% PQ1>:pVg hq|(WE eRs !t`"I"~$$,\% &'m(++/~, -/.1b3K5c67:2<=?7/AgCDTE9GHJSJLPLLNONOOUOGO]h8!Km}4.›, 9?U01Ɯ]2VK2՝]cfʞ,ڞdNΟ_]Ea-ա4!#'E$m _ROf9:+IդBaA^sEPB}0SOdRcz(VJ0qVXȽ{!XV"F=. l:u4RV)fIQU)R:W He_;ZJKaKSgiRqGK \XKt7vMZW*c8>_)g!f0S  \!#2%V"|x?5uoQyB+ !_"B%#h% )*d*\,d-N.\.bG/\/,0\40<0B0111 1J12A2t2282F2D3V`383.344<5M586eM6]6U7qg7q7QK8v8>9S9Be9R9N9OJ:@:?:{;2;v;3A<Tu<T<==gH>m>u?n?@:@@@@7A2?A(rA;A+A>B8BB9{BiB:CVZC:C}CjDD?D:E{MEYE #FDF.GGO8H9HH4H*I"BI3eI/IaIa+J_J6J7$K)\KKbL+OOQfPOPoQ|xQQY1"#m}3c[-0|uFzVj94e or\wC/k!M;2B&dtWy:La_*P5N(fUK$`RHQ=)D%O,A T{liIJS. n7~x 8E+sg^Z@6XhG? 'q <b]>vp dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRestore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.This is caused by a newly created file system.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: PO-Revision-Date: 2020-08-19 03:09-0400 Last-Translator: Copied by Zanata Language-Team: Italian (http://www.transifex.com/projects/p/fedora/language/it/) Language: it MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=2; plural=(n != 1); X-Generator: Zanata 4.6.2 \tle funzionalità dac_override e dac_read_search normalmente indicano che il processo root non possiede l'accesso ad un file basato sui flag di permessi. Normalmente ciò significa che ci sono alcuni file con il proprietario/permessi sbagliati. SELinux ha negato l'accesso richiesto da $SOURCE. Non è previsto che questo accesso venga richiesto da $SOURCE, e tale accesso può segnalare un tentativo di intrusione. È anche possibile che questo sia provocato dalla specifica versione o dalla configurazione dell'applicazione per richiedere un ulteriore accesso. SELinux ha negato l'accesso richiesto da $SOURCE. Le impostazioni booleane correnti non permettono tale accesso. Se $SOURCE non è stato configurato in modo da richiedere questo accesso, potrebbe trattarsi di un tentativo di intrusione. Qualora l'accesso sia richiesto, è necessario modificare i booleani nel sistema in modo da consentire tale accesso. SELinux ha negato $SOURCE "$ACCESS"accesso al dispositivo $TARGET_SENTIERO. $TARGET_PATH è etichettato in modo errato, questo dispositivo ha l'etichetta di default della directory / dev, che non dovrebbe accadere. Tutti i personaggi e / o i dispositivi a blocchi dovrebbero avere un'etichetta. Puoi provare a cambiare l'etichetta del file usando restorecon -v '$TARGET_SENTIERO'. Se questo dispositivo rimane etichettato device_t, allora questo è un bug nella politica di SELinux. Si prega di presentare una segnalazione di bug. Se guardi le altre etichette di dispositivi simili, ls -lZ / dev / SIMILAR, e trova un tipo che funzioni per $TARGET_PATH, puoi usare chcon -t SIMILAR_TYPE '$TARGET_PATH ', Se questo risolve il problema, puoi renderlo permanente eseguendo semanage fcontext -a -t SIMILAR_TYPE'$FIX_TARGET_PATH 'Se la restorecon cambia il contesto, indica che l'applicazione che ha creato il dispositivo, lo ha creato senza utilizzare le API di SELinux. Se riesci a capire quale applicazione ha creato il dispositivo, invia una segnalazione di bug relativa a questa applicazione. Tentare restorecon -v $TARGET_PATH oppure chcon -t SIMILAR_TYPE $TARGET_PATH Cambiando il booleano "$BOOLEAN" in true si permetterà questo accesso: "setsebool -P $BOOLEAN=1" Cambiando il booleano "$BOOLEAN" a true verrà permesso tale accesso: "setsebool -P $BOOLEAN=1." Cambiando il booleano "allow_ftpd_use_nfs" in true verrà permesso questo accesso: "setsebool -P allow_ftpd_use_nfs=1." Cambiando file_context in mnt_t sarà possibile montare il filesystem: "chcon -t mnt_t '$TARGET_PATH'." Inoltre, è necessario modificare il file contesto predefinito dei file sul sistema per preservarli anche da una completa rietichettatura. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" I domini confinati non devono richiedere "sys_resource". Di norma questo significa che il sistema sta esaurendo una risorsa del sistema come spazio su disco, memoria, quota, ecc. Ripulire il disco e questo messaggio AVC dovrebbe scomparire. Se il messaggio AVC rimane anche dopo la pulizia del disco, segnalarlo come un bug. I processi confinati possono essere configurati in modo da operare richiedendo diversi accessi. SELinux mette a disposizione booleani per attivare/disattivare l'accesso in base alle esigenze. Se gli script httpd devono avere il permesso di scrivere nelle cartelle pubbliche è necessario abilitare il booleano $BOOLEAN e modificare il contesto file della cartella publica in public_content_rw_t. Leggere le magine di man httpd_selinux per maggiori informazioni: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " Inoltre è necessario modificare l'etichettatura di contesto file predefinita dei file sul sistema per evitare l'etichettatura delle cartelle pubbliche in caso di completa rietichettatura. "semanage fcontext -a -t public_content_rw_t " Qualora si ritenga che $TARGET_PATH funzioni correttamente, è possibile modificare il contesto del file in textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" È necessario inoltre modificare i file di contesto file predefiniti sul sistema per preservarli anche in caso di rietichettatura completa. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" Se si vuole che $SOURCE continui, bisogna impostare ad on il booleano $BOOLEAN. Nota: Questo booleano avrà effetto su tutte le applicazioni del sistema. Se si desidera che httpd invii posta, allora bisogna abilitare il booleano $BOOLEAN: "setsebool -P $BOOLEAN=1" Se si desidera consentire a $SOURCE di collegarsi alla porta $PORT_NUMBER, è possibile eseguire # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER dove PORT_TYPE è una delle seguenti: %s. Se il sistema è avviato come client NIS, abilitare il valore booleano allow_ypbind potrebbe risolvere il problema. setsebool -P allow_ypbind=1. Se si desidera permettere a $SOURCE di connettersi a $PORT_NUMBER, si può eseguire # sandbox -X -t sandbox_net_t $SOURCE Se si vuole consentire a $SOURCE di connettersi a $PORT_NUMBER, è possibile eseguire # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER dove PORT_TYPE è una delle seguenti: %s. Se si vuole modificare il file di contesto di $TARGET_PATH in modo che l'automounter possa eseguirlo è possibile eseguire "chcon -t bin_t $TARGET_PATH". Se si desidera che il comando sopravviva ad una rietichettatura, è necessario modificare permanentemente il file di contesto: eseguire "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux ha negato $SOURCE accesso a $TARGET_SENTIERO. Se questo è uno swapfile, deve avere un'etichetta di contesto di file di swapfile_t. Se non intendevi usare $TARGET_PATH come file di scambio, questo messaggio potrebbe indicare un bug o un tentativo di intrusione. SELinux ha negato l'accesso a RSYNC $TARGET_SENTIERO. Se questo è un repository RSYNC, deve avere un'etichetta di contesto del file di rsync_data_t. Se non intendevi usare $TARGET_PATH come repository RSYNC, questo messaggio potrebbe indicare un bug o un tentativo di intrusione. SELinux ha negato l'accesso richiesto da $SOURCE. $SOURCE_PATH potrebbe essere erroneamente etichettato. $SOURCE_PATH il tipo predefinito di SELinux è %s, ma il suo tipo attuale è $SOURCE_GENERE. La modifica di questo file al tipo predefinito potrebbe risolvere il tuo problema.

Questo file potrebbe essere stato etichettato erroneamente da un errore dell'utente o se un'applicazione normalmente confinata è stata eseguita con il dominio sbagliato.

Tuttavia, questo potrebbe anche indicare un bug in SELinux perché il file non avrebbe dovuto essere etichettato con questo tipo.

Se ritieni che si tratti di un bug, ti preghiamo di presentare una segnalazione di bug relativa a questo pacchetto. SELinux ha negato l'accesso richiesto da $SOURCE. $TARGET_PATH potrebbe essere erroneamente etichettato. openvpn è autorizzato a leggere il contenuto nella home directory se è etichettato correttamente. SELinux ha negato l'accesso richiesto da $SOURCE. $TARGET_PATH potrebbe essere erroneamente etichettato. sshd è autorizzato a leggere il contenuto nella directory /root/.ssh se è etichettato correttamente. SELinux ha negato l'accesso richiesto da $SOURCE. Non è previsto che questo accesso venga richiesto da $SOURCE e tale operazione può segnalare un tentativo di intrusione. È anche possibile che questo sia provocato dalla specifica versione o dalla configurazione dell'applicazione per richiedere un ulteriore accesso. SELinux ha negato l'accesso richiesto da $SOURCE. Qualora questo accesso non sia richiesto da $SOURCE, potrebbe trattarsi di un tentativo di intrusione. È anche possibile che la versione o la configurazione specifica dell'applicazione stia causando il problema per richiedere un accesso supplementare. mozplugger e spice-xpi eseguono applicazioni all'interno di mozilla-plugins che richiedono accesso al desktop, che il blocco di mozilla_plugin non permette ed è pertanto necessario disattivare il blocco di mozilla_plugin oppure non utilizzare tali pacchetti. SELinux ha negato l'accesso richiesto da $SOURCE. Qualora questo accesso non sia richiesto da $SOURCE, potrebbe trattarsi di un tentativo di intrusione. È anche possibile che la versione o la configurazione specifica dell'applicazione stia causando il problema per richiedere un accesso supplementare. spice-xpi esegue applicazioni all'interno di mozilla-plugins che richiedono accesso al desktop, che il blocco di mozilla_plugin non permette ed è pertanto necessario disattivare il blocco di mozilla_plugin oppure non utilizzare tali pacchetti. SELinux ha rifiutato l'accesso richiesto dal comando $SOURCE. Sembra che sia un descrittore difettoso oppure l'uscita di $SOURCE è stata reindirizzata ad un file a cui non è consentito accedere. I difetti normalmente possono essere ignorati fintanto che SELinux chiude il difetto e riporta l'errore. L'applicazione non usa il descrittore, quindi può essere eseguita correttamente. Se questo è un reindirizzamento, non verrà ricevuto output nel $TARGET_PATH. E' necessario generare un bugzilla su selinux-policy, che verrà instradato verso il pacchetto appropriato. E' possibile ignorare in sicurezza questo avc. SELnux ha negato l'accesso a $TARGET_PATH richiesto da $SOURCE. $TARGET_PATH presenta un contesto utilizzato per una condivisione tra diversi programmi. Se si desidera condividere anche $TARGET_PATH da $SOURCE, bisogna modificare il contesto del file in public_content_t. Se non si desiderava consentire questo accesso, ciò potrebbe segnalare un tentativo d'intrusione. SELinux ha negato a cvs l'accesso a $TARGET_PATH. Se si tratta di un repository CVS, sarà necessario avere una etichetta del contesto del file cvs_data_t. Se non si desiderava utilizzare $TARGET_PATH come repository CVS, ciò potrebbe indicare un bug oppure potrebbe segnalare un tentativo di intrusione. SELinux ha negato l'accesso a samba $TARGET_SENTIERO. Se vuoi condividere questa directory con samba deve avere un'etichetta di contesto di file di samba_share_t. Se non intendevi usare $TARGET_PATH come repository samba, questo messaggio potrebbe indicare un bug o un tentativo di intrusione. Si prega di fare riferimento a 'man samba_selinux' per maggiori informazioni su come configurare Samba e SELinux. SELinux ha negato l'accesso xen a $TARGET_PATH. Se questa è un immagine XEN allora dovrà possedere una etichetta del contesto del file xen_image_t. Il sistema è impostato per etichettare correttamente i file immagine in /var/lib/xen/images. Si consiglia copiare il file immagine in /var/lib/xen/images. Se si desidera veramente avere i file immagine xen nella directory corrente, è possibile rietichettare $TARGET_PATH in xen_image_t usando chcon. Se si vuole farlo si dovrà anche eseguire semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' per aggiungere questo nuovo percorso alle impostazioni di sistema predefinite. Se non si intende utilizzare $TARGET_PATH come una immagine xen ciò potrebbe indicare un bug o un tentativo di intrusione. SELinux ha negato $SOURCE dalla connessione a una porta di rete $PORT_NUMBER a cui non è associato un tipo SELinux. Se $SOURCE dovrebbe essere consentito connettersi $PORT_NUMBER, usa il semanage comando da assegnare $PORT_NUMBER a una porta digita quello $SOURCE_TYPE può connettersi a (%s). Se $SOURCE non dovrebbe connettersi a $PORT_NUMERO, questo potrebbe segnalare un tentativo di intrusione. SELinux ha negato $SOURCE dalla connessione a una porta di rete $PORT_NUMBER all'interno di una sandbox. Se $SOURCE dovrebbe essere consentito connettersi $PORT_NUMERO, devi usare un tipo di sandbox diverso come sandbox_web_t o sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCESe $SOURCE non dovrebbe connettersi a $PORT_NUMERO, questo potrebbe segnalare un tentativo di intrusione. SELinux ha negato l'accesso a $SOURCE ai file $TARGET_PATH etichettati in modo potenzialmente incorretto. Ciò significa che SELinux non permetterà a httpd di utilizzare questi file. Se httpd ha bisogno dell'accesso a questi file bisogna cambiare il contesto dei file nei seguenti tipi, %s. Numerose applicazioni di terzi installano file html in cartelle che le policy di SELinux non possono prevedere. Le suddette cartelle devono essere etichettate con un contesto file accessibile da parte di httpd. SELinux ha negato il binding di $SOURCE a una porta di rete $PORT_NUMBER senza tipo SELinux associato. Se $SOURCE è autorizzato ad ascoltare sulla porta $PORT_NUMBER, utilizzare il comando semanage per assegnare $PORT_NUMBER a un tipo di porta al quale $SOURCE_TYPE può essere associato (%s). Se non è previsto che $SOURCE sia associato alla porta $PORT_NUMBER, potrebbe trattarsi di un tentativo di intrusione. SELinux ha negato il $SOURCE la capacità di mmap area bassa dello spazio indirizzo del kernel. La capacità di mmap su un'area bassa dello spazio indirizzo è configurata da / proc / sys / kernel / mmap_min_addr. Prevenire tali mappature aiuta a proteggere dallo sfruttamento dei bug nulli deref nel kernel. Tutte le applicazioni che necessitano di questo accesso dovrebbero avere già una politica scritta per loro. Se un'applicazione compromessa tenta di modificare il kernel, questo AVC verrebbe generato. Questo è un problema serio. Il tuo sistema potrebbe essere molto compromesso. SELinux ha impedito a $SOURCE_PATH di eseguire i file $TARGET_PATH potenzialmente etichettati in modo non corretto. Automounter può essere impostato per eseguire i file di configurazione. Se $TARGET_PATH risulta essere un file di configurazione eseguibile di automount, esso avrà bisogno di una etichetta bin_t. Se automounter cerca di eseguire un'azione non prevista, tale tentativo potrebbe indicare un tentativo d'intrusione. SELinux ha negato al demone http di inviare posta. Uno script httpd sta tentando di connettersi a una porta di posta o di eseguire il comando sendmail. Se non hai impostato httpd su sendmail, questo potrebbe segnalare un tentativo di intrusione. SELinux ha impedito a $SOURCE di caricare un modulo del kernel. Tutti i programmi confinati che devono caricare moduli del kernel devono disporre di criteri scritti appositamente per loro. Qualora un'applicazione compromessa tenti di modificare il kernel, viene generato questo AVC. Si tratta di un problema grave. Il sistema potrebbe essere seriamente compromesso. SELinux ha impedito a $SOURCE di modificare $TARGET. Tale divieto indica che $SOURCE stava tentando di modificare la configurazione dei criteri di SELinux. Tutte le applicazioni che richiedono questo accesso devono avere un criterio scritto appositamente per loro. Qualora un'applicazione compromessa tenti di modificare i criteri SELinux, viene generato questo AVC. Si tratta di un problema grave. Il sistema potrebbe essere seriamente compromesso. SELinux ha impedito a $SOURCE di modificare $TARGET. Tale divieto indica che $SOURCE stava tentando di modificare il modo in cui il kernel viene eseguito o di inserire effettivamente codice nel kernel. Tutte le applicazioni che richiedono questo accesso devono avere un criterio scritta appositamente per loro. Qualora un'applicazione compromessa tenti di modificare il kernel, viene generato questo AVC. Si tratta di un problema grave. Il sistema potrebbe essere seriamente compromesso. SELinux ha impedito $SOURCE dalla scrittura in un file sotto / sys / fs / selinux. I file sotto / sys / fs / selinux controllano il modo in cui SELinux è configurato. Tutti i programmi che devono scrivere su file sotto / sys / fs / selinux dovrebbero avere già una politica scritta per loro. Se un'applicazione compromessa tenta di disattivare SELinux, verrà generato questo AVC. Questo è un problema serio. Il tuo sistema potrebbe essere molto compromesso. SELinux ha impedito a vbetool di eseguire una operazione non sicura della memoria. SELinux ha impedito a wine di eseguire una operazione non sicura della memoria. SELinux sta impedendo a $SOURCE di creare un file con un contesto $SOURCE_TYPE su un file system. Solitamente questo si verifica quando si chiede al comando cp di mantenere il contesto di un file durante la copia tra file system, "cp -a" ad esempio. Non tutti i contesti di file devono essere mantenuti tra i file system. Ad esempio, un file di sola lettura come iso9660_t non deve essere posizionato su un sistema r/w. "cp -p" potrebbe essere una soluzione migliore, in quanto adotta il contesto di file predefinito per la destinazione. SELinux impedisce al $SOURCE_PATH "$ACCESS" di accedere al dispositivo $TARGET_PATH. SELinux impedisce a $SOURCE_PATH l'accesso "$ACCESS" su $TARGET_PATH. SELinux sta impedendo a $SOURCE_PATH l'accesso "$ACCESS" al dispositivo $TARGET_PATH. SELinux impedisce $SOURCE_PATH "$ACCESS" a $TARGET_PATH. SELinux impedisce l'accesso $SOURCE_PATH ad un file descrittore difettoso $TARGET_PATH. SELinux impedisce al $SOURCE_PATH di associarsi alla porta $PORT_NUMBER. SELinux impedisce al $SOURCE_PATH di cambiare la protezione d'accesso della memoria sull'heap. SELinux impedisce al $SOURCE_PATH di collegarsi alla porta $PORT_NUMBER. SELinux impedisce a $SOURCE_PATH di creare un file con un contesto di $SOURCE_TYPE su un filesystem. SELinux ha impedito al $SOURCE_PATH di caricare $TARGET_PATH il quale necessita di un text relocation. SELinux impedisce al $SOURCE_PATH di rendere lo stack del programma eseguibile. SELinux sta impedendo a $SOURCE_PATH la capacità "$ACCESSO". SELinux sta impedendo a $SOURCE_PATH la capacità "sys_resource". SELinux impedisce a Samba l'accesso ($SOURCE_PATH) "$ACCESS" al dispositivo $TARGET_PATH. SELinux impedisce l'accesso cvs ($SOURCE_PATH) "$ACCESS" a $TARGET_PATH. SELinux impedisce a $SOURCE_PATH l'utilizzo di file ($TARGET_PATH) potenzialmente etichettati in modo incorretto. SELinux ha impedito al demone http di inviare posta. SELinux impedisce a xen ($SOURCE_PATH) l'accesso "$ACCESS" a $TARGET_PATH. La policy di SELinux sta evitando che uno script httpd scriva in una cartella pubblica. La policy di SELinux sta evitando che uno script httpd scriva in una cartella pubblica. Se httpd non è impostato per scrivere nelle cartelle pubbliche, ciò potrebbe segnalare un tentativo di intrusione. SELinux ha impedito a $SOURCE di montare un file system sul file o nella directory "$TARGET_PATH" di tipo "$TARGET_TYPE". Per impostazione predefinita, SELinux limita il montaggio dei file system solo ad alcuni file o directory (quelli con tipi dotati di attributo mountpoint). Il tipo "$TARGET_TYPE" non possiede questo attributo. È possibile modificare l'etichetta del file o della directory. SELinux ha evitato che $SOURCE montasse il file o cartella "$TARGET_PATH" (tipo "$TARGET_TYPE"). SELinux ha impedito a httpd l'accesso $ACCESS a $TARGET_PATH. Gli httpd non sono autorizzati a scrivere contenuti senza etichettatura esplicita di tutti i file. Se $TARGET_PATH è un contenuto scrivibile, deve essere etichettato httpd_sys_rw_content_t oppure per l'aggiunta, basta etichettarlo come httpd_sys_ra_content_t. Fare riferimento a 'man httpd_selinux' per ulteriori informazioni sulla configurazione di httpd e selinux. SELinux ha impedito httpd $ACCESS accesso ai file http. Ordinariamente httpd è consentito l'accesso completo a tutti i file etichettati con il contesto del file http. Questa macchina ha una politica di sicurezza rafforzata con il $BOOLEANdisattivato, ciò richiede un'etichettatura esplicita di tutti i file. Se un file è uno script cgi, deve essere etichettato con httpd_TYPE_script_exec_t per essere eseguito. Se è letto solo contenuto, deve essere etichettato httpd_TYPE_content_t. Se è contenuto scrivibile, deve essere etichettato come httpd_TYPE_script_rw_t o httpd_TYPE_script_ra_t. È possibile utilizzare il comando chcon per modificare questi contesti. Si prega di fare riferimento alla pagina man "man httpd_selinux" o FAQ"TYPE" si riferisce a uno dei "sys", "user" o "staff" o potenzialmente altri tipi di script. SELinux ha impedito a httpd l'accesso $ACCESS ai file http. SELinux ha impedito al demone ftp l'$ACCESS ai file immagazzinati su di un filesystem CIFS. SELinux ha bloccato il demone ftp dai file $ACCESS memorizzati sul file system CIFS. Il file system CIFS (Comment Internet File System) è un file system di rete simile a SMB (http://www.microsoft.com/mind/1196/cifs.asp) Il demone ftp ha tentato di leggere uno o più file o directory da un file system montato di questo tipo. Poiché i file-system CIFS non supportano l'etichettatura SELinux fine-grained, tutti i file e le directory nel file system avranno lo stesso contesto di protezione. Qualora il demone ftp non sia stato configurato per leggere i file da un file system CIFS, questo tentativo di accesso potrebbe indicare un tentativo di intrusione. SELinux ha impedito al demone ftp daemon d $ACCESS ai file immagazzinati su di un filesystem NFS. SELinux ha bloccato il demone ftp dai file $ACCESS memorizzati sul file system NFS. Il file system NFS (Network Filesystem) è un file system di rete comunemente utilizzato sui sistemi Unix / Linux. Il demone ftp ha tentato di leggere uno o più file o directory da un file system montato di questo tipo. Poiché i file-system NFS non supportano l'etichettatura SELinux fine-grained, tutti i file e le directory nel file system avranno lo stesso contesto di protezione. Qualora il demone ftp non sia stato configurato per leggere i file da un file system NFS, questo tentativo di accesso potrebbe indicare un tentativo di intrusione. A volte le librerie sono accidentalmente contrassegnate con il flag execstack. Qualora si riscontri questo flag, è possibile cancellarlo con il comando execstack -c LIBRARY_PATH. Successivamente, riprovare l'applicazione. Se l'applicazione continua a non funzionare, è possibile riattivare il flag con execstack -s LIBRARY_PATH. L'applicazione $SOURCE ha tentato di cambiare la protezione di accesso della memoria sull'heap (es., allocata usando malloc). Questo è un potenziale problema di sicurezza. Le applicazioni non dovrebbero farlo. Le applicazioni talvolta sono codificate in modo non corretto e richiedono questo permesso. La pagina web SELinux Memory Protection Tests spiega come rimuovere questo requisito. Se $SOURCE non funziona ma risulta necessario usarlo, è possibile configurare SELinux per abilitare temporaneamente questo accesso fino a che l'applicazione non sarà corretta. Si invita ad inviare un bug report relativo a questo pacchetto. Il $SOURCE applicazione tentata di caricare $TARGET_PATH che richiede il riposizionamento del testo. Questo è un potenziale problema di sicurezza. La maggior parte delle biblioteche non ha bisogno di questa autorizzazione. Le librerie sono talvolta codificate in modo errato e richiedono questa autorizzazione. Il Test di protezione memoria SELinuxla pagina web spiega come rimuovere questo requisito. È possibile configurare SELinux temporaneamente per consentire $TARGET_PATH per utilizzare il riposizionamento come soluzione alternativa, finché la libreria non viene riparata. Si prega di presentare una segnalazione di bug. Il $SOURCE applicazione tentata di caricare $TARGET_PATH che richiede il riposizionamento del testo. Questo è un potenziale problema di sicurezza. La maggior parte delle biblioteche non dovrebbe aver bisogno di questa autorizzazione. Il Test di protezione memoria SELinuxla pagina web spiega questo controllo. Questo strumento ha esaminato la libreria e sembra che sia stata costruita correttamente. Quindi setroubleshoot non può determinare se questa applicazione è compromessa o meno. Questo potrebbe essere un problema serio. Il tuo sistema potrebbe essere molto compromesso. Contatta l'amministratore della sicurezza e segnala questo problema. L'applicazione $SOURCE ha tentato di rendere questo stack eseguibile. Potenzialmente questo costituisce un problema per la sicurezza. Non dovrebbe mai essere necessario. La memoria dello stack non è eseguibile sulla maggior parte di sistemi operativi odierni e questo vincolo non cambierà mai. La memoria stack eseguibile è uno dei più grandi problemi di sicurezza. Un errore execstack potrebbe molto probabilmente essere generato da codice malware. Spesso le applicazioni sono codificate in modo errato e richiedono questa autorizzazione. La pagina Web Prove protezione memoria SELinux descrive come rimuovere questo requisito. Se $SOURCE non funziona ed è necessario farlo funzionare, è possibile configurare SELinux in modo da consentire temporaneamente tale accesso finché l'applicazione non viene riparata. Registrare un bug report. Usare un comando come "cp -p" per preservare tutti i permessi tranne il contesto SELinux. Puoi modificare il contesto del file eseguendo chcon -R -t cvs_data_t '$TARGET_PATH 'È inoltre necessario modificare i file di contesto del file di default sul sistema per mantenerli anche su una nuova versione completa. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH '" È possibile alterare il contesto del file eseguendo chcon -R -t rsync_data_t '$TARGET_PATH' È necessario inoltre modificare il contesto file predefinito dei file sul sistema per preservarli anche da una completa rietichettatura. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" È possibile alterare il contesto del file eseguendo chcon -R -t samba_share_t '$TARGET_PATH' È necessario inoltre modificare il contesto file predefinito dei file sul sistema per preservarli anche da una completa rietichettatura. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" È possibile alterare il contesto del file eseguendo chcon -t public_content_t '$TARGET_PATH' È necessario inoltre modificare il contesto file predefinito dei file sul sistema per preservarli da una completa rietichettatura. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" È possibile alterare il contesto del file eseguendo chcon -t swapfile_t '$TARGET_PATH' È necessario inoltre modificare il contesto file predefinito dei file sul sistema per preservarli anche da una completa rietichettatura. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" E' possibile alterare il contesto del file eseguendo chcon -t virt_image_t '$TARGET_PATH' È necessario inoltre modificare il contesto file predefinito dei file sul sistema per preservarli da una completa rietichettatura. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" È possibile alterare il contesto del file eseguendo chcon -t xen_image_t '$TARGET_PATH' È necessario inoltre modificare il contesto file predefinito dei file sul sistema per preservarli anche da una completa rietichettatura. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" È possibile eseguire il seguente comando come utente root, in modo da rietichettare il sistema: "touch /.autorelabel; reboot" E' possibile generare un modulo di politica locale per consentire questo accesso - consultare le FAQ Inviare un bug report. E' possibile generare un modulo di politica locale per consentire questo accesso - consultare le FAQ È possibile ripristinare il contesto di sistema predefinito in questo file eseguendo il comando restorecon. # restorecon -R /root/.ssh È possibile ripristinare il contesto di sistema predefinito in questo file eseguendo il comando restorecon. # restorecon -R /root/.ssh E' possibile ripristinare il contesto predefinito del sistema su questo file eseguendo il comando restorecon. restorecon '%SOURCE_PATH'. È possibile ripristinare il contesto del sistema predefinito a questo file eseguendo il comando restorecon. restorecon '$TARGET_PATH', se il file indicato è una cartella, è possibile ripristinare ricorsivamente utilizzando restorecon -R '$TARGET_PATH'. Il sistema potrebbe essere seriamente compromesso! Il sistema potrebbe essere seriamente compromesso! $SOURCE_PATH ha cercato di mappare la memoria bassa del kernel. Il sistema potrebbe essere seriamente compromesso! $SOURCE_PATH ha cercato di caricare un modulo del kernel. Il sistema potrebbe essere seriamente compromesso! $SOURCE_PATH ha cercato di modificare la modalità enforcement di SELinux. Il sistema potrebbe essere seriamente compromesso! $SOURCE_PATH ha cercato di modificare la configurazione del kernel. Disabilitare IPV6 in maniera propria. Rimuovere il pacchetto mozplluger eseguendo 'yum remove mozplugger' Oppure disabilitare l'implementazione di SELinux sui plugin di Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Rimuovere il pacchetto mozplluger o spice-xpi eseguendo 'yum remove mozplugger spice-xpi' oppure disabilitare l'applicazione di SELinux sui plugin di Firefox. setsebool -P unconfined_mozilla_plugin_transition 0 Rimuovere il pacchetto mozplluger o spice-xpi eseguendo 'yum remove mozplugger spice-xpi' oppure disabilitare l'applicazione di SELinux sui plugin di Chrome. setsebool -P unconfined_chrome_sandbox_transition 0 Se si desidera di continuare ad eseguire il programma in questione bisogna consentire questa operazione. Ciò può essere fatto tramite linea di comando usando: # setsebool -P mmap_low_allowed 1 SELinux ha negato un'operazione richiesta da $SOURCE, un programma utilizzato per modificare lo stato hardware del video. Questo programma è noto per l'uso di un'operazione non sicura sulla memoria del sistema, così come diversi programmi malware/di exploit che si mascherano da vbetool. Questo strumento serve per reimpostare lo stato del video quando la macchina viene ripristinata da una sospensione. Se la macchina non si ripristina correttamente, l'unica opzione è consentire tale operazione e ridurre la protezione del sistema nei confronti di tale malware. SELinux ha negato un'operazione richiesta da wine-preloader, un programma utilizzato per eseguire applicazioni Windows sotto Linux. Questo programma è noto per l'uso di un'operazione non sicura sulla memoria del sistema, così come diversi programmi malware/di exploit che si mascherano da wine. Se non era in corso un tentativo di eseguire un programma Windows, l'unica scelta è permettere tale operazione e ridurre la protezione del sistema nei confronti di tale malware oppure evitare di eseguire applicazioni Windows in Linux. Se non si stava tentando di eseguire un'applicazione Windows, indica l'eventualità di un attacco di un malware o di un programma che sta tentando di sfruttare il sistema per scopi scellerati. Consultare la pagina http://wiki.winehq.org/PreloaderPageZeroProblem che descrive gli altri problemi incontrati da wine per via dell'uso non protetto della memoria e le soluzioni a tali problemi. Attivare il controllo completo auditing # auditctl -w /etc/shadow -p w Provare a ricreare AVC. Eseguire quindi # ausearch -m avc -ts recent Qualora si noti il record PATH, controllare la proprietà/i permessi sul file e correggerli, altrimenti registrare un bugzilla. Si sta provando ad usare un tipo su %s che non è un tipo file. Questa operazione non è permessa, assegnare un tipo di file valido. Elencare tutti i tipi di file usando il comando seinfo. seinfo -afile_type -x Cambiando le booleane "$BOOLEAN" e "$WRITE_BOOLEAN" in true si permetterà tale accesso: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". attenzione: impostare la booleana "$WRITE_BOOLEAN" su true permetterà al demone ftp di scrivere tutto il contenuto pubblico (file e cartelle con tipo public_content_t) oltre a scrivere file e cartelle sui filesystems CIFS. La modifica dei booleani "allow_ftpd_use_nfs" e "ftpd_anon_write" su true consentirà questo accesso: "setsebool -P allow_ftpd_use_nfs = 1 ftpd_anon_write = 1". warning: l'impostazione di "ftpd_anon_write" booleano su true consentirà al demone ftp di scrivere su tutto il contenuto pubblico (file e directory con tipo public_content_t) oltre a scrivere su file e directory su file system NFS. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i miei-$SOURCE.PP# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' dove FILE_TYPE è uno dei seguenti: %s. Successivamente, eseguire: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER dove PORT_TYPE è una delle seguenti: %s.Un processo potrebbe cercare di penetrare dentro il sistema.Aggiungere net.ipv6.conf.all.disable_ipv6 = 1 a /etc/sysctl.conf Consentire questo accesso per ora eseguendo: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NOME # semodule -X 300 -i miei-$MODULE_NAME.ppCambia il contesto del file.Cambia etichettaCambia etichetta sulla libreria.Contattare il proprio amministratore di sicurezza e riportare il problema.Disattiva i controlli SELinux sui plugin di ChromeAbilita i booleaniAbilita i booleani.Se $TARGET_BASE_PATH è un obiettivo di virtualizzazioneSe $TARGET_BASE_PATH dovrebbe essere condiviso tramite il daemon RSYNCSe $TARGET_BASE_PATH dovrebbe essere condiviso tramite il demone cvsSe credi $SOURCE_BASE_PATH dovrebbe essere autorizzato a creare $TARGET_BASE_PATH fileSe credi $SOURCE_PATH ha provato a disabilitare SELinux.Se ci credi%snon dovrebbe richiedere execstackSe ci credi $SOURCE_BASE_PATH dovrebbe essere consentito $ACCESS accesso su $TARGET_CLASS etichettato $TARGET_TYPE per impostazione predefinita.Se ci credi $SOURCE_BASE_PATH dovrebbe essere consentito $ACCESS accesso ai processi etichettati $TARGET_TYPE per impostazione predefinita.Se ci credi $SOURCE_BASE_PATH dovrebbe essere consentito $ACCESS accesso al $TARGET_BASE_PATH $TARGET_CLASS per impostazione predefinita.Se ci credi $SOURCE_BASE_PATH dovrebbe avere il $ACCESS capacità di default.Se non hai causato direttamente questo AVC tramite test.Se non ci credi $SOURCE_PATH dovrebbe tentare di modificare il kernel caricando un modulo del kernel.Se non credi al tuo $SOURCE_PATH dovrebbe modificare il kernel, caricando i moduli del kernelSe non pensi $SOURCE_BASE_PATH dovrebbe provare $ACCESS accesso su $TARGET_BASE_PATH.Se non pensi $SOURCE_PATH dovrebbe avere bisogno di mappare la memoria heap che è sia scrivibile che eseguibile.Se non pensi $SOURCE_PATH dovrebbe avere bisogno di mappare la memoria dello stack sia scrivibile che eseguibile.Se non pensi $SOURCE_PATH dovrebbe avere bisogno di mmap poca memoria nel kernel.Se non si desidera che i processi richiedano capacità per utilizzare tutte le risorse di sistema sul proprio sistema;Se pensi che ciò sia causato da una macchina mal etichettata.Se lo desidera %sSe vuoi permettere $SOURCE_BASE_PATH da montare $TARGET_BASE_PATH.Se vuoi permettere $SOURCE_PATH per poter scrivere su contenuti pubblici condivisiSe vuoi permettere $SOURCE_PATH per collegarsi alla porta di rete $PORT_NUMEROSe vuoi permettere $SOURCE_PATH per connettersi alla porta di rete $PORT_NUMEROSe si desidera consentire a ftpd di scrivere su file system cifsSe si desidera consentire a ftpd di scrivere su file system nfsSe si desidera consentire a httpd di eseguire gli script cgi e unificare la gestione di tutti i file di contenuto di HTTPD.Se si desidera consentire a httpd di inviare postaSe si desidera modificare l'etichetta di $TARGET_PATH a %s, non sei autorizzato perché non è un tipo di file valido.Se si desidera disabilitare IPV6 su questa macchinaSe vuoi fissare l'etichetta.$SOURCEL'etichetta predefinita _PATH dovrebbe essere %s.Se vuoi fissare l'etichetta.$TARGETL'etichetta predefinita _PATH dovrebbe essere %s.Se vuoi aiutare a capire se il dominio ha bisogno di questo accesso o se hai un file con le autorizzazioni sbagliate sul tuo sistemaSe vuoi ignorare $SOURCE_BASE_PATH cercando di $ACCESS accedere a $TARGET_BASE_PATH $TARGET_CLASS, perché ritieni che non dovrebbe aver bisogno di questo accesso.Se si desidera ignorare questo AVC perché è pericoloso e la macchina sembra funzionare correttamente.Se si desidera ignorare questo AVC perché è pericoloso e le applicazioni del vino funzionano correttamente.Se si desidera modificare l'etichetta $TARGET_BASE_PATH così $SOURCE_BASE_PATH può avere $ACCESS accesso su di essoSe vuoi mv $TARGET_BASE_PATH nella posizione standard in modo che $SOURCE_BASE_PATH può avere $ACCESS accessoSe si desidera continuare a utilizzare il contenimento di plug-in SELinux per Firefox piuttosto che usare il pacchetto mozpluggerSe vuoi trattare $TARGET_BASE_PATH come contenuto pubblicoSe vuoi usare il %s pacchettoRestore ContextRipristinare il contestoSELinux sta impedendo l'accesso $SOURCE_PATH "$ACCESS".Questo è causato da un file system appena creato.Disabilitare la protezione della memoriaPer maggiori informazioni consultare le pagina man di '%s'.Il sistema potrebbe essere stato penetrato.È necessario informare SELinux abilitando il booleano '%s' . E' necessario modificare l'etichetta su $FIX_TARGET_PATHE' necessario modificare l'etichetta su $TARGET_BASE_PATHE' necessario modificare l'etichetta su $TARGET_BASE_PATH in public_content_t oppure public_content_rw_t.E' necessario modificare l'etichetta su $TARGET_BASE_PATH'E' necessario modificare l'etichetta su $TARGET_PATH in un tipo di dispositivo simile.E' necessario modificare l'etichetta su '$FIX_TARGET_PATH'Si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso.Si dovrebbe riportare il problema come bug. E' possibile generare un modulo di politica locale per consentire questo accesso.execstack -c %sse si pensa ciò allora si potrebbe essere sotto attacco hackersetsebool -P %s %sattivare l'auditing completo per ottenere le informazioni del percorso del file incriminato e generare nuovamente l'errore.Usare un comando come "cp -p" per preservare tutti i permessi tranne il contesto SELinux.è possibile avviare restorecon.puoi eseguire restorecon. Il tentativo di accesso potrebbe essere stato interrotto a causa di autorizzazioni insufficienti per accedere a una directory superiore, nel qual caso provare a modificare il seguente comando di conseguenza.si potrebbe essere sotto attacco da un hacker, dal momento che le applicazioni confinate non dovrebbero mai richiedere questo accesso.si potrebbe essere sotto attacco da un hacker, dal momento che le applicazioni confinate non dovrebbero richiedere questo accesso.si potrebbe essere sotto attacco hacker, questo è un accesso molto pericoloso.è necessario modificare l'etichettatura su $TARGET_PATH.bisogna sistemare le etichette.si deve spostare il file cert nella cartella ~/.certselezionare una etichetta del file valida.rimuovere il pacchettp mozplugger.è necessario impostare SELinux per consentire ciòè necessario informare SELinux sulla questionebisogna informare SELinux riguardo ciò abilitando i booleani 'httpd_unified' e 'http_enable_cgi'è necessario informare SELinux sulla questione abilitando il booleano vbetool_mmap_zero_ignore .è necessario informare SELinux sulla questione abilitando il booleano wine_mmap_zero_ignore .disabilitare i controlli SELinux sui plugin di Chrome.disabilitare i controlli SELinux sui plugin di Firefox.è necessario aggiungergli una etichetta.è necessario modificare l'etichetta su $TARGET_PATH in public_content_rw_t, e potenzialmente attivare il booleano allow_httpd_sys_script_anon_write .devi diagnosticare perché il tuo sistema sta esaurendo le risorse di sistema e risolvere il problema. Secondo /usr/include/linux/capability.h, sys_resource è necessario per: / * Sostituire i limiti delle risorse. Imposta limiti di risorse. * / / * Ignora limiti di quota. * / / * Sovrascrivi lo spazio riservato sul filesystem ext2 * / / * Modifica la modalità di journaling dei dati sul filesystem ext3 (utilizza le risorse di journaling) * / / * NOTA: ext2 onora fsuid durante il controllo delle sovrascritture delle risorse, quindi puoi eseguire l'override utilizzando anche fsuid * / / * Sovrascrive le restrizioni sulle dimensioni delle code dei messaggi IPC * / / * Consenti più di 64 ore di interruzioni dall'orologio in tempo reale * / / * Ignora il numero massimo di console sull'allocazione della console * / / * Ignora il numero massimo di keymap * / è necessaria una completa rietichettatura.È necessario modificare il tipo di sandbox. sandbox_web_t o sandbox_net_t. Ad esempio: sandbox -X -t sandbox_net_t $SOURCE_PATH Leggere la pagina man 'sandbox' per ulteriori dettagli. è necessario riportare un bug. Questo è un accesso potenzialmente pericoloso.è necessario riportare un bug. Questo è un accesso potenzialmente pericoloso.è necessario impostare /proc/sys/net/ipv6/conf/all/disable_ipv6 ad 1 e non inserire il modulo nella blacklist'è necessario usare un comando differente. Non si è autorizzati a mantenere il contesto SELinux sul file system desiderato.si dovrebbe rimuovere il flag l'execstack e verificare se $SOURCE_PATH funziona correttamente. Riportare il bug su %s. E' possibile rimuovere il flag execstack eseguendo: