43L1:8sVzgh9|(EH -R;!"t(#I#~$f%,$& Q'[(mw)+1k2/3 M4Z6.X8b:;=>QAJCEGIJ7LNQPTBQR9TUSWPWMXN^ZNZUZGR[][O[kH\R\q]fy]V]F7^K~^V^E!_Sg_j_B&`Ti`T`^crc4dte4fZg?.kZnkkY|nUn6,qcrCt6w#yX| 4}B~Sf |  zՅp 3e)_efUيrJIՏDbޗA\՘b2\+c7< %ś:*&Qa/r:8ݜT5k4x֝tOyĞT>7m˟a9UefWNg :uE¢NFWI76 cW'p+TGGȥuf hlj]hȨ81!j/̩4ܩ$.6e{,ê?ߪ01P]2K2_]cT,ddN Xp_-]E-1_4x!'ϰ$ _=RO9@:zӲ_#>BA.^psϷCڸ{L~i˼5TpOq2n&=u 'Oe#J3%pB65lYfm^.iG#k@%7`, U R c XXpXH"dkLfXzgXSQLf`^^soBBg^F%pG"n"KW#m&'v*+j.RM14}H8N8L:Sb;V<I >NW?)@AB[CDDSEE=GEGsG@HH$FIkI7JKKL2VOSTU`Wb6YY\;ZbZ\Z+X[k[I[@:\{\ ]8],O]+|]L]9]/^E^4\^?^=^d_@t_?__` aVaIak,bbbbb^ccde?eeVeRJfPfUfNDgMg~g:`huh4idFidijjhTkjky(ll4mDm$nQ'nynn7n0n? o Jo!koDo)oCo6@p6wpap7qYHq=qq`rrAr4sxGsss!4tVt2uuV4v1v$v?v4"w*Ww2w%wfwWBxTxGxI7y%yy=z(}~U~T0q8) wGD^$o.5%z;:T@pRt!u6C3x0W`_~+'hJI egB|Y*ci,yrH}NA21sq 9&kS7[V-MUL(FEK<v "fX>4]njm =# /{\?dPlaObQZ dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. $TARGET_PATH default SELinux type is %s, but its current type is $TARGET_TYPE. Changing this file back to the default type may fix your problem.

File contexts can be assigned to a file in the following ways.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied svirt access to $TARGET_PATH. If this is a virtualization image, it has to have a file context label of virt_image_t. The system is setup to label image files in directory./var/lib/libvirt/images correctly. We recommend that you copy your image file to /var/lib/libvirt/images. If you really want to have your image files in the current directory, you can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied svirt access to the block device $TARGET_PATH. If this is a virtualization image, it needs to be labeled with a virtualization file context (virt_image_t). You can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing access to a file labeled unlabeled_t. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux permission checks on files labeled unlabeled_t are being denied. unlabeled_t is a context the SELinux kernel gives to files that do not have a label. This indicates a serious labeling problem. No files on an SELinux box should ever be labeled unlabeled_t. If you have just added a disk drive to the system, you can relabel it using the restorecon command. For example if you saved the home directory from a previous installation that did not use SELinux, 'restorecon -R -v /home' will fix the labels. Otherwise you should relabel the entire file system. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Change the file label to xen_image_t.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRelabel the whole file system. Includes reboot!Restore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.Set the image label to virt_image_t.This is caused by a newly created file system.Try to fix the label.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: PO-Revision-Date: 2020-10-17 07:15+0000 Last-Translator: Julien Humbert Language-Team: French Language: fr MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=2; plural=n > 1; X-Generator: Weblate 4.3 \tdac_override et dac_read_search indiquent habituellement que le processus root n'a pas accès à un fichier basé sur les indicateurs de permission. Normalement, cela signifie que vous possédez un fichier avec de mauvaises propriétés/permissions. SELinux a refusé l'accès demandé par $SOURCE. Il n'est pas prévu que cet accès soit requis par $SOURCE et cet accès peut signaler une tentative d'intrusion. Il est également possible que cette version ou cette configuration spécifique de l'application provoque cette demande d'accès supplémentaire. SELinux a refusé l'accès demandé par $SOURCE. La valeur actuelle du booléen n'autorise pas cet accès. Si vous n'avez pas configuré $SOURCE pour demander cet accès, il se peut qu'il s'agisse d'une tentative d'intrusion. Si vous aviez prévu cet accès, vous devez changer le booléen sur ce système de manière à\ l'autoriser. SELinux a refusé l'accès de $SOURCE « $ACCESS » au périphérique $TARGET_PATH. $TARGET_PATH est mal étiqueté, ce périphérique porte l'étiquetage par défaut du répertoire /dev, ce qui ne devrait pas se produire. Tous les caractères et/ou les blocs de périphériques devraient être étiquetés. Vous pouvez tenter de modifier l'étiquetage du fichier en utilisant restorecon -v $TARGET_PATH. Si ce périphérique reste étiqueté, il s'agit alors d'un bug de la stratégie de SELinux. Merci de remplir un rapport de bug. Si vous cherchez des étiquetages de périphériques semblables, ls -lZ /dev/SIMILAR, et trouvez un type qui fonctionnerait pour $TARGET_PATH, vous pouvez utiliser chcon -t SIMILAR_TYPE '$TARGET_PATH'. Si cela corrige le problème, vous pouvez rendre le tout permanent en exécutant semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' Si restorecon modifie le contexte, cela signifie que l'application qui a créé le périphérique l'a créé sans utiliser les API de SELinux. Si vous arrivez à déterminer quelle application a créé le périphérique, merci de remplir un rapport de bogue sur cette application. Essayez restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE $TARGET_PATH Changer le booléen B $BOOLEAN » sur vrai permettra cet accès : « setsebool -P $BOOLEAN=1 » Changer le booléen « $BOOLEAN » sur vrai autorisera cet accès : « setsebool -P $BOOLEAN=1. » Changer le booléen « allow_ftpd_use_nfs » sur vrai permettra cet accès : « setsebool -P allow_ftpd_use_nfs=1. » Changer le contexte du fichier à mnt_t autorisera mount à monter le système de fichier : « chcon -t mnt_t '$TARGET_PATH'. » Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH' » Les domaines confinés ne doivent pas nécessiter « sys_resource ». Ceci signifie habituellement que votre système est à court de ressources systèmes comme l'espace disque, la mémoire, les quota, etc.. Merci de faire de la place sur le disque et ce message AVC disparaîtra. Si ce message AVC continue après avoir fait de la place sur le disque, veuillez le rapporter en tant qu'anomalie. Des processus confinés peuvent être configurés pour fonctionner en requérant différents accès, SELinux met à disposition des booléens qui vous permettent d'activer/désactiver les accès requis. Si les scripts httpd sont autorisés à écrire sur des répertoires publics, vous devez activer le booléen $BOOLEAN et modifier le contexte du fichier du répertoire public sur public_content_rw_t. Veuillez lire la page man httpd_selinux afin d'obtenir des informations supplémentaires : « setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t  » Vous devez aussi modifier les fichiers par défaut sur le système qui étiquettent le contexte des fichiers afin de préserver l'étiquetage des répertoires publics, même lors d'un nouvel étiquetage complet. « semanage fcontext -a -t public_content_rw_t  » Si vous autorisez $TARGET_PATH à fonctionner correctement, vous pouvez changer le contexte du fichier à textrel_shlib_t. « chcon -t textrel_shlib_t $TARGET_PATH » Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" Si vous souhaitez que $SOURCE continue, vous devez activer le booléen $BOOLEAN. Remarque : Ce booléen affectera toutes les applications sur le système. Si vous souhaitez que httpd puisse envoyer des courriels, vous devez activer le booléen $BOOLEAN : « setsebool -P $BOOLEAN=1 » Si vous souhaitez autoriser à $SOURCE de se lier au port $PORT_NUMBER, vous pouvez exécuter # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER où PORT_TYPE est l'une des valeurs suivantes : %s. Si ce système est exécuté en tant que client NIS, activer le booléen allow_ypbind pourrait corriger le problème. setsebool -P allow_ypbind=1. Si vous souhaitez autoriser $SOURCE à se connecter à $PORT_NUMBER, vous pouvez exécuter # sandbox -X -t sandbox_net_t $SOURCE Si vous souhaitez autoriser $SOURCE à se connecter au port $PORT_NUMBER, vous pouvez exécuter # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER où PORT_TYPE est l'une des valeurs suivantes : %s. Si vous souhaitez modifier le contexte du fichier de $TARGET_PATH de manière à ce qu'automounter puisse l'exécuter, vous pouvez exécuter « chcon -t bin_t $TARGET_PATH ». Si vous souhaitez qu'il survive à un ré-étiquetage, vous devez modifier le contexte du fichier de manière permanente : veuillez exécuter « semanage fcontext -a -t bin_t '$FIX_TARGET_PATH' ». SELinux a refusé à $SOURCE l'accès à $TARGET_PATH. S'il s'agit d'un fichier swap, il doit comporter un étiquetage de contexte de fichier tel que swapfile_t. Si vous n'avez pas l'intention d'utiliser $TARGET_PATH en tant que fichier swap, cela indique vraisemblablement la présence d'une anomalie ; cependant il peut également s'agir d'une tentative d'intrusion. SELinux a refusé à RSYNC l'accès à $TARGET_PATH. S'il s'agit d'un dépôt RSYNC il doit comporter un étiquetage de contexte de fichier tel que rsync_data_t. Si vous n'avez pas l'intention d'utiliser $TARGET_PATH en tant que dépôt rsync cela peut soit signifier une anomalie, soit une tentative d'intrusion. SELinux a refusé l'accès demandé par $SOURCE. $SOURCE_PATH peut être mal étiqueté. Le type SELinux par défaut de $SOURCE_PATH est %s, mais son type actuel est $SOURCE_TYPE. Revenir au type par défaut pour ce fichier pourrait corriger le problème.

Ce fichier peut avoir été mal étiqueté suite à une erreur utilisateur, ou bien si une application normalement confinée a été exécutée dans le mauvais domaine.

Néanmoins, ceci peut aussi indiquer une anomalie dans SELinux parce que le fichier ne devrait pas avoir été étiqueté avec ce type.

Si vous pensez qu'il s'agit d'une anomalie, veuillez émettre un rapport d'anomalie à propos de ce paquet. SELinux a refusé l'accès requis par $SOURCE. $TARGET_PATH pourrait être mal étiqueté. Le type SELinux par défaut de $TARGET_PATH est %s, mais son type actuel est $TARGET_TYPE. Modifier ce fichier en utilisant son type par défaut pourrait corriger le problème.

Les contextes de fichiers peuvent être assignés à un fichier comme suit.

Ce fichier pourrait avoir été mal étiqueté à cause d'une erreur de l'utilisateur ou si une application normalement confinée a été exécutée sous le mauvais domaine.

Cependant, ceci pourrait aussi indiquer une anomalie dans SELinux, car le fichier n'aurait pas dû être étiqueté avec ce type.

Si vous pensez qu'il s'agit d'une anomalie, veuillez remplir un rapport d'anomalie pour ce paquet. SELinux a refusé l'accès requis par $SOURCE. $TARGET_PATH peut être mal étiqueté. openvpn est autorisé à lire le contenu du répertoire utilisateur si celui-ci est correctement étiqueté. L'accès refusé par SELinux et demandé par $SOURCE. $TARGET_PATH peut être mal étiqueté. sshd est autorisé à lire le contenu du répertoire /root/.ssh s'il est correctement étiqueté. SELinux a refusé l'accès demandé par $SOURCE. Il n'est pas prévu que cet accès soit requis par $SOURCE et cet accès peut signaler une tentative d'intrusion. Il est également possible que cette version ou cette configuration spécifique de l'application provoque cette demande d'accès supplémentaire. SELinux a refusé l'accès demandé par $SOURCE. Il n'est pas prévu que cet accès soit requis par $SOURCE et cet accès peut signaler une tentative d'intrusion. Il est également possible que cette version ou cette configuration spécifique de l'application provoque cette demande d'accès supplémentaire. mozplugger et spice-xpi lance des applications depuis mozilla-plugins qui requièrent l'accès au bureau, ce que le confinement de mozilla_plugin ne permet pas. Vous devez donc soit ne plus confiner mozilla_plugin, soit ne pas utiliser ces paquets. SELinux a refusé l'accès demandé par $SOURCE. Il n'est pas prévu que cet accès soit requis par $SOURCE et cet accès peut signaler une tentative d'intrusion. Il est également possible que cette version ou cette configuration spécifique de l'application provoque cette demande d'accès supplémentaire. spice-xpi lance des applications depuis mozilla-plugins qui requièrent l'accès au bureau, ce que le confinement de mozilla_plugin ne permet pas. Vous devez donc soit ne plus confiner mozilla_plugin, soit ne pas utiliser ces paquets. SELinux a refusé l'accès requis par la commande $SOURCE. Il se pourrait que ce soit un descripteur « fuité» ou bien que la sortie de $SOURCE soit redirigée vers un fichier interdit d'accès. Les fuites peuvent généralement être ignorées puisque SELinux referme ces fuites et rapporte l'erreur. L'application n'utilise pas le descripteur, il fonctionnera donc correctement. Si c'est une redirection, vous n'aurez pas de sortie dans $TARGET_PATH. Vous devriez signaler un bug à bugzilla sur selinux-policy et il sera redirigé vers le paquet approprié. Vous pouvez en toute sécurité ignorer ce message. SELinux a refusé l'accès à $TARGET_PATH, demandé par $SOURCE. $TARGET_PATH a un contexte utilisé pour le partage par un autre programme. Si vous souhaitez partager $TARGET_PATH depuis $SOURCE également, vous devez changer son fichier de contexte sur public_content_t. Si vous n'en aviez pas l'intention, cela pourrait signaler une tentative d'intrusion. SELinux a refusé l'accès cvs à $TARGET_PATH. S'il s'agit d'un dépôt CVS, il doit porter l'étiquetage cvs_data_t contextuel au fichier. Si vous n'avez pas l'intention d'utiliser $TARGET_PATH comme dépôt cvs cela pourrait indiquer une anomalie ou signaler une tentative d'intrusion. SELinux a refusé à samba l'accès à $TARGET_PATH. Si vous souhaitez partager ce répertoire avec samba, il doit comporter un étiquetage de contexte de fichier tel que samba_share_t. Si vous n'avez pas l'intention d'utiliser $TARGET_PATH en tant que répertoire samba cela peut soit signifier une anomalie, soit une tentative d'intrusion. Veuillez vous référer à la page de manuel 'man samba_selinux' pour plus d'informations sur la manière de configurer Samba et SELinux. SELinux a refusé à svirt l'accès à $TARGET_PATH. S'il s'agit d'une image de virtualisation, elle doit porter un étiquetage de contexte tel que virt_image_t. Ce système est configuré pour étiqueter les fichiers image dans /var/lib/libvirt/images Nous vous recommandons de copier votre fichier image dans le répertoire /var/lib/libvirt/images. Si vous souhaitez vraiment avoir votre fichier image qemu dans ce répertoire, vous pouvez réétiqueter $TARGET_PATH en virt_image_t en utilisant chcon. Vous devriez également exécuter semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' pour ajouter ce nouveau chemin à la configuration par défaut du système. Si vous n'aviez pas l'intention d'utiliser $TARGET_PATH en tant qu'image de virtualisation, cela signifie soit un bogue, soit une tentative d'intrusion. SELinux a refusé à svirt l'accès au périphérique de bloc $TARGET_PATH. S'il s'agit d'une image virtualisation, elle doit porter un étiquetage de contexte propre à la virtualisation (virt_image_t). Vous pouvez réétiqueter $TARGET_PATH en virt_image_t en utilisant chcon. Vous devriez également exécuter semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' pour ajouter ce nouveau chemin à la configuration par défaut du système. Si vous n'aviez pas l'intention d'utiliser $TARGET_PATH en tant qu'image de virtualisation, cela signifie soit un bug, soit une tentative d'intrusion. SELinux a refusé à xen l'accès à $TARGET_PATH. S'il s'agit d'une image XEN, elle doit porter un étiquetage de contexte tel que xen_image_t. Ce système est configuré pour étiqueter correctement les fichiers image dans /var/lib/xen/images Nous vous recommandons de copier votre fichier image dans le répertoire /var/lib/xen/images. Si vous souhaitez vraiment avoir vos fichiers images xen dans le répertoire courant, vous pouvez réétiqueter $TARGET_PATH pour qu'il porte xen_image_t en utilisant chcon. Vous devriez également exécuter semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' pour ajouter ce nouveau chemin à la configuration par défaut du système. Si vous n'aviez pas l'intention d'utiliser $TARGET_PATH en tant qu'image xen, cela pourrait signifier soit un bug, soit une tentative d'intrusion. SELinux a refusé que $SOURCE se connecte à un port réseau $PORT_NUMBER qui ne possède pas de type SELinux lui étant associé. Si $SOURCE doit être autorisé à se connecter au port $PORT_NUMBER, veuillez utiliser la commande semanage pour assigner $PORT_NUMBER à un type de port auquel $SOURCE_TYPE peut se connecter(%s). Si $SOURCE n'est pas supposé se connecter au port $PORT_NUMBER, ceci pourrait indiquer une tentative d'intrusion. SELinux a interdit à $SOURCE de se connecter à un port réseau $PORT_NUMBER depuis un bac à sable. Si $SOURCE doit être autorisé à se connecter au port $PORT_NUMBER, vous devrez utiliser un type de bac à sable différent comme sandbox_web_t ou sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE. Si $SOURCE n'est pas supposé se connecter à $PORT_NUMBER, cela peut signifier une tentative d'intrusion. SELinux a refusé au démon $SOURCE d'accéder à des fichiers potentiellement mal étiquetés $TARGET_PATH. Cela signifie que SELinux n'autorisera pas httpd à utiliser ces fichiers. Si httpd doit accéder à ces fichiers, vous devez changer le fichier de contexte pour l'un des types suivants, %s. De nombreuses applications tierces installent des fichiers html dans des répertoires que la stratégie de SELinux ne peut pas prédire. Ces répertoires doivent être étiquetés avec un contexte de fichier permettant à httpd d'y accéder. SELinux a refusé à $SOURCE de se lier à un port réseau $PORT_NUMBER qui ne possède pas de type SELinux lui étant associé. Si $SOURCE doit être autorisé à écouter le port $PORT_NUMBER, veuillez utiliser la commande semanage pour assigner le port $PORT_NUMBER à un type de port auquel $SOURCE_TYPE peut se lier (%s). Si $SOURCE n'est pas supposé se lier au port $PORT_NUMBER, cela pourrait indiquer une tentative d'intrusion. SELinux a refusé à $SOURCE la capacité d'allouer de l'espace dans la zone mémoire basse du noyau via mmap. La capacité d'allouer cet espace mémoire est configuré par /proc/sys/kernel/mmap_min_addr. Empêcher cette allocation mémoire aide à se protéger contre l'exploitation des bugs du noyau de type 'null deref'. Toutes les applications ayant besoin de cet accès devraient déjà avoir une stratégie de sécurité écrite. Si une application compromise essaie de modifier le noyau, ce message pourrait être généré. Ceci est un problème sérieux. Votre système pourrait très bien être compromis. SELinux a empêché $SOURCE_PATH d'exécuter les fichiers potentiellement mal étiquetés $TARGET_PATH. Automounter peut être configuré pour exécuter des fichiers de configuration. Si $TARGET_PATH est un fichier exécutable de configuration pour le montage automatique, il a besoin d'être étiqueté avec bin_t. Si automounter essaie d'exécuter quelque chose qu'il n'est pas censé exécuter, cela peut indiquer une intrusion par attaque. SELinux a refusé au démon http d'envoyer du courrier. Un script httpd essaye de se connecter à un port de courrier ou d'exécuter une commande sendmail. Si vous n'avez pas configuré httpd pour envoyer du courrier, cela pourrait signaler une tentative d'intrusion. SELinux empêche $SOURCE de charger un module du noyau. Tous les programmes confinés ayant besoin de charger un module du noyau devraient déjà avoir une politique écrite pour eux. Si une application compromise essaie de modifier le noyau, ce message AVC sera généré. C'est un problème sérieux. Votre système pourrait très bien être compromis. SELinux a empêché $SOURCE de modifier $TARGET. Ce déni signifie que $SOURCE a essayé de modifier la configuration de la politique de sécurité de SELinux. Toutes les applications nécessitant cet accès devraient déjà avoir une politique de sécurité définie. Si une application compromise essaie de modifier la politique de sécurité de SELinux, cet AVC (Access Vector Cache, message d'alerte de sécurité) sera affiché. Ceci est un problème sérieux. Votre système pourrait très bien être compromis. SELinux a empêché $SOURCE de modifier $TARGET. Ce déni signifie que $SOURCE a essayé de modifier la façon dont le noyau fonctionne ou a essayé d'insérer du code dans le noyau. Toutes les applications nécessitant cet accès devraient déjà avoir une politique de sécurité définie. Si une application compromise essaie de modifier le noyau, cet AVC (Access Vector Cache, message d'alerte de sécurité) sera affiché. Ceci un est problème sérieux. Votre système pourrait très bien être compromis. SELinux a empêché $SOURCE d'écrire dans un fichier sous /sys/fs/selinux. Les fichiers sous /sys/fs/selinux contrôlent la façon dont SELinux est configuré. Tous les programmes ayant besoin d'écrire dans des fichiers sous /sys/fs/selinux devraient déjà avoir une politique écrite pour eux. Si une application compromise essaie de désactiver SELinux, ce message AVC sera généré. C'est un problème sérieux. Votre système pourrait très bien être compromis. SELinux a empêché vbetool d'effectuer une dangereuse opération mémoire. SELinux a empêché wine d'effectuer une dangereuse opération mémoire. SELinux empêche $SOURCE de créer un fichier avec un contexte $SOURCE_TYPE sur un système de fichiers. Habituellement, ceci se produit lorsque vous demandez à la commande cp de maintenir le contexte d'un fichier lors d'une copie entre systèmes de fichiers, par exemple avec « cp -a ». Tous les contextes de fichiers ne doivent pas être maintenus entre systèmes de fichiers. Par exemple, un type de fichier lecture-seule comme iso9660_t ne doit pas être placé sur un système accessible en lecture/écriture. « cp -p » pourrait être une meilleure solution, car cette commande adoptera le contexte de fichier par défaut pour la destination. SELinux empêche $SOURCE_PATH d'« $ACCESS » au périphérique $TARGET_PATH. SELinux empêche $SOURCE_PATH d'« $ACCESS » au périphérique $TARGET_PATH. SELinux empêche $SOURCE_PATH d'« $ACCESS » au périphérique $TARGET_PATH. SELinux empêche $SOURCE_PATH d'« $ACCESS » à $TARGET_PATH. SELinux empêche $SOURCE_PATH d'accéder au descripteur de fichier compromis $TARGET_PATH. SELinux empêche $SOURCE_PATH de se connecter au port PORT_NUMBER. SELinux empêche $SOURCE_PATH de changer l'accès de protection de mémoire sur la pile. SELinux empêche le $SOURCE_PATH de se connecter au port réseau $PORT_NUMBER. SELinux empêche $SOURCE_PATH de créer un fichier dans un contexte de $SOURCE_TYPE sur un système de fichiers. SELinux empêche $SOURCE_PATH de charger $TARGET_PATH qui exige une réinstallation du texte. SELinux empêche $SOURCE_PATH de rendre exécutable la pile du programme. SELinux empêche à $SOURCE_PATH d'avoir la capacité « $ACCESS ». SELinux empêche $SOURCE_PATH d'accéder à s y« s_resource ». SELinux empêche Samba ($SOURCE_PATH) d'« $ACCESS » au périphérique $TARGET_PATH. SELinux empêche d'accéder au descripteur de fichier avec l'étiquette unlabeled_t. SELinux empêche cvs ($SOURCE_PATH) d'« $ACCESS » au périphérique $TARGET_PATH. SELinux empêche $SOURCE_PATH d'utiliser des fichiers potentiellement mal étiquetés ($TARGET_PATH). SELinux empêche le démon http d'envoyer des courriels. SELinux empêche l'accès « $ACCESS » xen ($SOURCE_PATH) au périphérique $TARGET_PATH. Les vérifications de permissions SELinux sur les fichiers avec l'étiquette unlabeled_t ont été refusées. file_t est le contexte donné par le noyau SELinux aux fichiers qui ne sont pas étiquetés. Ceci indique un problème d'étiquetage important. Aucun fichier sur une machine SELinux ne devrait avoir l'étiquette unlabeled_t. Si vous venez juste d'ajouter un nouveau lecteur de disque au système, vous pouvez le réétiqueter en utilisant la commande restorecon. Par exemple, si vous avez sauvegardé le dossier persobnel d'une installation antérieure qui n'utilisait pas SELinux, «  restorecon -R -v /home » corrigera l'étiquetage. Autrement vous devriez réétiqueter tout le système de fichiers. La règle SELinux empêche un script httpd d'écrire sur un répertoire public. La règle SELinux empêche un script httpd d'écrire dans un répertoire public. Si httpd n'est pas configuré pour écrire dans des répertoires publics, cela pourrait signaler une tentative d'intrusion. SELinux a empêché $SOURCE de monter un système de fichiers sur le fichier ou répertoire « $TARGET_PATH » de type « $TARGET_TYPE ». Par défaut SELinux limite le montage de systèmes de fichiers à seulement quelques fichiers ou répertoires (ceux avec les types qui possèdent l'attribut point de montage). Le type « $TARGET_TYPE » n'a pas cet attribut. Vous pouvez changer l'étiquetage du fichier ou du répertoire. SELinux a empêché $SOURCE de monter le fichier ou répertoire « $TARGET_PATH » (type « $TARGET_TYPE »). SELinux a empêché l'accès httpd $ACCESS à $TARGET_PATH. Les scripts httpd n'ont pas le droit d'écrire sur un contenu sans un étiquetage explicite de tous les fichiers. Si $TARGET_PATH est un contenu accessible en écriture, il doit être étiqueté httpd_sys_rw_content_t, si vous avez uniquement besoin d'effectuer un ajout, vous pouvez l'étiqueter httpd_sys_ra_content_t. Veuillez vous reporter à « man httpd_selinux » pour obtenir davantage d'informations sur le paramétrage de selinux et httpd. SELinux a empêché l'accès httpd $ACCESS aux fichiers http. Normalement, httpd possède un accès complet à tous les fichiers étiquetés avec un contexte de fichier http. Cette machine possède une stratégie de sécurité plus stricte avec $BOOLEAN désactivé. Ceci requiert un étiquetage explicite de tous les fichiers. Si un fichier est un script cgi, il doit être étiqueté avec httpd_TYPE_script_exec_t afin de pouvoir être exécuté. Son contenu est accessible en lecture seule, il doit être étiqueté httpd_TYPE_content_t. S'il s'agit d'un contenu accessible en écriture, il doit être étiqueté httpd_TYPE_script_rw_t ou httpd_TYPE_script_ra_t. Vous pouvez utiliser la commande chcon pour modifier ces contextes. Veuillez vous reporter à la page man « man httpd_selinux » ou à la FAQ "TYPE" fait référence à « sys », « user », « staff » ou à d'autres types de scripts potentiels. SELinux a empêché l'accès httpd $ACCESS aux fichiers http. SELinux a empêché le démon ftp de $ACCESS les fichiers stockés sur un système de fichiers CIFS. SELinux a empêché le démon ftp d'$ACCESS aux fichiers stockés sur un système de fichiers CIFS. CIFS (Comment Internet File System) est un système de fichiers réseau similaire à SMB (http://www.microsoft.com/mind/1196/cifs.asp) Le démon ftp a empêché la lecture d'un ou plusieurs fichiers ou répertoires provenant d'un tel système de fichiers monté. Étant donné que les systèmes de fichiers CIFS ne supportent pas l'étiquetage fin SELinux, tous les fichiers et répertoires dans le système de fichiers auront le même contexte de sécurité. Si vous n'avez pas configuré le démon ftp afin de lire les fichiers provenant d'un système de fichiers CIFS cette demande d'accès pourrait signaler une tentative d'intrusion. SELinux a empêché le démon ftp de $ACCESS aux fichiers stockés sur un système de fichiers NFS. SELinux a empêché le démon ftp d'$ACCESS aux fichiers stockés sur un système de fichiers NFS. NFS (Network Filesystem) est un système de fichiers réseau habituellement utilisé par des systèmes Unix / Linux. Le démon ftp a empêché la lecture d'un ou plusieurs fichiers ou répertoires provenant d'un tel système de fichiers monté. Étant donné que les systèmes de fichiers NFS ne supportent pas l'étiquetage fin SELinux, tous les fichiers et répertoires dans le système de fichiers auront le même contexte de sécurité. Si vous n'avez pas configuré le démon ftp afin de lire les fichiers provenant d'un système de fichiers NFS cette demande d'accès pourrait signaler une tentative d'intrusion. Parfois une bibliothèque est accidentellement marquée avec l'indicateur execstack. Si vous trouvez une bibliothèque avec cet indicateur, vous pouvez la nettoyer avec execstack -c LIBRARY_PATH. Ensuite réessayez votre application. Si l'application continue de ne pas fonctionner, vous pouvez restaurer l'indicateur avec execstac -s LIBRARY_PATH. L'application $SOURCE a essayé de changer l'accès de protection-mémoire sur la pile (par exemple allocation utilisant malloc). C'est un problème potentiel de sécurité. Les applications ne devraient pas faire cela. Elles sont parfois incorrectement programmées et demandent cette permission. La page web Essais de protection mémoire de SELinux explique comment retirer ces exigences. Si $SOURCE ne fonctionne pas et que vous avez besoin qu'il fonctionne, vous pouvez configurer temporairement SELinux pour autoriser cet accès jusqu'à ce que l'application soit corrigée. Merci de remplir un rapport d'anomalie sur ce paquet. L'application $SOURCE a essayé de charger $TARGET_PATH qui exige une réinstallation du texte. C'est un problème potentiel de sécurité . La plupart des bibliothèques n'ont pas besoin de cette permission. Les bibliothèques sont parfois programmées incorrectement et demandent cette permission. La page web Essais de protection mémoire de SELinux explique comment retirer ces exigences. Vous pouvez configurer temporairement SELinux pour permettre à $TARGET_PATH d'utiliser le ré-adressage et contourner cette protection, jusqu'à ce que la bibliothèque soit corrigée. Merci de remplir un rapport de bogue pour ce paquet. L'application $SOURCE a essayé de charger $TARGET_PATH qui exige une réinstallation du texte. C'est un problème potentiel de sécurité . La plupart des bibliothèques n'ont pas besoin de cette permission. Les bibliothèques sont parfois programmées incorrectement et demandent cette permission. La page web Essais de protection mémoire de SELinux explique le processus de vérification. Cet outil a examiné la bibliothèque et il apparait qu'elle a été correctement construite. Pour cette raison, setroubleshoot ne peut pas être certain que cette application est compromise. Cela pourrait être un problème sérieux. Votre système pourrait être compromis. Contactez votre administrateur et informez-le de ce problème. L'application $SOURCE a essayé de rendre sa propre pile exécutable. C'est un problème potentiel de sécurité. Cette action ne devrait jamais être nécessaire. De nos jours, une pile-mémoire n'est pas exécutable sur les OS et cela ne changera pas. Une pile-mémoire exécutable est l'un des problèmes de sécurité les plus sévères . Une erreur execstack pourrait être causée par un code malveillant. Les applications sont parfois incorrectement programmées et demandent cette permission. La page web Essais de protection mémoire de SELinux explique comment retirer ces exigences. Si $SOURCE ne fonctionne pas et que vous avez besoin qu'il fonctionne, vous pouvez configurer temporairement SELinux pour autoriser cet accès jusqu'à ce que l'application soit corrigée. Merci de remplir un rapport de bogue. Veuillez utiliser une commande comme « cp -p » pour préserver toutes les permissions sauf le contexte SELinux. Vous pouvez modifier le contexte du fichier en exécutant chcon -R -t cvs_data_t '$TARGET_PATH' Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH' » Vous pouvez changer le contexte du fichier en exécutant chcon -R -t rsync_data_t '$TARGET_PATH' Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t rsync_data_t '$TARGET_PATH' » Vous pouvez modifier le contexte de fichier en exécutant chcon -R -t samba_share_t '$TARGET_PATH' Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH' » Vous pouvez modifier le fichier de contexte en exécutant chcon -t public_content_t '$TARGET_PATH' Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH' » Vous pouvez modifier le contexte du fichier en exécutant chcon - swapfile_t '$TARGET_PATH' Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH' » Vous pouvez modifier le contexte du fichier en exécutant chcon -t virt_image_t '$TARGET_PATH' Vous devez aussi changer le dossier par défaut des fichiers de contexte de votre système, même lors d'un réétiquetage complet, de manière à les préserver. « semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' » Vous pouvez modifier le contexte du fichier en exécutant chcon -t xen_image_t '$TARGET_PATH' Vous devez aussi changer le contexte par défaut des fichiers de votre système pour les préserver d'un réétiquetage complet. « semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' » Vous pouvez exécuter la commande suivante en tant que super-utilisateur pour réétiqueter le système de votre ordinateur : « touch /.autorelabel; reboot » Vous pouvez créer un module de stratégie locale pour autoriser cet accès - lisez la FAQ Merci de remplir un rapport d'anomalie. Vous pouvez générer un module de stratégie de sécurité local afin d'autoriser cet accès - voir FAQ Vous pouvez restaurer le contexte par défaut du système sur ce fichier en exécutant la commande restorecon. # restorecon -R /root/.ssh Vous pouvez restaurer le contexte par défaut du système sur ce fichier en exécutant la commande restorecon. # restorecon -R /root/.ssh Vous pouvez restaurer le contexte par défaut du système pour ce fichier en exécutant la commande restorecon. restorecon '$SOURCE_PATH'. Vous pouvez restaurer le contexte par défaut du système sur ce fichier en exécutant la commande restorecon. restorecon '$TARGET_PATH'. Si ce fichier est un répertoire, vous pouvez restaurer le contexte récursivement en utilisant restorecon -R '$TARGET_PATH'. Votre système peut être sérieusement compromis ! Votre système peut être sérieusement compromis ! $SOURCE_PATH a essayé d'allouer via mmap de la mémoire basse du noyau. Votre système peut être sérieusement compromis ! $SOURCE_PATH a essayé de charger un module du noyau. Votre système peut être sérieusement compromis ! $SOURCE_PATH a essayé de modifier la mise en application de SELinux. Votre système peut être sérieusement compromis ! $SOURCE_PATH a essayé de modifier la configuration de votre noyau. Désactiver IPV6 correctement. Soit vous retirez le paquet mozplugger en utilisant « yum remove mozplugger ». Ou arrêtez l'application de SELinux sur les greffons Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Retirez les paquets mozplugger et spice-xpi en utilisant « yum remove mozplugger spice-xpi » ou arrêtez l'application de SELinux sur les greffons Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Retirez les paquet mozplugger ou spice-xpi en utilisant « yum remove mozplugger spice-xpi » ou arrêtez l'application de SELinux sur les greffons Chrome. setsebool -P unconfined_chrome_sandbox_transition 0 Si vous décidez de continuer à exécuter le programme en question, vous devez autoriser cette opération. Cela peut se faire par la ligne de commande en y exécutant : # setsebool -P mmap_low_allowed 1 SELinux a refusé une opération demandée par $SOURCE, un programme utilisé pour modifier l'état du matériel vidéo. Ce programme est connu pour utiliser une opération dangereuse sur la mémoire système mais c'est également le cas pour un certain nombre de programmes malveillants qui se substituent à vbetool. Cet outil est utilisé pour initialiser l'état de la vidéo lorsqu'une machine redémarre après une mise en veille. Si votre machine ne redémarre pas correctement, votre unique solution est d'autoriser cette opération et de réduire la sécurité de votre système contre ces programmes malveillants. SELinux a refusé une opération demandée par wine-preloader, un programme utilisé pour exécuter des applications Windows sous Linux. Ce programme est connu pour son utilisation d'une opération dangereuse pour la mémoire système, mais c'est également le cas pour un certain nombre de programmes malveillants qui se substituent à wine. Si vous aviez l'intention d'exécuter un programme Windows, votre unique solution est d'autoriser cette opération et donc aussi de réduire la sécurité de votre système contre ces programmes malveillants, ou bien de s'abstenir d'exécuter des applications Windows sous Linux. Si vous n'aviez pas l'intention d'exécuter une application Windows, cela signifie que vous êtes susceptibles d'être attaqué par un programme malveillant essayant d'exploiter votre système à des fins néfastes. Veuillez vous référer à http://wiki.winehq.org/PreloaderPageZeroProblem Ce wiki décrit les autres problèmes que wine rencontre en raison d'un usage dangereux de la mémoire et les solutions à ces problèmes. Activer le contrôle complet # auditctl -w /etc/shadow -p w Tentez de recréer AVC. Puis exécutez # ausearch -m avc -ts recent Si vous voyez un enregistrement PATH, vérifiez les propriétés/permissions du fichier, et corrigez-les, sinon veuillez effectuer un rapport bugzilla. Vous avez tenté de mettre un type sur un %s qui n'est pas un type de fichier. Ceci est interdit, vous devez assigner un type de fichier. Vous pouvez obtenir la liste des types de fichiers en utilisant la commande seinfo. seinfo -afile_type -x Le changement des booléens « $BOOLEAN » et « $WRITE_BOOLEAN » sur vrai autorisera cet accès : « setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1 ». avertissement : mettre le booléen « $WRITE_BOOLEAN » sur vrai autorisera le démon ftp à écrire dans tous les contenus publics (fichiers et répertoires avec le type public_content_t) en plus d'écrire dans les fichiers et répertoires du système de fichiers CIFS. Le changement des booléens « allow_ftpd_use_nfs » et « ftpd_anon_write » sur vrai autorisera cet accès : « setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1 ». avertissement : mettre le booléen « ftpd_anon_write » sur vrai autorisera le démon ftp à écrire dans tous les contenus publics (fichiers et répertoires avec le type public_content_t) en plus d'écrire dans les fichiers et répertoires du système de fichiers NFS. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' où FILE_TYPE est l'une des valeurs suivantes : %s. Puis exécutez : restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER où PORT_TYPE est l'une des valeurs suivantes : %s.Un processus pourrait être en train de tenter de pirater votre système.Ajoutez net.ipv6.conf.all.disable_ipv6 = 1 à /etc/sysctl.conf Autoriser cet accès pour le moment en exécutant : # ausearch -c "$SOURCE" --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppModifier le contexte du fichier.Changer l’étiquetteChanger d’étiquette sur la bibliothèque.Change l'étique de fichier en xen_image_t.Veuillez contacter l'administrateur de sécurité et rapporter ce problème.Désactiver les contrôles SELinux sur les plugins ChromeActiver les booléensActiver les booléens.Si $TARGET_BASE_PATH est une cible de virtualisationSi $TARGET_BASE_PATH devrait être partagé via le démon RSYNCSi $TARGET_BASE_PATH devrait être partagé via le démon cvsSi vous pensez que $SOURCE_BASE_PATH doit être autorisé à créer des fichiers $TARGET_BASE_PATH Si vous pensez que $SOURCE_PATH a tenté de désactiver SELinux.Si vous croyez que %s ne devrait pas avoir besoin de execstackSi vous pensez que $SOURCE_BASE_PATH doit être autorisé à accéder $ACCESS sur les $TARGET_CLASS étiquetées $TARGET_TYPE par défaut.Si vous pensez que $SOURCE_BASE_PATH devrait être autorisé à accéder $ACCESS sur les processus étiquetés $TARGET_TYPE par défaut.Si vous pensez que $SOURCE_BASE_PATH devrait être autorisé à accéder $ACCESS sur $TARGET_BASE_PATH $TARGET_CLASS par défaut.Si vous pensez que $SOURCE_BASE_PATH devrait avoir des capacités $ACCESS par défaut.Si vous n'avez pas directement provoqué cet AVC en effectuant des tests.Si vous pensez que $SOURCE_PATH ne devrait pas tenter de modifier le noyau en chargeant un module de noyau.Si vous pensez que $SOURCE_PATH ne devrait pas modifier le noyau en chargeant des modules de noyauSi vous pensez que $SOURCE_BASE_PATH ne devrait pas tenter l'accès $ACCESS sur $TARGET_BASE_PATH.Si vous pensez que $SOURCE_PATH ne devrait pas faire correspondre la mémoire du tas, qui est à la fois exécutable et accessible en écriture.Si vous pensez que $SOURCE_PATH ne devrait pas faire correspondre l'allocation de mémoire de la pile, qui est à la fois exécutable et accessible en écriture.Si vous pensez que $SOURCE_PATH ne devrait pas effectuer de projection en mémoire (« mmap ») de la mémoire basse dans le noyau.Si vous ne voulez pas que les processus requièrent des capacités à utiliser toutes les ressources du système sur votre système ;Si vous pensez que ceci est dû à une machine mal étiquetée.Si vous souhaitez %sSi vous souhaitez autoriser à $SOURCE_BASE_PATH d'être monté sur $TARGET_BASE_PATH.Si vous souhaitez autoriser $SOURCE_PATH à écrire sur un contenu public partagéSi vous souhaitez autoriser $SOURCE_PATH à se lier au port réseau $PORT_NUMBERSi vous souhaitez autoriser $SOURCE_PATH à se connecter au port réseau $PORT_NUMBERSi vous souhaitez autoriser ftpd à écrire sur les systèmes de fichiers CIFSSi vous souhaitez autoriser ftpd à écrire sur les systèmes de fichiers NFSSi vous souhaitez autoriser httpd à exécuter des scripts cgi et à unifier la gestion HTTPD de tous les fichiers de contenu.Si vous souhaitez autoriser httpd à envoyer des courrielsSi vous souhaitez modifier l'étiquette de $TARGET_PATH en %s, ce qui est interdit car pas un type de fichier valide.Si vous souhaitez désactiver IPV6 sur cette machineSi vous souhaitez corriger l'étiquette. L'étiquette par défaut de $SOURCE_PATH devrait être %s.Si vous souhaitez corriger l'étiquette. L'étiquette par défaut de $TARGET_PATH devrait être %s.Si vous souhaitez identifier si le domaine nécessite cet accès ou si vous possédez un fichier avec les mauvaises permissions sur votre systèmeSi vous souhaitez ignorer que $SOURCE_BASE_PATH tente d'obtenir l'accès $ACCESS à $TARGET_BASE_PATH $TARGET_CLASS car vous pensez qu'il ne devrait pas nécessiter cet accès.Si vous souhaitez ignorer cet AVC car il est dangereux et votre machine semble fonctionner correctement.Si vous souhaitez ignorer cet AVC car il est dangereux et vos applications wine fonctionnent correctement.Si vous souhaitez modifier l'étiquette de $TARGET_BASE_PATH afin que $SOURCE_BASE_PATH puisse y obtenir l'accès $ACCESSSi vous souhaitez déplacer $TARGET_BASE_PATH sur un emplacement standard de manière à ce que $SOURCE_BASE_PATH puisse obtenir l'accès $ACCESSSi vous pouvez souhaiter continuer à utiliser le confinement de greffons Firefox de SELinux plutôt que d'utiliser le paquet mozpluggerSi vous souhaitez considérer $TARGET_BASE_PATH comme contenu publicSi vous voulez utiliser le paquet %sÉtiqueter à nouveau l'ensemble du système de fichier. Inclus un redémarrage !Restaurer ContexteRestaure le contexteSELinux empêche l'accès $SOURCE_PATH « $ACCESS ».Défini l'étiquette de l'image à virt_image_t.Ceci est dû à la création d'un nouveau système de fichiers.Essayez de changer l'étiquette.Désactive la protection mémoireVous pouvez lire la page de manuel « %s » pour plus de détails.Vous pourriez être la cible d'un pirate.Vous devez en informer SELinux en activant le booléen « %s ». L'étiquette sur $FIX_TARGET_PATH doit être modifiéeVous devez modifier l'étiquette sur $TARGET_BASE_PATHVous devez modifier l'étiquette de $TARGET_BASE_PATH en public_content_t ou public_content_rw_t.Vous devez modifier l'étiquette sur $TARGET_BASE_PATH'Vous devez modifier l'étiquette sur $TARGET_PATH en un type de périphérique similaire.Vous devez modifier l'étiquette sur « $FIX_TARGET_PATH »Vous devriez rapporter ceci en tant qu'anomalie. Vous pouvez générer un module de stratégie local pour autoriser cet accès.Vous devriez rapporter ceci en tant qu'anomalie. Vous pouvez générer un module de stratégie local pour dontaudit cet accès.execstack -c %ssi vous pensez que vous pourriez avoir été la cible d'un piratesetsebool -P %s %sactivez le contrôle complet pour obtenir les informations de chemin du fichier fautif et générer l'erreur à nouveau.utilisez une commande comme « cp -p » pour présever toutes les permissions à l'exception du contexte SELinux.vous pouvez exécuter restorecon.vous pouvez lancer restorecon. La tentative d’accès pourrait avoir été stoppée due à des permissions insuffisantes d’accès au dossier parent, auquel cas essayez de changer la commande suivante en conséquence.vous pourriez être victime d'une attaque d'un pirate car les applications confinées ne devraient jamais nécessiter cet accès.vous pourriez être la cible d'une attaque d'un hacker car les applications confinées ne devraient pas nécessiter cet accès.vous pourriez être victime d'une attaque d'un pirate, cet accès est très dangereux.vous devez modifier l'étiquette de $TARGET_PATH.vous devez corriger les étiquettes.vous devez déplacer le fichier cert sur le répertoire ~/.certvous devez choisir une étiquette de fichier valide.vous devez supprimer le paquet mozplugger.vous devez paramétrer SELinux pour autoriser cecivous devez le faire savoir à SELinuxvous devez faire savoir ceci à SELinux en activant les booléens 'httpd_unified' et 'http_enable_cgi'vous devez le faire savoir à SELinux en activant le booléen vbetool_mmap_zero_ignore.vous devez le faire savoir à SELinux en activant le booléen wine_mmap_zero_ignore.vous devrez désactiver les contrôles SELinux sur les greffons Chrome.vous devez désactiver les contrôles SELinux sur les extensions Firefox.vous devez y ajouter des étiquettes.vous devez modifier l'étiquette de $TARGET_PATH en public_content_rw_t, et aussi probablement activer le booléen allow_httpd_sys_script_anon_write.vous devez diagnostiquer pourquoi votre système est à court de ressources système et corriger le problème. Selon /usr/include/linux/capability.h, sys_resource est nécessaire pour : /* Remplacer les limites de ressources. Définir des limites de ressources. */ /* Remplacer les limites de quotas. */ /* Remplacer l’espace réservé sur le système de fichiers ext2 */ /* Modifier le mode de journalisation des données sur le système de fichiers ext3 (utilise les ressources de journalisation) */ /* REMARQUE : ext2 honore fsuid lors de la vérification des ressources, donc vous pouvez également annuler en utilisant fsuid. */ /* Remplacer les restrictions de taille sur les files d’attente des messages IPC */ /* Autoriser des interruptions de plus de 64 Hz à partir de l’horloge temps réel */ /* Remplacer le nombre maximum de consoles sur l’allocation de la console */ /* Remplacer le nombre maximum de keymaps */ vous devez complètement ré-étiqueter.vous devez modifier le type sandbox. sandbox_web_t ou sandbox_net_t. Par exemple : sandbox -X -t sandbox_net_t $SOURCE_PATH Consulter la page de manuel de « sandbox » pour plus d'informations. vous devez établir un rapport d'anomalie. Cet accès est potentiellement dangereux.vous devez établir un rapport d'anomalie. Cet accès est potentiellement dangereux.vous devez définir set /proc/sys/net/ipv6/conf/all/disable_ipv6 sur 1 et ne pas mettre le module sur liste noirevous devez utiliser une commande différente. Vous n'êtes pas autorisé à préserver le context SELinux sur le système de fichiers cible.vous devriez supprimer l'indicateur execstack et voir si $SOURCE_PATH fonctionne correctement. Veuillez rapporter ceci en tant qu'anomalie sur %s. Vous pouvez supprimer l'indicateur exestack en exécutant :