eaiovnaovbqoebvqoeavibavo % PQ1>:pVg hq|(WE eRs !t`"I"~$$,\% &'m(++/~, -/.1b3K5c67:2<=?7/AgCDTE9GHJSJLPLLNONOOUOGO]h8!Km}4.›, 9?U01Ɯ]2VK2՝]cfʞ,ڞdNΟ_]Ea-ա4!#'E$m _ROf9:+IդBaA^sEPja̭8wb|U .$8//!J,$`QB@; KYm~vw8  i p\r[]mKyl37TeYubcbWQ6MazU #qc##'^(lr+,`1Kg59?y@BCEGaI3K M2MNOPQ)Rj SvS[TUUVVWXY-Z]`cde0gbjzj\9kbk\k(Vl{l}lIymm1snn4nBn[9oooGoopmppV~qIqrrsqWtYt#uuLvvwxyjy/zqHzz`{{gl|f|;}S}N~U~UU=-ւ@jA *K)vEK,2X_>lFdIpJfJ5@J.yC)(ďpD3XeW:J[> vsZ[1I{5R ][ǠY1"#m}3c[-0|uFzVj94e or\wC/k!M;2B&dtWy:La_*P5N(fUK$`RHQ=)D%O,A T{liIJS. n7~x 8E+sg^Z@6XhG? 'q <b]>vp dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRestore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.This is caused by a newly created file system.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: POT-Creation-Date: 2021-09-07 17:26+0200 PO-Revision-Date: 2020-08-19 03:11-0400 Last-Translator: Petr Lautrbach Language-Team: Russian (http://www.transifex.com/projects/p/fedora/language/ru/) Language: ru MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=3; plural=(n%10==1 && n%100!=11 ? 0 : n%10>=2 && n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2); X-Generator: Zanata 4.6.2 \tdac_override и dac_read_search служат знаком того, что у корневого процесса нет доступа к файлу, разрешения которого определяются флагами. Обычно это характеризует файл с неверно назначенными разрешениями. SELinux отклонил запрос доступа от $SOURCE. Такой запрос не ожидается от $SOURCE и может свидетельствовать о попытке вторжения. Но не исключено, что отдельные версии или конфигурации приложения потребуют дополнительный доступ. SELinux отклонил запрос доступа от $SOURCE. Текущие настройки логических переменных не разрешают доступ. Такой запрос не ожидается от $SOURCE и может свидетельствовать о попытке вторжения. Если же вы действительно хотите разрешить доступ, потребуется изменить соответствующие логические переменные. SELinux отрицает $SOURCE "$ACCESS«доступ к устройству $TARGET_ДОРОЖКА. $TARGET_PATH неправильно маркирован, это устройство имеет метку по умолчанию каталога / dev, чего не должно быть. Все символы и / или блокирующие устройства должны иметь метку. Вы можете попытаться изменить метку файла с помощью restorecon -v '$TARGET_ДОРОЖКА'. Если это устройство остается помеченным как device_t, это ошибка в политике SELinux. Пожалуйста, напишите отчет об ошибке. Если вы посмотрите на другие аналогичные ярлыки устройств, ls -lZ / dev / SIMILAR и найдите тип, который будет работать для $TARGET_PATH, вы можете использовать chcon -t SIMILAR_TYPE '$TARGET_PATH ', Если это исправляет проблему, вы можете сделать это постоянным, выполнив семанант fcontext -a -t SIMILAR_TYPE'$FIX_TARGET_PATH 'Если restorecon изменяет контекст, это означает, что приложение, создавшее устройство, создало его без использования API SELinux. Если вы можете выяснить, какое приложение создало устройство, пожалуйста, напишите отчет об ошибке для этого приложения. Попробуйте выполнить «restorecon -v $TARGET_PATH» или «chcon -t SIMILAR_TYPE '$TARGET_PATH'» Установка логического значения «$BOOLEAN» в TRUE разрешит доступ: «setsebool -P $BOOLEAN=1» Установка логического значения «$BOOLEAN» в TRUE разрешит доступ: «setsebool -P $BOOLEAN=1» Установка логического значения «allow_ftpd_use_nfs» разрешит доступ: «setsebool -P allow_ftpd_use_nfs=1» Замена file_context на mnt_t позволит монтировать файловую систему: «chcon -t mnt_t '$TARGET_PATH'.» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'» Ограниченные домены не должны требовать «sys_resource». Обычно это означает, что не хватает какого-либо ресурса, например, места на диске, памяти, квоты и т.д. Освободите место на диске и это AVC-сообщение должно исчезнуть. Если проблема сохранится после очистки диска, создайте отчет об ошибке. Ограничиваемые процессы можно настроить так, чтобы они выполнялись с различными уровнями доступа. При этом доступ можно разрешать и запрещать с помощью логических переменных SELinux. Для разрешения сценариям httpd выполнения записи в общие каталоги необходимо установить значение $BOOLEAN и изменить контекст общего каталога на public_content_rw_t. За подробной информацией обратитесь к странице помощи httpd_selinux. «setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t <путь>» Также необходимо изменить исходные контексты файлов в системе так, чтобы они не изменялись при повторной разметке. «semanage fcontext -a -t public_content_rw_t <путь>» Если вы доверяете $TARGET_PATH, можно изменить контекст файла на textrel_shlib_t. «chcon -t textrel_shlib_t $TARGET_PATH» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'» Для продолжения $SOURCE необходимо установить логическую переменную $BOOLEAN. Замечание: Ее значение окажет влияние на все приложения системы. Для разрешения отправки почты демоном httpd установите значение $BOOLEAN: «setsebool -P $BOOLEAN=1» Если вы хотите разрешить сопоставление $SOURCE порту $PORT_NUMBER, выполните # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER где PORT_TYPE может принимать значения: %s. Если система выполняет роль клиента NIS, можно попробовать установить логическое значение allow_ypbind: «setsebool -P allow_ypbind=1». Чтобы разрешить подключение $SOURCE к порту $PORT_NUMBER, выполните: # sandbox -X -t sandbox_net_t $SOURCE Чтобы разрешить подключение $SOURCE к порту $PORT_NUMBER, выполните # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER где PORT_TYPE может принимать значения: %s. Если вы хотите изменить контекст файла $TARGET_PATH, чтобы разрешить его исполнение автомонтировщиком, используйте команду «chcon -t bin_t $TARGET_PATH». Также потребуется изменить контекст файлов, чтобы сохранить его при переразметке: «semanage fcontext -a -t bin_t $FIX_TARGET_PATH» SELinux отказано $SOURCE доступ к $TARGET_ДОРОЖКА. Если это файл подкачки, он должен иметь метку контекста файла для swapfile_t. Если вы не собираетесь использовать $TARGET_PATH в качестве файла подкачки, это сообщение может указывать либо на ошибку, либо на попытку вторжения. SELinux отказал RSYNC в доступе к $TARGET_ДОРОЖКА. Если это репозиторий RSYNC, он должен иметь метку контекста файла rsync_data_t. Если вы не собираетесь использовать $TARGET_PATH как репозиторий RSYNC, это сообщение может указывать либо на ошибку, либо на попытку вторжения. SELinux отказал в доступе, запрошенном $SOURCE $SOURCE_PATH может быть неправильно маркирован. $SOURCE_PATH по умолчанию тип SELinux %s, но его текущий тип $SOURCE_ТИПИзменение этого файла на тип по умолчанию может устранить вашу проблему.

Возможно, этот файл был помечен как по ошибке пользователя, так и при закрытом приложении, запущенном в неправильном домене.

Однако это может также указывать на ошибку в SELinux, поскольку файл не должен быть помечен этим типом.

Если вы считаете, что это ошибка, напишите отчет об ошибке в отношении этого пакета. SELinux отказал в доступе, запрошенном $SOURCE $TARGET_PATH может быть неправильно маркирован. openvpn разрешено читать содержимое в домашнем каталоге, если оно правильно помечено. SELinux отказал в доступе, запрошенном $SOURCE $TARGET_PATH может быть неправильно маркирован. sshd разрешено читать содержимое в каталоге /root/.ssh, если оно правильно помечено. SELinux отклонил запрос доступа от $SOURCE. Такой запрос не ожидается от $SOURCE и может свидетельствовать о попытке вторжения. Но не исключено, что отдельные версии и конфигурации приложения потребуют дополнительный доступ. SELinux отклонил запрос доступа от $SOURCE. Такой запрос от $SOURCE не ожидается и может сигнализировать о попытке вторжения. Возможно также, что отдельные версии или настройки приложения пытаются получить дополнительный доступ. mozplugger и spice-xpi запускают приложения в mozilla-plugins, что требует доступа к рабочему столу, но запрещается блокировкой mozilla_plugin. В этом случае надо либо отключить блокировку mozilla_plugin, либо отказаться от использования таких пакетов. SELinux отклонил запрос доступа от $SOURCE. Такой запрос от $SOURCE не ожидается и может сигнализировать о попытке вторжения. Возможно также, что отдельные версии или настройки приложения пытаются получить дополнительный доступ. spice-xpi запускает приложения в mozilla-plugins, что требует доступа к рабочему столу, но запрещается блокировкой mozilla_plugin. В этом случае надо либо отключить блокировку mozilla_plugin, либо отказаться от использования таких пакетов. SELinux запретил запрос доступа, полученный от команды $SOURCE. Вероятна утечка дескриптора или вывод $SOURCE был перенаправлен в файл, к которому у нее нет доступа. Утечки обычно можно игнорировать, так как SELinux просто их закрывает и сообщает об ошибке. Приложение не использует дескриптор, поэтому его работа нарушена не будет. Если же причиной является перенаправление, $TARGET_PATH не будет содержать вывод. В этом случае создайте запрос в Bugzilla для компонента selinux-policy. SELinux запретил доступ к $TARGET_PATH по запросу $SOURCE. $TARGET_PATH имеет контекст, совместно используемый другими приложениями. Если вы хотите использовать $TARGET_PATH из $SOURCE, то нужно изменить его контекст на public_content_t. Если вы не планировали такой вариант, это может служить индикатором попытки вторжения. SELinux запретил доступ cvs к $TARGET_PATH. Если это репозиторий CVS, он должен иметь контекст cvs_data_t. Если вы не используете $TARGET_PATH как репозиторий CVS, возможно, это ошибка или попытка вторжения. SELinux отказал в доступе к самбе $TARGET_ДОРОЖКА. Если вы хотите поделиться этим каталогом с samba, он должен иметь метку контекста файла samba_share_t. Если вы не собираетесь использовать $TARGET_PATH как репозиторий samba, это сообщение может указывать либо на ошибку, либо на попытку вторжения. Для получения дополнительной информации о настройке Samba и SELinux см. «Man samba_selinux». SELinux закрыл доступ xen к $TARGET_PATH. Если это образ XEN, он должен иметь метку контекста xen_image_t. Система настроена так, чтобы файлы образов в каталоге /var/lib/xen/images отмечались корректно. Рекомендуется скопировать образ в этот каталог. Если вы действительно хотите работать с образами xen в выбранном каталоге, можно изменить метку $TARGET_PATH на xen_image_t, используя chcon. После этого понадобится выполнить команду «semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'», чтобы добавить новый путь в системный список. Если вы не планировали использовать $TARGET_PATH как образ xen, возможно, это ошибка или попытка вторжения. SELinux отрицает $SOURCE от подключения к сетевому порту $PORT_NUMBER, который не имеет ассоциированного с ним типа SELinux. Если $SOURCE должно быть разрешено подключаться $PORT_NUMBER, используйте semanage команду назначить $PORT_NUMBER к типу порта, который $SOURCE_TYPE может подключаться к (%s). Если $SOURCE не должен подключаться к $PORT_NUMBER, это может сигнализировать о попытке вторжения. SELinux отрицает $SOURCE от подключения к сетевому порту $PORT_NUMBER в песочнице. Если $SOURCE должно быть разрешено подключаться $PORT_NUMBER, вам нужно использовать другой тип песочницы, например sandbox_web_t или sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCEЕсли $SOURCE не должен подключаться к $PORT_NUMBER, это может сигнализировать о попытке вторжения. SELinux закрыл $SOURCE доступ к потенциально неверно отмеченным файлам $TARGET_PATH. Это значит, что SELinux не позволит httpd использовать эти файлы. Чтобы разрешить доступ httpd к этим файлам, измените контекст на один из следующих типов: %s. Многие приложения сторонних производителей устанавливают файлы html в каталоги, которые политика SELinux не может предугадать. Этим каталогам надо присвоить контекст, разрешающий доступ httpd. SELinux запретил $SOURCE подключаться сетевому порту $PORT_NUMBER, которому не присвоен тип SELinux. Если $SOURCE должен иметь возможность подключения к этому порту, можно использовать команду semanage для добавления $PORT_NUMBER к типу, которому $SOURCE_TYPE может быть сопоставлен (%s). Если $SOURCE не должен соответствовать $PORT_NUMBER, возможно, имеет место попытка вторжения. SELinux отрицает $SOURCE возможность mmap низкой области адресного пространства ядра. Способность mmap низкой области адресного пространства настраивается с помощью / proc / sys / kernel / mmap_min_addr. Предотвращение таких сопоставлений помогает защитить от использования ошибок null deref в ядре. Для всех приложений, нуждающихся в этом доступе, должна была быть написана политика для них. Если скомпрометированное приложение пытается изменить ядро, этот AVC будет сгенерирован. Это серьезный вопрос. Ваша система вполне может быть скомпрометирована. SELinux запретил $SOURCE исполнять потенциально неверно отмеченные файлы $TARGET_PATH. Автомонтировщик может быть настроен на исполнение конфигурационных файлов. Если $TARGET_PATH является исполняемым конфигурационным файлом automount, он должен иметь метку bin_t. Если автомонтировщик пытается выполнить что-то, что он не должен выполнять, это может служить индикатором попытки вторжения. SELinux запретил почтовому демону отправлять почту. Скрипт httpd пытается подключиться к почтовому порту или выполнить команду sendmail. Если вы не настроили httpd sendmail, это может сигнализировать о попытке вторжения. SELinux запретил $SOURCE загружать модуль ядра. Для всех приложений, которым необходим такой уровень доступа, должна существовать отдельная политика. Если скомпрометированное приложение попытается изменить модуль, будет сгенерировано AVC. Это является серьёзной проблемой и может служить индикатором того, что система была скомпрометирована. SELinux запретил $SOURCE модифицировать $TARGET. $SOURCE пытался изменить конфигурацию политики selinux. Для всех приложений, которым необходим такой уровень доступа, должна существовать отдельная политика. Если скомпрометированное приложение попытается изменить политику, будет сгенерировано AVC. Это является серьезной проблемой и может служить индикатором того, что система могла быть скомпрометирована. SELinux запретил $SOURCE изменять $TARGET. $SOURCE пытался изменить поведение ядра или вставить код в ядро. Для всех приложений, которым необходим такой уровень доступа, должна существовать отдельная политика. Если скомпрометированное приложение попытается модифицировать ядро, будет сгенерировано AVC. Это является серьёзной проблемой и может служить индикатором того, что система была скомпрометирована. SELinux предотвратил $SOURCE от записи в файл под / sys / fs / selinux. Файлы под / sys / fs / selinux управляют способом настройки SELinux. Все программы, которые должны записываться в файлы под / sys / fs / selinux, должны были уже иметь для них политику. Если скомпрометированное приложение пытается отключить SELinux, этот AVC будет сгенерирован. Это серьезный вопрос. Ваша система вполне может быть скомпрометирована. SELinux предотвратил выполнение программой vbetool небезопасной операции с памятью. SELinux предотвратил выполнение программой wine небезопасной операции с памятью. SELinux запретил $SOURCE создавать файл с контекстом $SOURCE_TYPE в файловой системе. Обычно это происходит при использовании команды «cp» для сохранения контекста файла при копировании (например, «cp -a»). Не все файловые контексты должны сохранять постоянство в разных файловых системах. Например, тип iso9660_t доступных только для чтения файлов не должен использоваться в системах, допускающих запись. В этом случае лучше подойдёт команда «cp -p», так как она адаптирует файловый контекст в зависимости от назначения. SELinux запрещает $SOURCE_PATH доступ «$ACCESS» к устройству $TARGET_PATH. SELinux запрещает $SOURCE_PATH доступ «$ACCESS» к $TARGET_PATH. SELinux запрещает $SOURCE_PATH доступ «$ACCESS» к устройству $TARGET_PATH. SELinux запрещает $SOURCE_PATH доступ «$ACCESS» к $TARGET_PATH. SELinux запрещает $SOURCE_PATH доступ к дескриптору файла $TARGET_PATH (возможна утечка). SELinux предотвращает сопоставление $SOURCE_PATH порту $PORT_NUMBER. SELinux запрещает $SOURCE_PATH изменять защиту доступа памяти кучи. SELinux предотвращает подключение $SOURCE_PATH к порту $PORT_NUMBER. SELinux запрещает $SOURCE_PATH создавать в файловой системе файл с контекстом $SOURCE_TYPE. SELinux запрещает $SOURCE_PATH загружать $TARGET_PATH. Загрузка $TARGET_PATH требует перемещения текста. SELinux запрещает $SOURCE_PATH определять программный стек как исполняемый. SELinux запретил операцию "$ACCESS" для $SOURCE_PATH. SELinux запрещает возможность $SOURCE_PATH «sys_resource». SELinux запрещает Samba ($SOURCE_PATH) получить доступ «$ACCESS» к $TARGET_PATH. SELinux запрещает cvs ($SOURCE_PATH) доступ «$ACCESS» к $TARGET_PATH. SELinux запрещает $SOURCE_PATH использовать потенциально неверно размеченные файлы $TARGET_PATH. SELinux предотвращает отправление почты демоном http. SELinux запрещает xen ($SOURCE_PATH) доступ «$ACCESS» к $TARGET_PATH. Политика SELinux предотвращает выполнение записи в общий каталог запись сценарием httpd. Политика SELinux предотвращает выполнение записи в общий каталог сценарием httpd. Если httpd не настроен на запись в общие каталоги, это может служить индикатором попытки вторжения. SELinux запретил $SOURCE монтировать файловую систему в «$TARGET_PATH» с типом «$TARGET_TYPE». По умолчанию SELinux ограничивает монтирование файловых систем некоторыми файлами или каталогами (имеющими атрибут mountpoint). Тип «$TARGET_TYPE» не имеет этого атрибута. Можно попробовать изменить метку файла или каталога. SELinux запретил $SOURCE монтировать в файл или каталог «$TARGET_PATH» (тип «$TARGET_TYPE»). SELinux запрещает httpd ($SOURCE_PATH) доступ $ACCESS к $TARGET_PATH. Сценариям httpd не разрешено осуществлять запись без явной маркировки всех файлов. Если $TARGET_PATH допускает запись, то его надо отметить как httpd_sys_rw_content_t или httpd_sys_ra_content_t (если требуется только добавление). Подробную информацию можно найти на странице помощи «man httpd_selinux». SELinux предотвратил httpd $ACCESS доступ к http-файлам. Обычно httpd разрешает полный доступ ко всем файлам, помеченным контекстом http-файла. Эта машина имеет более жесткую политику безопасности с $BOOLEANвыключен, для этого требуется явная маркировка всех файлов. Если файл является скриптом cgi, для его выполнения необходимо пометить httpd_TYPE_script_exec_t. Если это только содержимое для чтения, оно должно быть помечено как httpd_TYPE_content_t. Если это доступный для записи контент, он должен быть помечен как httpd_TYPE_script_rw_t или httpd_TYPE_script_ra_t. Вы можете использовать команду chcon для изменения этого контекста. Пожалуйста, обратитесь к странице man «man httpd_selinux» или Часто задаваемые вопросы«ТИП» относится к одному из «sys», «user» или «staff» или, возможно, к другим типам сценариев. SELinux запретил доступ httpd ($ACCESS) к файлам http. SELinux запретил доступ $ACCESS демона ftp к файловой системе CIFS. SELinux запретил демону ftp доступ $ACCESS к файлам в файловой системе CIFS. CIFS (Comment Internet File System) — сетевая файловая система, аналогичная SMB (http://www.microsoft.com/mind/1196/cifs.asp). Демон ftp попытался прочесть данные из смонтированной системы этого типа. Так как CIFS не поддерживает низкоуровневое маркирование SELinux, все файлы и каталоги имеют один и тот же контекст безопасности. Если вы не настраивали демон ftp на чтение файлов из CIFS, попытка получения доступа может служить сигналом вторжения. SELinux запретил доступ $ACCESS демона ftp к файлам в файловой системе NFS. SELinux запретил доступ $ACCESS к файлам на разделе NFS. NFS (Network Filesystem) — сетевая файловая система, обычно используемая в системах UNIX/Linux. Демон ftp попытался прочесть данные из смонтированной системы этого типа. Так как NFS система не поддерживает низкоуровневое маркирование SELinux, все файлы и каталоги имеют один и тот же контекст безопасности. Если вы не настраивали демон ftp на чтение файлов из NFS, попытка получения доступа может служить сигналом вторжения. Иногда для библиотеки может быть случайно выбран флаг execstack. Его можно снять, выполнив execstack -c LIBRARY_PATH. После этого перезапустите приложение. Если это не помогло, снова установите флаг: execstack -s LIBRARY_PATH. Приложение $SOURCE попыталось изменить защиту доступа памяти кучи (выделенной с помощью malloc), что представляет потенциальную проблему с точки зрения безопасности. Обычно приложения не должны пытаться это сделать. Иногда вследствие ошибок кода приложения могут потребовать такой доступ. Документ Тесты защиты памяти SELinux объясняет, как отказаться от использования такой возможности. Если $SOURCE не работает, а вам срочно необходимо данное приложение, можно временно разрешить доступ пока приложение не будет исправлено. Пожалуйста, создайте запрос в Bugzilla для этого пакета. $SOURCE приложение попыталось загрузить $TARGET_PATH, для которого требуется перенос текста. Это потенциальная проблема безопасности. Большинство библиотек не нуждаются в этом разрешении. Библиотеки иногда кодируются неправильно и запрашивают это разрешение. Тесты защиты памяти SELinuxна веб-странице объясняется, как удалить это требование. Вы можете временно настроить SELinux, чтобы разрешить $TARGET_PATH использовать перемещение в качестве обходного пути, пока библиотека не будет исправлена. Пожалуйста, напишите отчет об ошибке. $SOURCE приложение попыталось загрузить $TARGET_PATH, для которого требуется перенос текста. Это потенциальная проблема безопасности. В большинстве библиотек не должно быть такого разрешения. Тесты защиты памяти SELinuxвеб-страница объясняет эту проверку. Этот инструмент рассмотрел библиотеку, и похоже, что она была построена правильно. Поэтому setroubleshoot не может определить, скомпрометировано это приложение или нет. Это может быть серьезной проблемой. Ваша система вполне может быть скомпрометирована. Обратитесь к администратору безопасности и сообщите об этом. Приложение $SOURCE попыталось сделать свой стек исполняемым, что представляет потенциальную угрозу безопасности. В этом не должно быть необходимости. Память стека не является исполняемой в большинстве ОС на сегодняшний день, и в будущем это не изменится. Исполняемый стек представляет собой исключительно серьезную проблему безопасности. Ошибка execstack может быть вызвана вредоносными программами. Иногда приложения, написанные некорректно, могут запросить это разрешение. Документ Тесты защиты памяти SELinux объясняет, как исключить использование такой возможности. Если $SOURCE не работает, когда это необходимо, можно настроить SELinux так, чтобы временно разрешить такую возможность, пока приложение не будет исправлено. Пожалуйста, создайте запрос в Bugzilla для этого пакета. Используйте команду наподобие «cp -p» для сохранения постоянства всех разрешений кроме контекста SELinux. Вы можете изменить контекст файла, выполнив chcon -R -t cvs_data_t '$TARGET_PATH 'Вы также должны изменить файлы контекста файла по умолчанию в системе, чтобы сохранить их даже на полной ссылочной ссылке. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH» Файловый контекст можно изменить с помощью команды «chcon -R -t rsync_data_t '$TARGET_PATH'» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'» Контекст файла можно изменить, выполнив команду «chcon -R -t samba_share_t '$TARGET_PATH'» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'» Файловый контекст можно изменить, выполнив «chcon -t public_content_t '$TARGET_PATH'» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'» Файловый контекст можно изменить, выполнив «сhcon -t swapfile_t '$TARGET_PATH'» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'» Контекст файла можно изменить, выполнив команду «chcon -t virt_image_t '$TARGET_PATH'» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH» Файловый контекст можно изменить, выполнив команду «chcon -t xen_image_t '$TARGET_PATH'» Также необходимо изменить контексты файлов в системе, используемые по умолчанию, чтобы они сохранились даже при повторной разметке. «semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'» Выполните следующую команду в режиме root для изменения маркировки системы: «touch /.autorelabel; reboot» Чтобы разрешить доступ, можно сгенерировать модуль локальной политики (см. FAQ). Пожалуйста, создайте отчёт об ошибке. Чтобы разрешить доступ, можно сгенерировать модуль локальной политики (см. FAQ). Вы можете восстановить системный контекст по умолчанию для этого файла, выполнив команду restorecon. # restorecon -R /root/.ssh Вы можете восстановить системный контекст по умолчанию для этого файла, выполнив команду restorecon. # restorecon -R /root/.ssh Исходный контекст можно восстановить с помощью команды restorecon: restorecon -R '$SOURCE_PATH'. Исходный контекст файла можно восстановить: «restorecon '$TARGET_PATH'» Для каталога используйте команду «restorecon -R '$TARGET_PATH'». Ваша система может быть серьёзно скомпрометирована! Ваша система может быть серьёзно скомпрометирована! $SOURCE_PATH пытается выполнить mmap для нижнего диапазона памяти ядра. Ваша система может быть серьёзно скомпрометирована! $SOURCE_PATH пытается загрузить модуль ядра. Ваша система может быть серьёзно скомпрометирована! $SOURCE_PATH пытается изменить принудительный режим SELinux. Ваша система может быть серьёзно скомпрометирована! $SOURCE_PATH пытается изменить конфигурацию ядра. Отключите IPV6. Либо удалите пакет mozplluger командой «yum remove mozplugger», либо отключите применение SELinux к подключаемым модулям Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Удалите пакеты mozplugger и spice-xpi, выполнив «yum remove mozplugger spice-xpi», или отключите контроль SELinux для плагинов Chrome. setsebool -P unconfined_mozilla_plugin_transition 0 Удалите пакет mozplugger или spice-xpi, выполнив «yum remove mozplugger spice-xpi», или отключите контроль SELinux для плагинов Chrome. setsebool -P unconfined_chrome_sandbox_transition 0 Если вы хотите продолжить выполнение данной программы, необходимо это разрешить. Для этого выполните: # setsebool -P mmap_low_allowed 1 SELinux запретила действие, запрошенное $SOURCE, программой изменения состояния видео оборудования. Эта программа обычно выполняет небезопасные операции памяти, в то же время именно так поступают и вредоносные программы, замаскированные под vbetool. Эта утилита восстанавливает состояние видео при возврате системы из ждущего режима. Если компьютер не возобновляет работу, остаётся только разрешить это действие, тем самым ослабив защиту системы. SELinux запретил выполнение операции, запрошенной wine-preloader, программой для запуска приложений Windows на Linux. Известно, что эта программа использует небезопасные операции с системной памятью, как и вредоносные программы, маскирующиеся под wine. Если вы пытаетесь запустить приложение Windows, можно либо разрешить данную операцию, тем самым ослабив защиту системы, либо отказаться от использования приложений Windows под Linux. Если же вы не пытались запустить приложение Windows, это означает, что вы атакованы одной из таких вредоносных программ или кто-то пытается использовать вашу систему. Обратитесь за более подробной информацией к статье http://wiki.winehq.org/PreloaderPageZeroProblem Там описаны другие проблемы, с которыми сталкивается программа wine из-за небезопасных операций с памятью, и возможные пути их решения. Включите аудит: # auditctl -w /etc/shadow -p w Попытайтесь заново создать AVC, после чего выполните: # ausearch -m avc -ts recent Если запись PATH осуществляет проверку разрешений файла, исправьте это, в противном случае создайте запрос в Bugzilla. Необходимо выбрать файловый тип для %s. Полный список типов файлов можно получить при помощи команды seinfo. seinfo -afile_type -x Установка логических значений «$BOOLEAN» и «$WRITE_BOOLEAN» откроет доступ: «setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1». Предупреждение: установка «$WRITE_BOOLEAN» в TRUE позволит ftp-демону осуществлять запись во все общие ресурсы (файлы и каталоги типа public_content_t) помимо записи в файлы и каталоги в файловых системах CIFS. Изменение «allow_ftpd_use_nfs» и «ftpd_anon_write» booleans на true позволит этому доступу: «setsebool -P allow_ftpd_use_nfs = 1 ftpd_anon_write = 1». предупреждение: установка «ftpd_anon_write» boolean на true позволит демона ftp писать всем общедоступным контентом (файлы и каталоги с типом public_content_t) в дополнение к записи в файлы и каталоги в файловых системах NFS. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' где FILE_TYPE может принимать значения: %s. Затем выполните: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $ПОРТ# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER где PORT_TYPE может принимать значения: %s.Процесс пытается осуществить несанкционированный доступ к системе.Добавьте net.ipv6.conf.all.disable_ipv6 = 1 в /etc/sysctl.conf Разрешить этот доступ сейчас, выполнив: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppИзменение контекста файла.Изменить ярлыкИзмените ярлык в библиотеке.О проблеме сообщите администратору.Отключить элементы управления SELinux в плагинах ChromeВключить булевыВключить булевы.Если $TARGET_BASE_PATH - это цель виртуализацииЕсли $TARGET_BASE_PATH должен использоваться совместно с демоном RSYNCЕсли $TARGET_BASE_PATH должен использоваться совместно с демоном cvsЕсли ты веришь $SOURCE_BASE_PATH должно быть разрешено создавать $TARGETФайлы _BASE_PATHЕсли ты веришь $SOURCE_PATH попытался отключить SELinux.Если вы считаете, что%sне требуется execstackЕсли вы считаете, что $SOURCE_BASE_PATH должно быть разрешено $ACCESS доступ к $TARGET_CLASS с надписью $TARGET_TYPE по умолчанию.Если вы считаете, что $SOURCE_BASE_PATH должно быть разрешено $ACCESS доступ к процессам с меткой $TARGET_TYPE по умолчанию.Если вы считаете, что $SOURCE_BASE_PATH должно быть разрешено $ACCESS доступ к $TARGET_BASE_PATH $TARGET_CLASS по умолчанию.Если вы считаете, что $SOURCE_BASE_PATH должен иметь $ACCESS по умолчанию.Если вы не вызвали это AVC напрямую, проверьте его.Если вы не верите, что $SOURCE_PATH должен пытаться изменить ядро, загрузив модуль ядра.Если вы не верите своим $SOURCE_PATH должен модифицировать ядро, загружая модули ядраЕсли вы не думаете $SOURCE_BASE_PATH следует попробовать $ACCESS доступ к $TARGET_BASE_PATH.Если вы не думаете $SOURCE_PATH необходимо отобразить кучу памяти, которая является как записываемой, так и исполняемой.Если вы не думаете $SOURCE_PATH необходимо сопоставить стекную память, которая является как записываемой, так и исполняемой.Если вы не думаете $SOURCE_PATH необходимо, чтобы mmap с низкой памятью в ядре.Если вы не хотите, чтобы процессы требовали возможности использовать все системные ресурсы вашей системы;Если вы считаете, что это вызвано плохо ошибочной машиной.Если хотите %sЕсли вы хотите разрешить $SOURCE_BASE_PATH для установки на $TARGET_BASE_PATH.Если вы хотите разрешить $SOURCE_PATH, чтобы иметь возможность писать в общий публичный контентЕсли вы хотите разрешить $SOURCE_PATH для привязки к сетевому порту $PORT_ЧИСЛОЕсли вы хотите разрешить $SOURCE_PATH для подключения к сетевому порту $PORT_ЧИСЛОЕсли вы хотите разрешить ftpd писать в cifs файловые системыЕсли вы хотите разрешить ftpd писать в файловые системы nfsЕсли вы хотите разрешить httpd выполнять скрипты cgi и унифицировать обработку HTTPD всех файлов содержимого.Если вы хотите разрешить HTTPd отправлять почтуЕсли вы хотите изменить метку $TARGET_PATH для %s, вам не разрешено, так как это не допустимый тип файла.Если вы хотите отключить IPV6 на этом компьютереЕсли вы хотите исправить метку.$SOURCEЗнак _PATH по умолчанию должен быть %sЕсли вы хотите исправить метку.$TARGETЗнак _PATH по умолчанию должен быть %sЕсли вы хотите помочь определить, нужен ли домену этот доступ или у вас есть файл с неправильными разрешениями в вашей системеЕсли вы хотите игнорировать $SOURCE_BASE_PATH пытается $ACCESS доступ к $TARGET_BASE_PATH $TARGET_CLASS, потому что вы считаете, что ему не нужен этот доступ.Если вы хотите игнорировать этот AVC, потому что это опасно, и ваша машина работает правильно.Если вы хотите проигнорировать этот AVC, потому что это опасно, и ваши приложения для вина работают правильно.Если вы хотите изменить ярлык на $TARGET_BASE_PATH, чтобы $SOURCE_BASE_PATH может иметь $ACCESS доступ к немуЕсли вы хотите mv $TARGET_BASE_PATH до стандартного местоположения, чтобы $SOURCE_BASE_PATH может иметь $ACCESS доступЕсли вы хотите продолжить использование оболочки SELinux Firefox, а затем использовать пакет mozpluggerЕсли вы хотите лечить $TARGET_BASE_PATH как общедоступный контентЕсли вы хотите использовать %s пакетВосстановить контекст.Восстановить контекстSELinux запрещает доступ "$ACCESS" для $SOURCE_PATHЭто вызвано созданной файловой системой.Выключить защиту памятиДополнительная документация на '%s' ман странице.Возможно, вы стали жертвой взлома.Вы должны сообщить SELinux об этом, включив переключатель «%s». Необходимо изменить метку на $FIX_TARGET_PATHНеобходимо изменить метку для $TARGET_BASE_PATHНеобходимо изменить метку $TARGET_BASE_PATH с public_content_t на public_content_rw_t.Необходимо изменить метку для $TARGET_BASE_PATH'Необходимо изменить метку для $FIX_TARGET_PATH на тип аналогичного устройства.Необходимо изменить метку на «$FIX_TARGET_PATH»Рекомендуется создать отчет об ошибке. Чтобы разрешить доступ, можно создать локальный модуль политики.Рекомендуется создать отчет об ошибке. Чтобы отменить аудит подобного доступа, можно создать локальный модуль политики.execstack -c %sвы считаете, что вы стали жертвой взлома.setsebool -P %s %sвключите полный аудит, чтобы определить путь к конфликтному файлу и повторно сгенерировать ошибку.используйте команду наподобие «cp -p» для сохранения постоянства всех разрешений кроме контекста SELinux.можно выполнить restorecon.вы можете запустить restorecon. Возможно, попытка доступа была остановлена ​​из-за недостаточных разрешений для доступа к родительскому каталогу, и в этом случае попытайтесь соответствующим образом изменить следующую команду.возможно, вы подверглись хакерской атаке, так как защищенные приложения не должны запрашивать этот уровень доступа.возможно, вы подверглись хакерской атаке, так как защищенные приложения не должны запрашивать этот уровень доступа.возможно, вы подверглись хакерской атаке. Это обращение представляет риск безопасности.необходимо изменить разметку $TARGET_PATH.необходимо исправить метки.файл сертификата необходимо переместить в каталог ~/.certнеобходимо выбрать действительную метку файла.необходимо удалить пакет mozplugger.необходимо разрешить SELinux выполнять эти действия.необходимо сообщить об этом в SELinuxустановите переменные «httpd_unified» и «http_enable_cgi», чтобы сообщить об этом SELinux.Установите переменную vbetool_mmap_zero_ignore, чтобы сообщить об этом SELinux.установите переменную wine_mmap_zero_ignore, чтобы сообщить об этом SELinux.нужно отключить управление SELinux для плагинов Chrome.нужно отключить управление SELinux для плагинов Firefox.необходимо добавить метки.необходимо изменить метку $TARGET_PATH на public_content_rw_t и, возможно, установить переменную allow_httpd_sys_script_anon_write.вам необходимо диагностировать, почему ваша система исчерпала системные ресурсы и устранить проблему. Согласно /usr/include/linux/capability.h, sys_resource требуется: / * переопределить ограничения ресурсов. Задайте пределы ресурсов. * / / * Переопределить пределы квот. * / / * Переопределить зарезервированное пространство в файловой системе ext2 * / / * Изменить режим ведения журнала данных в файловой системе ext3 (использует ресурсы журналирования) * / / * ПРИМЕЧАНИЕ: ext2 почитает fsuid при проверке переопределения ресурсов, поэтому вы можете переопределить использование fsuid too * / / * Ограничить ограничение размера в очередях сообщений IPC * / / * Разрешить более 64-х прерываний от часов реального времени * / / * Переопределить максимальное количество консолей при распределении консоли * / / * Переопределить максимальное количество раскладок * / / необходимо заново осуществить переразметку.необходимо изменить type. sandbox_web_t или sandbox_net_t. Пример: sandbox -X -t sandbox_net_t $SOURCE_PATH За подробной информацией обратитесь к справочной странице sandbox. следует создать отчет об ошибке. Это обращение представляет риск безопасности.следует создать отчет об ошибке. Это обращение представляет риск безопасности.измените значение /proc/sys/net/ipv6/conf/all/disable_ipv6 на 1 и не вносите модуль в черный списокнеобходимо выбрать другую команду. Контекст SELinux целевой файловой системы не может быть сохранен.следует очистить флаг execstack и убедиться что $SOURCE_PATH функционирует корректно. Сообщите об этой ошибке в %s. Чтобы очистить флаг exestack выполните: