eaiovnaovbqoebvqoeavibavo 43L1:8sVzgh9|(EH -R;!"t(#I#~$f%,$& Q'[(mw)+1k2/3 M4Z6.X8b:;=>QAJCEGIJ7LNQPTBQR9TUSWPWMXN^ZNZUZGR[][O[kH\R\q]fy]V]F7^K~^V^E!_Sg_j_B&`Ti`T`^crc4dte4fZg?.kZnkkY|nUn6,qcrCt6w#yX| 4}B~Sf |  zՅp 3e)_efUيrJIՏDbޗA\՘b2\+c7< %ś:*&Qa/r:8ݜT5k4x֝tOyĞT>7m˟a9UefWNg :uE¢NFWI76 cW'p+TGGȥuf hlj]hȨ81!j/̩4ܩ$.6e{,ê?ߪ01P]2K2_]cT,ddN Xp_-]E-1_4x!'ϰ$ _=RO9@:zӲ_#>BA.^psϷCڸ9'z 0p W9&jSS;oMC,(0"E Og`XQ. V~ O36o "%=&&oq*\*p>+]+ ,e,{ -f--.~ /q/v/{t0h0dY11Yk2d2*36W78:=;=XCqCPDrTIIuN6yPT|Xo]b;cydIfglijln=npqqWr$sdtltNuvv8pww-x,y{{W~Bكb \bD\+s0lSe+5a6{<J0Α1W1{y`cxܔ8~֖U*̙=ӛfx>ŸESH\orx[VN.̧RaK##NG4\|7٫+y={3?­@rCAyCr&9"0ӳty5<.bFO;YҸ8,e[M\>EV(X~}~*Y8) wGD^$o.5%z;:T@pRt!u6C3x0W`_~+'hJI egB|Y*ci,yrH}NA21sq 9&kS7[V-MUL(FEK<v "fX>4]njm =# /{\?dPlaObQZ dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. $TARGET_PATH default SELinux type is %s, but its current type is $TARGET_TYPE. Changing this file back to the default type may fix your problem.

File contexts can be assigned to a file in the following ways.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied svirt access to $TARGET_PATH. If this is a virtualization image, it has to have a file context label of virt_image_t. The system is setup to label image files in directory./var/lib/libvirt/images correctly. We recommend that you copy your image file to /var/lib/libvirt/images. If you really want to have your image files in the current directory, you can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied svirt access to the block device $TARGET_PATH. If this is a virtualization image, it needs to be labeled with a virtualization file context (virt_image_t). You can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing access to a file labeled unlabeled_t. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux permission checks on files labeled unlabeled_t are being denied. unlabeled_t is a context the SELinux kernel gives to files that do not have a label. This indicates a serious labeling problem. No files on an SELinux box should ever be labeled unlabeled_t. If you have just added a disk drive to the system, you can relabel it using the restorecon command. For example if you saved the home directory from a previous installation that did not use SELinux, 'restorecon -R -v /home' will fix the labels. Otherwise you should relabel the entire file system. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Change the file label to xen_image_t.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRelabel the whole file system. Includes reboot!Restore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.Set the image label to virt_image_t.This is caused by a newly created file system.Try to fix the label.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: POT-Creation-Date: 2021-09-07 17:26+0200 PO-Revision-Date: 2021-09-04 17:04+0000 Last-Translator: Yuri Chornoivan Language-Team: Ukrainian Language: uk MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=3; plural=n%10==1 && n%100!=11 ? 0 : n%10>=2 && n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2; X-Generator: Weblate 4.8 повідомлення щодо можливостей dac_override і dac_read_search зазвичай означають, що процес користувача root не має доступу до файла через параметри прав доступу. Отже, ймовірно, у вас є якийсь файл з помилковими параметрами належності або прав доступу. SELinux відхилила запит на доступ від $SOURCE. Такий запит не очікується від $SOURCE, що може свідчити про спробу вторгнення. Також можливо, що специфічна версія конфігурації програми вимагає додаткового доступу. SELinux відхилила запит на доступ від $SOURCE. Поточні параметри логічних змінних не дозволяють доступ. Такий запит не очікується від $SOURCE, що може свідчити про спробу вторгнення. Якщо ж ви дійсно хочете дозволити доступ, треба змінити відповідні логічні змінні. SELinux закрила $SOURCE_PATH доступ "$ACCESS" до пристрою $TARGET_PATH. $TARGET_PATH відмічено неправильно та має стандартну позначку каталогу /dev. Всі символьні та блочні пристрої повинні мати свою позначку. Можна спробувати змінити мітку командою restorecon -v $TARGET_PATH. Якщо пристрій досі має мітку device_t, це помилка у правилах SELinux. Будь ласка, надішліть звіт про помилку у пакеті selinux-policy. Якщо ви переглянете мітки схожих пристроїв, ls -lZ /dev/SIMILAR, та знайдете тип, який підтримує $TARGET_PATH, можна виконати chcon -t SIMILAR_TYPE $TARGET_PATH. Якщо це допоможе, можете внести постійні зміни за допомогою команди semanage fcontext -a -t SIMILAR_TYPE $TARGET_PATH Якщо restorecon може змінити контекст, це означає, що програма, яка створила пристрій, не використовувала SELinux API. Якщо ви можете визначити, яка програма створила цей пристрій, надішліть звіт про помилку щодо цієї програмі. Спробуйте виконати «restorecon -v $TARGET_PATH» чи «chcon -t SIMILAR_TYPE '$TARGET_PATH'» Встановлення логічного значення "$BOOLEAN" у TRUE дозволить доступ: "setsebool -P $BOOLEAN=1" Встановлення логічного значення "$BOOLEAN" у TRUE дозволить доступ: «setsebool -P $BOOLEAN=1» Встановлення логічної змінної «allow_ftpd_use_nfs» у TRUE дозволить доступ: «setsebool -P allow_ftpd_use_nfs=1» Заміна file_context на mnt_t дозволить підключити файлову систему: «chcon -t mnt_t '$TARGET_PATH'.» Також треба змінити типові контексти файлів у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'» Для доменів з обмеженнями не потрібний «sys_resource» Поява цього повідомлення, зазвичай, означає, що у системі залишилося мало певних ресурсів, зокрема місця на дисках, оперативної пам’яті, квоти тощо. Будь ласка, вилучіть зайві компоненти, щоб позбутися цього повідомлення AVC. Якщо повідомлення з’являтиметься і після вивільнення місця на диску, будь ласка, повідомте про цю ваду розробникам. Процеси, щоб обмежуються можна налаштувати так, щоб вони виконувались з різними рівнями доступу. При цьому доступ можна дозволити та забороняти за допомогою логічних змінних SELinux. Для дозволу сценаріям httpd виконання записи у спільні теки необхідно встановити логічну змінну $BOOLEAN та замінити контекст спільної теки на public_content_rw_t. За докладною інформацією зверніться до сторінки довідки httpd_selinux: «setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t <шлях>» Також треба змінити типові контексти файлів у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t public_content_rw_t <шлях>» Якщо ви довіряєте $TARGET_PATH, то можна замінити контекст файлу на textrel_shlib_t. «chcon -t textrel_shlib_t $TARGET_PATH» Також треба змінити типові контексти файлів у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'» Для продовження $SOURCE необхідно активувати логічну змінну $BOOLEAN. Зауваження: її значення впливає на всі програми системи. Для дозволу надсилання пошти службою httpd встановіть значення $BOOLEAN: «setsebool -P $BOOLEAN=1» Якщо треба дозволити $SOURCE прив'язуватись до порту $PORT_NUMBER, виконайте команду # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER де PORT_TYPE може приймати значення: %s. Якщо система виконує роль клієнта NIS, можна спробувати встановити логічне значення allow_ypbind: «setsebool -P allow_ypbind=1». Якщо ви хочете дозволити $SOURCE встановлювати з’єднання на порту $PORT_NUMBER, ви можете віддати команду # sandbox -X -t sandbox_net_t $SOURCE Щоб дозволити підключення $SOURCE до порту $PORT_NUMBER, виконайте команду # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER де PORT_TYPE може приймати значення: %s. Якщо ви бажаєте змінити контекст файла $TARGET_PATH з метою дозволу його виконання за допомогою automounter, використовуйте команду c«chcon -t bin_t $TARGET_PATH». Також треба змінити первинний контекст файлів, щоб зберегти його при повторній розмітці. «semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'» SELinux заборонила $SOURCE доступ до $TARGET_PATH. Якщо це файл резервної пам'яті, то він повинен мати метку swapfile_t. Якщо ви не збирались використовувати $TARGET_PATH як файл резервної пам'яті, можливо це помилка або спроба вторгнення. SELinux заборонила доступ RSYNC до $TARGET_PATH. Якщо це репозиторій RSYNC, він повинен мати контекст rsync_data_t. Якщо ви не використовуєте $TARGET_PATH як репозиторій rsync, можливо це помилка або спроба вторгнення. SELinux заборонено доступ, запит щодо якого надіслано $SOURCE. Можливо, для $SOURCE_PATH визначено помилкову мітку. Типовим типом $SOURCE_PATH у SELinux є %s, втім, поточним типом є $SOURCE_TYPE. Повернення до типового для цього файла типу можна вирішити вашу проблему.

Помилкову мітку могло бути встановлено внаслідок помилки користувача або запуску програми з обмеженням у доступі з помилкової області доступу.

Втім, можливою причиною є і вада у SELinux, оскільки мітка цього файла не повинна була належати до поточного типу.

Якщо ви вважаєте, що причиною є саме вада, повідомте про неї, вказавши джерелом вади відповідний пакунок. Правила SELinux забороняють доступ за запитом $SOURCE. Можливо, розмітка $TARGET_PATH некоректна. Стандартний тип SELinux для $TARGET_PATH має значення %s, але наразі тип — $TARGET_TYPE. Зміна типу на стандартний може виправити проблему.

Є декілька способів призначення контексту файлу.

Можливо, цей файл був помилково позначений неправильно чи він є обмежуваною програмою, що виконується у неправильному домені.

Проте це також може бути ознакою помилки у SELinux, оскільки файл не повинен бути так позначений.

Якщо ви думаєте, що це помилка, створіть запит у Bugzilla для цього пакета. SELinux запобігає доступу за запитом $SOURCE. Можливо, встановлена мітка $TARGET_PATH є некоректною. Якщо каталог /home позначено правильно, openvpn буде дозволено читати його вміст. SELinux запобігає доступу за запитом $SOURCE. Можливо, розмітка $TARGET_PATH некоректна. Якщо каталог /root/.ssh позначено правильно, SSHD дозволяється читати його вміст. SELinux відхилила запит на доступ від $SOURCE. Такий запит не очікується від $SOURCE, що може свідчити про спробу вторгнення. Також можливо, що специфічна версія конфігурації програми вимагає додаткового доступу. SELinux відхилила запит на доступ від $SOURCE. Такий запит не очікується від $SOURCE, що може свідчити про спробу вторгнення. Також причиною негараздів може бути те, що певна версія або налаштування програми спричинює потребу у додатковому доступі. mozplugger і spice-xpi запускає програми у mozilla-plugins, що потребує доступу до стільниці, що забороняється блокуванням у mozilla_plugin. Отже вам слід або вимкнути блокування у mozilla_plugin, або не користуватися цими пакунками. SELinux відхилила запит на доступ від $SOURCE. Такий запит не очікується від $SOURCE, що може свідчити про спробу вторгнення. Також причиною негараздів може бути те, що певна версія або налаштування програми спричинює потребу у додатковому доступі. spice-xpi запускає програми у mozilla-plugins, що потребує доступу до стільниці, що забороняється блокуванням у mozilla_plugin. Отже вам слід або вимкнути блокування у mozilla_plugin, або не користуватися цими пакунками. SELinux забороняє запит доступу, отриманий від команди $SOURCE. Ймовірне витікання дескриптора чи вивід $SOURCE був перенаправлений у файл, до якого у неї немає доступу. Витікання зазвичай можна ігнорувати, оскільки SELinux просто їх закриває та повідомляє про помилку. Програма не використовує дескриптор, тому її роботу не буде порушено. Якщо ж причиною є перенаправлення, $TARGET_PATH не буде містити вивід. У цьому випадку створіть запит у Bugzilla для компоненту selinux-policy. SELinux заборонила доступ до $TARGET_PATH за запитом $SOURCE. $TARGET_PATH має контекст спільного використання кількома програмами. Якщо ви також бажаєте використовувати $TARGET_PATH з $SOURCE, тоді треба змінити його контекст на public_content_t. Якщо ви це не планували, можливо має місце спроба вторгнення. SELinux заборонила доступ cvs до $TARGET_PATH. Якщо це репозиторій CVS, він повинен мати контекст cvs_data_t. Якщо ви не використовуєте $TARGET_PATH як репозиторій cvs, можливо це помилка або спроба вторгнення. SELinux заборонила доступ samba до $TARGET_PATH. Якщо ви бажаєте використовувати цей каталог разом з samba, він повинен мати контекст samba_share_t. Якщо ви не збирались використовувати $TARGET_PATH як репозиторій samba. Це може свідчити про помилку або про спробу вторгнення. Докладну інформацію про параметри Samba та SELinux можна знайти на сторінці довідки «man samba_selinux». SELinux закрила доступ svirt до $TARGET_PATH. Якщо це образ віртуалізації, він повинен мати контекст virt_image_t Система налаштована правильно маркувати образи у /var/lib/libvirt/images Ми рекомендуємо скопіювати файл у цей каталог. Якщо ви справді бажаєте працювати з образами у цьому каталозі, ви можете перемаркувати $TARGET_PATH як файл/каталог virt_image_t, використовуючи chcon. Після цього треба також виконати команду «semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'», щоб додати новий шлях у системний список. Якщо ви не збирались використовувати $TARGET_PATH як образ віртуалізації, можливо, це помилка, або спроба строннього втручання. SELinux закрила доступ svirt до $TARGET_PATH. Якщо це образ віртуалізації, він повинен мати мітку контексту virt_image_t. Можна змінити позначку $TARGET_PATH на virt_image_t за допомогою chcon. Також виконайте команду «semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'» для додавання нового шляху у системний список стандартних шляхів. Якщо ви не планували використовувати $TARGET_PATH як образ віртуалізації, можливо, це помилка, або спроба стороннього втручання. SELinux закрила доступ xen до $TARGET_PATH. Якщо це образ XEN, він повинен мати мітку контексту xen_image_t. Система налаштована правильно маркувати образи у, /var/lib/xen/image. Ми рекомендуємо скопіювати файл у цей каталог. Якщо ви справді бажаєте працювати з образами xen у цьому каталозі, ви можете перемаркувати $TARGET_PATH як файл/каталог xen_image_t, використовуючи chcon. Після цього треба також виконати команду «semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'», щоб додати новий шлях у типовий системний список. Якщо ви не планували використовувати $TARGET_PATH як образ xen, можливо це помилка, або спроба вторгнення. SELinux заборонила $SOURCE підключатись до мережного порту $PORT_NUMBER, якому не заданий тип SELinux. Якщо $SOURCE повинен мати можливість підключатися до цього порту, ви можете використовувати команду semanage для додавання цього порту до типу, до якого $SOURCE_TYPE може підключатися. (%s). Якщо $SOURCE не має підключатися до цього порту, це може означати спробу вторгнення. SELinux заборонила з'єднання $SOURCE із портом мережі $PORT_NUMBER у пісочниці. Якщо $SOURCE має бути дозволено з'єднання на $PORT_NUMBER, вам слід використати інший тип пісочниці, зокрема sandbox_web_t або sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE Якщо $SOURCE не має з'єднуватися із $PORT_NUMBER, спроба з'єднання може свідчити про спробу стороннього втручання. SELinux закрила $SOURCE доступ до потенційно неправильно позначених файлів $TARGET_PATH. Це означає, що SELinux не дасть http використовувати ці файли. Щоб дозволити доступ httpd до цих файлів, змініть контекст на один з типів: %s. Багато програм третіх сторін встановлюють файли html у каталоги, що не передбачені правилами SELinux. Ці каталоги має бути позначено контекстом, до якого у httpd є доступ. SELinux заборонила $SOURCE приєднуватись до мережного порту $PORT_NUMBER, якому не заданий тип SELinux. Якщо $SOURCE повинен мати можливість підключатися до цього порту, можете використовувати команду semanage для додавання цього порту до типу, до якого $SOURCE_TYPE може підключатися (%s). Якщо $SOURCE не має прив'язуватись до цього порту, можливо має місце спроба вторгнення. SELinux забороняє $SOURCE створювати mmap у початковому діапазоні адресного простору ядра. Така можливість налаштовується у /proc/sys/kernel/mmap_min_addr. Заборона mmap запобігає несанкційованому використанню помилок null deref у ядрі. Для всіх програм, яким потрібен такий доступ, мають існувати власні правила. Якщо скомпрометована програма намагається змінити ядро, буде згенеровано AVC. Це є серйозною проблемою та може бути ознакою компрометації, вашої системи. SELinux заборонила $SOURCE_PATH виконувати потенційно неправильно розмічені файли $TARGET_PATH. Automounter може бути налаштований на виконання конфігураційних файлів, якщо $TARGET_PATH є виконуваним конфігураційним файлом automount, він повинен мати позначку bin_t. Якщо automounter намагається виконати щось, що він не повинен виконувати, це може означати спробу вторгнення. SELinux заборонила надсилання пошти службою http. Сценарій http намагається приєднатися до поштового порту чи виконати команду sendmail. Якщо httpd не налаштовано на використання sendmail, це може слугувати ознакою спроби вторгнення. SELinux забороняє $SOURCE завантажувати модуль ядра. Для всіх програм, яким потрібен такий рівень доступу, мають існувати окремі правила. Якщо скомпрометована програма намагається змінити модуль, буде згенеровано AVC. Це суттєва проблема та може бути ознакою того, що система була скомпрометована. SELinux забороняє $SOURCE змінювати $TARGET. $SOURCE намагається змінити конфігурацію правил selinux. Для всіх програм, яким потрібен цей доступ, мають існувати власні правила. Якщо скомпрометована програма намагається змінити правила, буде згенеровано AVC. Це є серйозною проблемою та може бути ознакою того, що система могла бути скомпрометована. SELinux забороняє $SOURCE змінювати $TARGET. $SOURCE намагається змінити поведінку ядра чи вставити код в ядро. Для всіх програм, котрим потрібен такий доступ, мають бути власні правила. Якщо скомпрометована програма намагається змінити ядро, буде згенеровано AVC. Це є серйозною проблемою та може бути ознакою того, що систему було скомпрометовано. SELinux забороняє $SOURCE записувати у файл, розташований у каталозі /sys/fs/selinux. Файли у /sys/fs/selinux керують параметрами правилами SELinux. Всі програми, яким потрібен такий доступ, повинні мати власні правила. якщо скомпрометована програма намагається вимкнути правила, буде згенеровано AVC. Це є суттєвою проблемою та може бути ознакою того, що система була скомпрометована. SELinux запобіг виконанню програмою vbetool небезпечної операції з пам'яттю. SELinux запобіг виконанню програмою wine небезпечної операції з пам'яттю. SELinux заборонила $SOURCE створювати файли з контекстом $SOURCE_TYPE у файловій системі. Звичайно це відбувається при використанні команди cp для збереження контексту файлу при копіюванні. Наприклад, «cp -a». Не всі файлові контексти повинні зберігатись між файловими системами. Наприклад, такий тип файлів лише для читання як iso9660_t не повинен використовуватись на системах, що допускають запис. Команда «cp -p» може бути більш добрим рішенням, оскільки вона адаптує файловий контекст у залежності від приймача. SELinux забороняє $SOURCE_PATH доступ «$ACCESS» до пристрою $TARGET_PATH. SELinux забороняє $SOURCE_PATH доступ "$ACCESS" до $TARGET_PATH. SELinux забороняє $SOURCE_PATH доступ «$ACCESS» до при строю $TARGET_PATH. SELinux забороняє $SOURCE_PATH доступ «$ACCESS» до $TARGET_PATH. SELinux забороняє $SOURCE_PATH доступ до дескриптора файлу $TARGET_PATH (можливе витікання). SELinux запобігає співставленню $SOURCE_PATH порту $PORT_NUMBER. SELinux запобігає зміні $SOURCE_PATH захисту доступу до пулу пам'яті. SELinux запобігає підключенню $SOURCE_PATH до порту $PORT_NUMBER. SELinux забороняє $SOURCE_PATH створювати у файловій системі файл з контекстом $SOURCE_TYPE. SELinux запобігає завантаженню $TARGET_PATH з $SOURCE_PATH з переміщенням тексту. SELinux забороняє $SOURCE_PATH визначати програмний стек як виконуваний. SELinux забороняє $SOURCE_PATH використовувати можливість «$ACCESS». SELinux забороняє $SOURCE_PATH використовувати можливість «sys_resource». SELinux забороняє Samba ($SOURCE_PATH) отримувати доступ «$ACCESS» до $TARGET_PATH. SELinux запобігає доступу до файла із позначкою unlabeled_t. SELinux запобігає cvs ($SOURCE_PATH) доступ «$ACCESS» до $TARGET_PATH. SELinux забороняє $SOURCE_PATH використовувати потенційно неправильно розмічених файлів $TARGET_PATH. SELinux запобігає надсиланню пошти службою http. SELinux забороняє xen ($SOURCE_PATH) доступ «$ACCESS» до $TARGET_PATH. Спроби SELinux перевірити файли з позначками unlabeled_t заборонено. Контекст unlabeled_t призначається файлам ядром SELinux, якщо вони не мають позначок. Це серйозна проблема маркування. Файли не повинні бути позначені як unlabeled_t. Якщо ви додали новий диск, можна маркувати його командою restorecon. Наприклад, якщо ви зберегли домашній каталог з попереднього встановлення, яка не використовувало SELinux, для виправлення позначок виконайте «restorecon -R -v /home». У іншому випадку доведеться повторно розмітити всю файлову систему. Правила SELinux запобігають спробам запису даних сценарієм httpd у спільну теку. Правила SELinux запобігають спробам запису даних у спільну теку сценарієм httpd. Якщо httpd не налаштовано на запис у спільні теки, подібні спроби можуть бути ознакою спроби вторгнення. SELinux заборонила $SOURCE підключати файлову систему у «$TARGET_PATH» з типом «$TARGET_TYPE». Типово SELinux обмежує монтування файлових систем деякими файлами чи каталогами (що мають атрибут mountpoint). Тип «$TARGET_TYPE» не має цього атрибуту. Ви можете змінити мітку файлу або каталогу. SELinux забороняє $SOURCE підключати файлову систему у файл чи каталог «$TARGET_PATH» (тип «$TARGET_TYPE»). SELinux забороняє httpd ($SOURCE_PATH) доступ $ACCESS до $TARGET_PATH. Сценаріям httpd не дозволений запис без явного позначення всіх файлів. Якщо $TARGET_PATH допускає запис, його треба позначити як httpd_sys_rw_content_t чи httpd_sys_ra_content_t (якщо потрібно лише додавання). Докладну інформацію можна знайти на сторінці довідки «man httpd_selinux». SELinux запобігла спробі отримання доступу $ACCESS httpd до файлів http За звичайних умов httpd має повний доступ до всіх файлів позначених міткою контексту http. У цій системі правила захисту розширено вимиканням параметра $BOOLEAN. Всі доступні файли має бути позначено явним чином. Якщо файл є скриптом cgi, його слід позначити міткою httpd_TYPE_script_exec_t, щоб його можна було виконувати. Якщо дані файла призначено лише для читання, файл слід позначити міткою httpd_TYPE_content_t. Якщо дані призначено для читання, слід встановити мітку httpd_TYPE_script_rw_t або httpd_TYPE_script_ra_t. Для зміни контекстів ви можете скористатися командою chcon. Будь ласка, зверніться до сторінки довідника (man) "man httpd_selinux" або ЧаП «TYPE» може мати значення «sys», «user» або «staff», а також типи скриптів. SELinux забороняє httpd доступ $ACCESS до файлів httpd. SELinux блокує службу ftp від $ACCESS файлів файлової системі CIFS. SELinux заборонив доступ фоновій службі ftp до файлів $ACCESS, що зберігаються у файловій системі CIFS. CIFS (Загальна файлова система для інтернету) — мережева файлова система, яка подібна до SMB (http://www.microsoft.com/mind/1196/cifs.asp). Фонова служба ftp намагалася прочитати один або декілька файлів або каталогів зі змонтованої файлової системи цього типу. Оскільки у файлових системах CIFS не передбачено можливості тонкого використання міток SELinux, усі файли і каталоги у таких файлових системах матимуть однаковий контекст. Якщо вами не було налаштовано фонову службу ftp на читання файлів із файлової системи CIFS, спроба такого доступу може свідчити про стороннє втручання. SELinux заборонила доступ $ACCESS службі ftp до файлів системи NFS. SELinux заборонив доступ фоновій службі ftp до файлів $ACCESS, що зберігаються у файловій системі NFS. NFS (Мережева файлова система) — мережева файлова система, що часто використовується у системах Unix / Linux. Фонова служба ftp намагалася прочитати один або декілька файлів або каталогів зі змонтованої файлової системи цього типу. Оскільки у файлових системах NFS не передбачено можливості тонкого використання міток SELinux, усі файли і каталоги у таких файлових системах матимуть однаковий контекст. Якщо вами не було налаштовано фонову службу ftp на читання файлів із файлової системи NFS, спроба такого доступу може свідчити про стороннє втручання. Іноді бібліотеку буває випадково позначено прапорцем execstack. Якщо ви знайдете таку бібліотеку, прапорець можна зняти за допомогою execstack -c LIBRARY_PATH. Після зняття перезапустіть програму. Якщо програма не запрацює, ви можете увімкнути прапорець за допомогою execstack -s LIBRARY_PATH. Програма $SOURCE спробувала змінити захист пулу пам'яті (наприклад, виділеної за допомогою malloc). Це потенційна проблема з точки зору безпеки. Програми не мають цього робити. Але іноді, через некоректність коду, програмам потрібна така можливість. Документ Тести захисту пам'яті SELinux пояснює як відмовитись від використання такої можливості. Якщо $SOURCE не працює, а вам необхідна ця програма, можна налаштувати SELinux тимчасово дозволити зміну захисту пам'яті, доки програму не буде виправлено. Надішліть звіт про помилку щодо цього пакета. Програма $SOURCE спробувала завантажити $TARGET_PATH, яка вимагає переміщення. Це потенційна проблема з точки зору безпеки. Більшість бібліотек цього не вимагають. Іноді бібліотеки написані некоректно та вимагають таку можливість. У документі Тести захисту пам'яті SELinux пояснюється як відмовитись від використання цієї можливості. Налаштуйте SELinux для тимчасового дозволу $TARGET_PATH робити переміщення, поки бібліотеку не буде виправлено. Будь ласка, надішліть звіт про помилку щодо цього пакета. Програма $SOURCE спробувала завантажити $TARGET_PATH, яка вимагає переміщення. Це потенційна проблема з точки зору безпеки. Більшість бібліотек цього не вимагають. Іноді бібліотеки написані некоректно та вимагають таку можливість. У документі Тести захисту пам'яті SELinux пояснюється як відмовитись від використання такої можливості. Ця утиліта проаналізувала бібліотеку, але, швидше за все, її зібрано правильно. setroubleshoot не може точно визначити, чи була ця програма скомпрометована. Це досить серйозна проблема. Повідомте про цю проблему вашого адміністратора з безпеки. Програма $SOURCE спробувала зробити свій стек виконуваним. Це потенційна загроза безпеки. Така операція не має використовуватись. Стекова пам'ять не є виконуваною у більшості ОС на сьогоднішній день, і це не зміниться у майбутньому. Виконуваний стек - це одна з найсерйозніших проблем безпеки. Подібні помилки можуть бути викликані програмою зловмисника. Іноді некоректно написані програми вимагають таку можливість. У документі Тести захисту пам'яті SELinux пояснюється як виключити вживання такої можливості. Якщо $SOURCE не працює, а вам неодмінно треба ця програма, можна налаштувати SELinux для тимчасового дозволу цієї можливості, доки програма не буде виправлена. Будь ласка надішліть у цьому пакеті. Використовуйте команди, подібні до «cp -p», для збереження усіх прав доступу, окрім контексту SELinux. Можна змінити контекст, виконавши команду: «chcon -R -t cvs_data_t '$TARGET_PATH'» Також треба змінити типові контексти файлів у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'» Файловий контекст можна змінити командою «chcon -R -t rsync_data_t '$TARGET_PATH'» Також терба змінити типові контексти файлів у системі, щоб вони збереглись при повторній розмітці. «semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'» Контекст файлу можна змінити, виконавши команду «chcon -R -t samba_share_t '$TARGET_PATH'» Також треба змінити типові контексти файлів у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'» Файловий контекст можна змінити, виконавши «chcon -t public_content_t '$TARGET_PATH'» Також треба змінити типові контексти файлів у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'» Файловий контекст можна змінити, виконавши «сhcon -t swapfile_t '$TARGET_PATH'» Також треба змінити типові контексти файлів у системі, щоб вони зберігались навіть при повторній розмітці. «semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'» Контекст файлу можна змінити, виконавши команду «chcon -t virt_image_t '$TARGET_PATH'» Також треба змінити типові контексти файлів у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH» Файловий контекст можна змінити, виконуючи команду «chcon -t xen_image_t '$TARGET_PATH'» Також треба змінити типові контексти файлів= у системі, щоб вони збереглись навіть при повторній розмітці. «semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'» Виконайте наступну команду від імені користувача root для зміни маркування системи: «touch /.autorelabel; reboot» Щоб дозволити доступ, можна згенерувати модуль локальних правил (див. ЧаП). Будь ласка, створіть звіт про помилку. Щоб дозволити доступ, можна згенерувати модуль локальної локальних правил (див. ЧаП). Первинний контекст можна відновити за допомогою команди restorecon. # restorecon -R /root/.ssh Первинний контекст можна відновити за допомогою команди restorecon. # restorecon -R /root/.ssh Типовий контекст цього файла можна відновити за допомогою команди restorecon Виконайте команду «restorecon '$SOURCE_PATH'». Первинний контекст файлу можна відновити: «restorecon '$TARGET_PATH'» Для каталогу використовуйте команду «restorecon -R '$TARGET_PATH'». Ваша система може бути серйозно скомпрометована! Вашу систему може бути серйозно скомпрометовано! $SOURCE_PATH намагається виконати mmap для нижнього діапазону пам'яті ядра. Ваша система може бути серйозно скомпрометована! $SOURCE_PATH намагається завантажити модуль ядра. Ваша система може бути серйозно скомпрометована! $SOURCE_PATH намагається змінити примусовий режим SELinux. Вашу систему може бути скомпрометовано! $SOURCE_PATH намагається змінити конфігурацію ядра. Вимкнути IPV6 належним чином. Вилучіть пакунок mozplluger за допомогою команди «yum remove mozplugger» або вимкніть примусове використання SELinux для додатків Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Вилучіть пакунок mozplluger або spice-xpi за допомогою команди «yum remove mozplugger spice-xpi» або вимкніть примусове використання SELinux для додатків Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Вилучіть пакунок mozplluger або spice-xpi за допомогою команди «yum remove mozplugger spice-xpi» або вимкніть примусове використання SELinux для додатків Chrome. setsebool -P unconfined_chrome_sandbox_transition 0 Якщо ви хочете продовжити виконання цієї програми, треба це дозволити. Для цього виконайте: # setsebool -P mmap_low_allowed 1 SELinux забороняє дію, запитану $SOURCE, програмою зміни стану відео обладнання. Ця програма звичайно виконує небезпечні операції пам'яті, у то же час так діють зловмисні програми, замасковані під vbetool. Ця утиліта відновлює стан відео при поверненні системи з режиму очікування. Якщо комп'ютер не відновлює роботу, залишається лише дозволити цю дію, послабляючи захист. SELinux заборонив виконання операції, запитаної wine-preloader, програмою для запуску програм Windows на Linux. Відомо, що ця програма використовує небезпечні операції з системною пам'яттю, як і зловмисні програми, що маскуються під wine. Якщо ви намагаєтесь запустити програму Windows, можна або дозволити цю операцію, тим самим послабляючи захист системи, або відмовитись від використання програм Windows у Linux. Якщо ж ви не намагались запустити програму Windows, це означає, що ви атаковані однією з таких зловмисних програм або хтось намагається використати вашу систему. Докладнішу інформацію наведено у статті http://wiki.winehq.org/PreloaderPageZeroProblem Там описані інші проблеми,з якими зіштовхуються програма wine через небезпечні операції з пам'яттю, та можливі шляхи їх вирішення. Увімкніть повну перевірку # auditctl -w /etc/shadow -p w Спробуйте повторно створити AVC, потім віддайте команду # ausearch -m avc -ts recent Якщо вам буде показано запис PATH, перевірте параметри належності і прав доступу до файла і виправте їх значення. Якщо помилок у цих параметрах не буде виявлено, повідомте до системи сповіщення про вади. Ви намагалися вказати тип %s, який не належить до типів файлів. Цього не можна робити, вам слід призначити тип файлів. Список усіх можливих типів файлів можна отримати у відповідь на команду seinfo. seinfo -aтип_файлів -x Зміна ознак "$BOOLEAN" та "$WRITE_BOOLEAN" у TRUE відкриє доступ: «setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1». Увага: встановлення ознаки "$WRITE_BOOLEAN" у TRUE дозволить службі ftp записувати в усі спільні ресурси (файли, каталоги типу public_content_t) окрім запису у файли та каталоги файлових систем CIFS. Встановлення ознак «allow_ftpd_use_nfs» та «ftpd_anon_write» дозволить такий доступ: «setsebool -P allow_ftpd_use_nfs= ftpd_anon_write=1» увага: встановлення ознаки «ftpd_anon_write» у true дозволяє службі ftp писати у спільні області (файли та каталоги з типом public_content_t) окрім запису до файлів файли та каталоги на розділах NFS. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' де FILE_TYPE може приймати одне з таких значень: %s. Потім віддайте команду: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBERsemanage port -a -t PORT_TYPE -p %s $PORT_NUMBER де PORT_TYPE може приймати значення: %s.Ймовірно, процес намагається здійснити злам вашої системи.Додайте рядок net.ipv6.conf.all.disable_ipv6 = 1 до /etc/sysctl.conf Доступ можна уможливити зараз за допомогою таких команд: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppЗмінити контекст файла.Змінити міткуЗмінити мітку для бібліотеки.Змініть позначку файла на xen_image_t.Зв’яжіться з адміністратором, що відповідає за безпеку, і повідомте про цю ваду.Вимкнути керування SELinux для додатків ChromeУвімкнути булеві значенняУвімкнути булеві значення.Якщо $TARGET_BASE_PATH — цільова система віртуалізаціїЯкщо $TARGET_BASE_PATH має бути оприлюднено за допомогою фонової служби RSYNCЯкщо $TARGET_BASE_PATH має бути оприлюднено за допомогою фонової служби cvsЯкщо ви вважаєте, що $SOURCE_BASE_PATH має бути надано доступ до створення файлів $TARGET_BASE_PATHЯкщо ви вважаєте, що $SOURCE_PATH намагалася вимкнути SELinux.Якщо вам здається, що для %s не потрібен стек виконанняЯкщо ви вважаєте, що $SOURCE_BASE_PATH має бути надано типовий доступ $ACCESS до $TARGET_CLASS з міткою $TARGET_BASE_PATH/Якщо ви вважаєте, що $SOURCE_BASE_PATH має бути надано типовий доступ $ACCESS до процесу з міткою $TARGET_BASE_PATHЯкщо ви вважаєте, що $SOURCE_BASE_PATH має бути надано типовий доступ $ACCESS до $TARGET_BASE_PATH $TARGET_CLASS.Якщо ви вважаєте, що $SOURCE_BASE_PATH має бути надано типову можливість $ACCESS.Якщо причиною цього запису AVC не було ваше безпосереднє тестування можливостей.Якщо ви вважаєте, що $SOURCE_PATH не має намагатися змінити ядро завантаженням модуля ядра.Якщо ви вважаєте, що ваш $SOURCE_PATH не має намагатися змінити ядро завантаженням модулів ядраЯкщо ви вважаєте, що $SOURCE_BASE_PATH не повинен намагатися отримувати доступ $ACCESS до $TARGET_BASE_PATH.Якщо вам здається, що $SOURCE_PATH не повинна відображати резервну область пам’яті для запису і виконання коду.Якщо вам здається, що $SOURCE_PATH не повинна відображати пам’ять стека для запису і виконання коду.Якщо вам здається, що $SOURCE_PATH не повинна відображати нижні області пам’яті у ядрі.Якщо ви не хочете, щоб процеси вимагали можливостей використання всіх системних ресурсів у вашій системі;Якщо ви вважаєте, що причиною є помилкова мітка системи.Якщо ви хочете %sЯкщо ви бажаєте надати доступ $SOURCE_BASE_PATH до монтування у $TARGET_BASE_PATH.Якщо ви бажаєте дозволити $SOURCE_PATH запис до теки спільних відкритих данихЯкщо ви хочете дозволити $SOURCE_PATH прив'язуватися до мережевого порту $PORT_NUMBERЯкщо ви хочете дозволити $SOURCE_PATH встановлювати з’єднання на мережевому порту $PORT_NUMBERЯкщо ви маєте намір дозволити ftpd виконувати запис до файлових систем cifsЯкщо ви маєте намір дозволити ftpd виконувати запис до файлових систем nfsЯкщо ви бажаєте дозволити httpd виконувати скрипти cgi і уніфікувати обробку HTTPD всіх файлів даних.Якщо ви бажаєте дозволити httpd надсилати поштуЯкщо ви хочете змінити мітку на $TARGET_PATH на %s, цього не можна робити, оскільки файл не належить до коректного типу.Якщо вам потрібно вимкнути IPV6 на цьому комп’ютеріви бажаєте виправити мітку, типовою міткою $SOURCE_PATH має бути %s.Якщо ви бажаєте виправити мітку, типовою міткою $TARGET_PATH має бути %s.Якщо ви хочете допомогти у визначенні того, чи потрібні домену ці права доступу, або у вашій системі є файл з помилковими правами доступуЯкщо ви бажаєте ігнорувати спроби $SOURCE_BASE_PATH отримання доступу $ACCESS до $TARGET_BASE_PATH $TARGET_CLASS, оскільки вважаєте, що такий доступ не потрібен.Якщо ви бажаєте ігнорувати це повідомлення AVC, оскільки воно може бути небезпечним, ваша система працює у звичному режимі.Якщо ви бажаєте ігнорувати це повідомлення AVC, оскільки воно може бути небезпечним, ваші програми wine працюють у звичному режимі.Якщо ви хочете змінити мітку на $TARGET_BASE_PATH так, щоб змінна $SOURCE_BASE_PATH могла мати доступ $ACCESS до ньогоЯкщо ви хочете пересунути $TARGET_BASE_PATH до стандартного місця так, щоб змінна $SOURCE_BASE_PATH мала доступ $ACCESSЯкщо ви хочете продовжити користуватися обмеженням роботи додатків Firefox за допомогою SELinux, додаток mozplugger вам не потрібенЯкщо ви вважаєте $TARGET_BASE_PATH відкритими данимиЯкщо ви хочете використовувати пакунок %sВиконайте повторне маркування усієї файлової системи. Включно із перезавантаженням!Відновити контекстВідновити контекстSELinux запобігає спробі доступу $SOURCE_PATH "$ACCESS".Встановіть для позначки образу virt_image_t.Це спричинено раніше створеною файловою системою.Спробуйте виправити позначку.Вимкнути захист па'мятіОзнайомтеся зі сторінкою підручника (man) «%s», щоб дізнатися більше.Ймовірно, у вашу систему було здійснено несанкціоноване втручання.Вам слід повідомити про це SELinux наданням логічному параметру «%s» значення true. Вам слід змінити мітку на $FIX_TARGET_PATHВам слід змінити мітку на $TARGET_BASE_PATHВам слід змінити мітку на $TARGET_BASE_PATH на public_content_t або public_content_rw_t.Вам слід змінити мітку на $TARGET_BASE_PATH'Вам слід змінити мітку на $TARGET_PATH на мітку типу подібного пристрою.Вам слід змінити мітку на «$FIX_TARGET_PATH»Вам слід повідомити про цю помилку як про ваду. Ви можете створити модуль локальних правил для надання подібного доступу.Вам слід повідомити про цю помилку як про ваду. Ви можете створити модуль локальних правил для вимикання стеження за таким доступом.execstack -c %sякщо ви вважаєте, що у вашу систему було здійснено несанкціоноване втручанняsetsebool -P %s %sувімкніть повну перевірку, щоб отримати дані щодо розташування файла з помилкою і повторно створіть повідомлення про помилку.Використовуйте команди, подібні до «cp -p», для збереження усіх прав доступу, окрім контексту SELinux.ви можете запустити restorecon.ви можете запустити restorecon. У доступі могло бути відмовлено через недостатні права доступу до батьківського каталогу. У цьому випадку вам слід спробувати змінити наведену далі команду відповідним чином.ймовірно, вас атакують зловмисники, оскільки програми, доступ яких обмежено, такий доступ не потрібен.ймовірно, вас атакують зловмисники, оскільки програми, доступ яких обмежено, такий доступ не потрібен.ймовірно, вас атакують зловмисники, оскільки такий доступ є дуже небезпечним.вам слід змінити мітки на $TARGET_PATH.вам слід виправити мітки.вам слід пересунути файл сертифіката до каталогу ~/.certвам слід вибрати коректну мітку файла.вам слід вилучити пакунок mozplugger.вам слід налаштувати SELinux так, щоб було дозволеновам слід повідомити про це SELinuxвам слід повідомити про це SELinux встановленням значень true для параметрів «httpd_unified» і «http_enable_cgi»вам слід повідомити про це SELinux встановленням значення true для параметра vbetool_mmap_zero_ignore.вам слід повідомити про це SELinux наданням логічному параметру wine_mmap_zero_ignore значення true.вам слід вимкнути керування SELinux для додатків Chrome.вам слід вимкнути керування SELinux для додатків Firefox.вам слід додати мітки до каталогу.вам слід змінити мітку $TARGET_PATH на public_content_rw_t і потенційно надати значення true allow_httpd_sys_script_anon_write boolean.вам слід визначити причину того, що вашій системі не вистачає ресурсів, і усунути її. У /usr/include/linux/capability.h визначено, що змінна sys_resource потрібна для таких речей: /* Перевизначення обмежень на ресурси. Встановлення обмежень на ресурси. */ /* Перевизначення обмежень квот. */ /* Зміна розмірів зарезервованого місця на файловій системі ext2 */ /* Зміна режиму ведення журналу даних на файловій системі ext3 (використовує ресурси журналювання) */ /* ЗАУВАЖЕННЯ: ext2 бере до уваги fsuid під час встановлення перевизначень реурсів, отже ви можете перевизначати їх і за допомогою fsuid */ /* Перевизначення обмежено на розмір для черг повідомлень IPC */ /* Уможливлення понад 64 переривань на секунду від годинника реального часу */ /* Перевизначення максимальної кількості консолей при розподілі консолей */ /* Перевизначення максимальної кількості розкладок клавіатури */ вам слід виконати повне перепризначення міток.вам слід змінити тип пісочниці. sandbox_web_t або sandbox_net_t. Приклад: sandbox -X -t sandbox_net_t $SOURCE_PATH Будь ласка, ознайомтеся зі сторінкою підручника (man) sandbox, щоб дізнатися більше. вам слід повідомити про ваду. Такий доступ є потенційно небезпечним.вам слід повідомити про ваду. Такий доступ є потенційно небезпечним.вам слід встановити /proc/sys/net/ipv6/conf/all/disable_ipv6 у значення 1 і не додавати до чорного списку модуль'вам слід скористатися іншою командою. Ви не маєте прав доступу для збереження контексту SELinux у файловій системі призначення.вам слід зробити нульовим значення параметра execstack і переконатися, що $SOURCE_PATH працює належним чином. Повідомте про цю ваду за адресою %s. Спорожнити прапорець стека виконання можна командою: