Note: This is a beta release of Red Hat Bugzilla 5.0. The data contained within is a snapshot of the live data so any changes you make will not be reflected in the production Bugzilla. Also email is disabled so feel free to test any aspect of the site that you want. File any problems you find or give feedback here.

Bug 588579

Summary: SELinux empêche les utilisateurs de lancer des serveurs TCP dans leur domaine utilisateur.
Product: [Fedora] Fedora Reporter: Carl G. <carl.gaudreault>
Component: selinux-policyAssignee: Daniel Walsh <dwalsh>
Status: CLOSED INSUFFICIENT_DATA QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: medium Docs Contact:
Priority: medium    
Version: 13CC: dwalsh, mgrepl
Target Milestone: ---   
Target Release: ---   
Hardware: x86_64   
OS: Linux   
Whiteboard: setroubleshoot_trace_hash:de909d6e244991b1636725bc8e0d3e35ef2aa89e8df1af273b7aec4b0775f4a3
Fixed In Version: Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2010-07-05 03:13:35 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: --- Target Upstream Version:

Description Carl G. 2010-05-04 00:30:19 UTC
Résumé:

SELinux empêche les utilisateurs de lancer des serveurs TCP dans leur domaine
utilisateur.

Description détaillée:

[gnome-dvb-daemo a un type permissif (staff_t). Cet accès n'a pas été
refusé.]

SELinux a refusé au programme gnome-dvb-daemo de se connecter au port réseau
8554 qui n'est pas associé à un type SELinux. gnome-dvb-daemo n'a pas de
stratégie SELinux définie lorsqu'il est exécuté par l'utilisateur et il
s'exécute donc dans le domaine de l'utilisateur. SELinux est actuellement
configuré pour refuser aux serveurs TCP de fonctionner dans le domaine de
l'utilisateur. Si vous ne vous attendez pas à ce qu'un programme comme
gnome-dvb-daemo se connecte à un port du réseau, alors il peut s'agir d'une
tentative d'intrusion. Si le système fonctionne comme un client NIS, activer le
booléen allow_ypbind peut corriger le problème. setsebool -P allo

Autoriser l'accès:

Si vous souhaitez que le ftp autorise aux utilisateurs l'accès à leurs
répertoires personnels vous devez activer le booléen user_tcp_server :
"setsebool -P user_tcp_server=1"

Commande de correction:

setsebool -P user_tcp_server=1

Informations complémentaires:

Contexte source               staff_u:staff_r:staff_t:s0
Contexte cible                system_u:object_r:port_t:s0
Objets du contexte            None [ tcp_socket ]
source                        gnome-dvb-daemo
Chemin de la source           /usr/bin/gnome-dvb-daemon
Port                          8554
Hôte                         (removed)
Paquetages RPM source         gnome-dvb-daemon-0.1.16-1.fc13
Paquetages RPM cible          
Politique RPM                 selinux-policy-3.7.19-10.fc13
Selinux activé               True
Type de politique             targeted
Mode strict                   Enforcing
Nom du plugin                 user_tcp_server
Nom de l'hôte                (removed)
Plateforme                    Linux (removed) 2.6.33.3-72.fc13.x86_64
                              #1 SMP Wed Apr 28 15:48:01 UTC 2010 x86_64 x86_64
Compteur d'alertes            1
Première alerte              lun. 03 mai 2010 20:28:39 EDT
Dernière alerte              lun. 03 mai 2010 20:28:39 EDT
ID local                      bffde65e-07e6-4d9b-877e-8a3c6eba15d1
Numéros des lignes           

Messages d'audit bruts        

node=(removed) type=AVC msg=audit(1272932919.669:29212): avc:  denied  { name_bind } for  pid=2602 comm="gnome-dvb-daemo" src=8554 scontext=staff_u:staff_r:staff_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket

node=(removed) type=SYSCALL msg=audit(1272932919.669:29212): arch=c000003e syscall=49 success=yes exit=73014444160 a0=b a1=af92c8 a2=10 a3=7fff69fa7830 items=0 ppid=1 pid=2602 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="gnome-dvb-daemo" exe="/usr/bin/gnome-dvb-daemon" subj=staff_u:staff_r:staff_t:s0 key=(null)



Hash String generated from  user_tcp_server,gnome-dvb-daemo,staff_t,port_t,tcp_socket,name_bind
audit2allow suggests:

#============= staff_t ==============
#!!!! This avc can be allowed using one of the these booleans:
#     user_tcp_server, user_tcp_server

allow staff_t port_t:tcp_socket name_bind;

Comment 1 Miroslav Grepl 2010-05-04 14:31:28 UTC
It can be allowed by 'user_tcp_server' boolean. But are you seeing any AVC messages after that?

Comment 2 Carl G. 2010-07-05 03:13:35 UTC
(In reply to comment #1)
> It can be allowed by 'user_tcp_server' boolean. But are you seeing any AVC
> messages after that?    

Nope, i'm going to close it because i'm no longer using GNOME and i can't provide any further information.