controles uitzetten voor de Firefox plug-ins.je moet er labels aan toevoegen.je moet de label van $TARGET_PATH veranderen naar public_content_rw_t, en potentieel de allow_httpd_sys_script_anon_write boolean aanzetten.je moet uitzoeken waarom je systeem onvoldoende systeemhulpbronnen heeft en het probleem oplossen. Volgens /usr/include/linux/capability.h, is het vereist dat sys_resource: /* Brongrenzen overschrijdt. Stel brongrenzen in. */ /* Overschrijven van quota limieten. */ /* Overschrijven van gereserveerde ruimte op ext2 bestandssysteem */ /* Veranderen van data journaal mode op ext3 bestandssysteem (gebruikt journaal hulpbronnen) */ /* OPMERKING: ext2 honoreert fsuid bij het controleren van hulpbronoverschrijdingen, dus je kunt ook overschrijven met gebruik van fsuid */ /* Overschrijven van groottebeperkingen voor IPC boodschapwachtrijen */ /* Sta meer dan 64uur interrupts van de real-time klok toe */ /* Overschrijf maximum aantal consoles in de console toewijzing */ /* Overschrijf maximum aantal toetsenbordindelingen */ je moet het volledig opnieuw labelen.je moet het zandbaktype veranderen. sandbox_web_t of sandbox_net_t. Bijvoorbeeld: sandbox -X -t sandbox_net_t $SOURCE_PATH Lees de 'sandbox' man pagina voor meer details. je moet een fout rapporteren. Dit is een potentieel gevaarlijke toegang.je moet een fout rapporteren. Dit is een potentieel gevaarlijke toegang.je moet /proc/sys/net/ipv6/conf/all/disable_ipv6 op 1 zetten, en blacklist niet de module'je moet een ander commando gebruiken. Het is jou niet toegestaan om de SELinux context op het doel bestandssysteem in stand te houden.je moet de execstack vlag wissen en zien of $SOURCE_PATH correct werkt. Rapporteer dit als een fout op %s. Je kunt de exestack vlag wissen met het uitvoeren van: