Note: This is a beta release of Red Hat Bugzilla 5.0. The data contained within is a snapshot of the live data so any changes you make will not be reflected in the production Bugzilla. Also email is disabled so feel free to test any aspect of the site that you want. File any problems you find or give feedback here.
Bug 597800 - SELinux powstrzymuje /home/marek/qBT_dir/sanctuary/bin/Sanctuary przed wczytaniem /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so, który wymaga relokacji tekstu.
Summary: SELinux powstrzymuje /home/marek/qBT_dir/sanctuary/bin/Sanctuary przed wczyta...
Keywords:
Status: CLOSED NOTABUG
Alias: None
Product: Fedora
Classification: Fedora
Component: selinux-policy
Version: 13
Hardware: x86_64
OS: Linux
low
medium
Target Milestone: ---
Assignee: Daniel Walsh
QA Contact: Fedora Extras Quality Assurance
URL:
Whiteboard: setroubleshoot_trace_hash:53e918267b1...
Depends On:
Blocks:
TreeView+ depends on / blocked
 
Reported: 2010-05-30 15:10 UTC by Marek Zdunek
Modified: 2010-05-31 09:56 UTC (History)
2 users (show)

Fixed In Version:
Doc Type: Bug Fix
Doc Text:
Clone Of:
Environment:
Last Closed: 2010-05-31 09:56:29 UTC


Attachments (Terms of Use)

Description Marek Zdunek 2010-05-30 15:10:02 UTC
Podsumowanie:

SELinux powstrzymuje /home/marek/qBT_dir/sanctuary/bin/Sanctuary przed
wczytaniem /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so, który wymaga
relokacji tekstu.

Szczegółowy opis:

Aplikacja Sanctuary próbowała wczytać
/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so, który wymaga relokacji
tekstu. Jest to potencjalny problem z bezpieczeństwem. Większość bibliotek
nie musi mieć tego pozwolenia. Mogą one czasem być niepoprawnie napisane i
żądać tego pozwolenia. Strona WWW Testy ochrony pamięci SELinuksa
(http://people.redhat.com/drepper/selinux-mem.html) wyjaśnia, jak usunąć te
wymaganie. Można tymczasowo skonfigurować obejście SELinuksa, aby pozwalał
/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so na użycie relokacji,
dopóki biblioteka nie zostanie naprawiona. proszę z

Zezwalanie na dostęp:

Jeśli /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so ma zaufanie, że
będzie poprawne się uruchomiał, można zmienić kontekst pliku na
textrel_shlib_t. "chcon -t textrel_shlib_t
'/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so'" Należy także zmienić
domyślny kontekst plików w systemie, aby zachować go nawet po pełnym
ponownym nadaniu etykiet. "semanage fcontext -a -t textrel_shlib_t
'/home/marek/qBT_dir/sanctuary/bin/libUnigine

Polecenie naprawy:

chcon -t textrel_shlib_t '/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so'

Dodatkowe informacje:

Kontekst źródłowy          unconfined_u:unconfined_r:unconfined_execmem_t:s0-
                              s0:c0.c1023
Kontekst docelowy             unconfined_u:object_r:user_home_t:s0
Obiekty docelowe              /home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.s
                              o [ file ]
Źródło                     Sanctuary
Ścieżka źródłowa         /home/marek/qBT_dir/sanctuary/bin/Sanctuary
Port                          <Nieznane>
Komputer                      (usunięto)
Źródłowe pakiety RPM       
Docelowe pakiety RPM          
Pakiet RPM polityki           selinux-policy-3.7.19-21.fc13
SELinux jest włączony       True
Typ polityki                  targeted
Tryb wymuszania               Enforcing
Nazwa wtyczki                 allow_execmod
Nazwa komputera               (usunięto)
Platforma                     Linux amd64 2.6.33.4-95.fc13.x86_64 #1 SMP Thu May
                              13 05:16:23 UTC 2010 x86_64 x86_64
Liczba alarmów               2
Po raz pierwszy               nie, 30 maj 2010, 16:54:45
Po raz ostatni                nie, 30 maj 2010, 16:56:19
Lokalny identyfikator         e7a81a88-c435-49ae-844e-1fc1e0569778
Liczba wierszy                

Surowe komunikaty audytu      

node=amd64 type=AVC msg=audit(1275231379.445:24003): avc:  denied  { execmod } for  pid=8374 comm="Sanctuary" path="/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so" dev=sdb6 ino=1837070 scontext=unconfined_u:unconfined_r:unconfined_execmem_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file

node=amd64 type=SYSCALL msg=audit(1275231379.445:24003): arch=40000003 syscall=125 success=no exit=-13 a0=48a000 a1=fc7000 a2=5 a3=ffb48a20 items=0 ppid=8373 pid=8374 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts2 ses=1 comm="Sanctuary" exe="/home/marek/qBT_dir/sanctuary/bin/Sanctuary" subj=unconfined_u:unconfined_r:unconfined_execmem_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  allow_execmod,Sanctuary,unconfined_execmem_t,user_home_t,file,execmod
audit2allow suggests:

#============= unconfined_execmem_t ==============
#!!!! This avc can be allowed using the boolean 'allow_execmod'

allow unconfined_execmem_t user_home_t:file execmod;

Comment 1 Miroslav Grepl 2010-05-31 09:56:29 UTC
Alert tells you what you can do.  

chcon -t textrel_shlib_t '/home/marek/qBT_dir/sanctuary/bin/libUnigine_x86.so'


Or you can turn off the protection by executing

setsebool -P allow_execmod 1


Note You need to log in before you can comment on or make changes to this bug.