Þ•ã43Lì1:8sVzgÑh9|¢(EHžŽ -R;!™Ž"t(#I#~ç$œf%,$& Q'[(mw)Öå+®Œ1±k2/3 M4ýZ6.X8b‡:ê;ˆ=Å‹>øQAŠJCžñE…GÝI˜ôJ7L‹ÅNðQPTBQ¡—R»9T²õUSšWPüWMXN^ZN­ZUüZGR[]š[Oø[kH\RŽ\q]fy]Và]F7^K~^VÊ^E!_Sg_j»_B&`Ti`TŸ`^cÁrcŠ4dt¿ež4fZÓg?.kZnk²ÉkY|nUÖn6,qŽcrCòt€6w#·yXÛ| 4}B~Sf€ | †‚ ”ƒz „¹…šÕ…‰p†‹ú†††‡ç ˆ3õˆe)‰_‰eï‰fUŠŒŠÀيך‹×rŒžJÑŽIՏÜ“Ãü“ƒÀ”™D–bޗ“A˜\՘b2™\•™+ò™cš7‚š<ºšŽ÷š†› ››š›%ś:ë›*&œQœaœ/rœ:¢œ8ݜT5k4¡x֝tOžyĞT>Ÿ7“Ÿm˟a9 U› eñ fW¡NŸ¡g ¢:u¢°¢E¢N£FW£Iž£7è£6 €cW€'»€pã€+T¥G€¥GÈ¥uŠ™†Šf §h‡§lð§j]šhÈš81©!j©/Œ©Œ©Ì©4Ü©$ª.6ªeª{ª,–ªê?ߪ0«1P«]‚«2à«K¬2_¬]’¬cð¬T­,d­‘­d€­N ®X®Œp®_-¯]¯Eë¯-1°_°4x°!­°'Ï°$÷° ±_=±R±Oð±9@²:z²µ²‹Ó²Ã_³#¶¬>¶Bë¶A.·^p·sÏ·–CžšÚžWuº›Í»ôiœ:^¿m™Å†ƃŽÆ˜Ƕ«ÇõbÉ XËådÌÙJÏÒ$і÷ÑÆŽÒ–UÔïìԌÜ՚iלÙÚÂÚ$ ÞQÂçNécêÑì×Óîõ«ñ ¡ô›¬ö9Hø‚úÑœþ8n@§%èQ W` Lž^Zdc¿Ž#ÿØÔØ^­!f "+s"uŸ%q&‚‡&f '¡q'r(“†(l)‡)“%*|¹*R6+W‰+|á+x^,w×,œO-\ì-{I.§Å.Žm2Dü2cA4É¥6Ho7ž9qË>¶=?Pô?©ED ïDÞýHÖÜJg³NêRÒV‚ÙZ¡\[þ\ž^Ò.`˜bŸšc‘:e®Ìf{gՓhÇiiÆ1j¿øjcžkTmŸqmŠ0n—×nšoo/ pÙ:pðqôrÿúrúsÑwRÒ{J%}p~#€€b€‚ă\̃b)„\Œ„+é„…c•…Kù…€E†3ꆇ31‡:e‡N ‡=ï‡!-ˆ$Oˆ?tˆOŽˆa‰|f‰Lã‰=0Š¯nŠ§‹Æ‹eWŒYœŒp—tŽš}Ž”s­y!l›‘a‘^}‘TܑT1’U†’Qܒ‹.“<º“’÷“<Š”iǔc1•ϕ•±e–y—œ‘—v.˜|¥˜u"™E˜™*ޙ] šgš„šZ š;ûši7›$¡›*ƛEñ›97œNqœAÀœExHFÁgžCpžŠŽžš[Ÿ 9 N ‹a {í 2i¡"œ¡ž¿¢£x£r€C€3Ó€N¥EV¥Aœ¥MÞ¥J,Š}wŠqõŠdg§[̧_(š9ˆšÏšè’©<{­èž­[¡®Zý®‰X¯ªâ¯ö°¬8Ë) wGÓÝD^$Ö®ǒ—.Å•5%z;Ä:TÉÇ@șpRŸtœÏ!¯u6C3x0W“š`³º‰_Ã~€+'h¢JI ©Ž²eŽg§BÔ¹áˆ|Y*cØiŠ»,†yʇ¶rÕß±H}NA‹µ2Û1sq 9&ƅÎkS˜›¿Ò7œ×[·VŒ¡â„ž-MUÙÀLà–€£(­FEÍÜžK<v "fÐX>4]‘njm Ú=ãŠÞ# /{\”?°Ÿƒd PÑla¥Á«’ObšªQ‚Z dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. The current boolean settings do not allow this access. If you have not setup $SOURCE to require this access this may signal an intrusion attempt. If you do intend this access you need to change the booleans on this system to allow the access. SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH. $TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not happen. All Character and/or Block Devices should have a label. You can attempt to change the label of the file using restorecon -v '$TARGET_PATH'. If this device remains labeled device_t, then this is a bug in SELinux policy. Please file a bug report. If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH, you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' If the restorecon changes the context, this indicates that the application that created the device, created it without using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application. Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH' Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1" Changing the "$BOOLEAN" boolean to true will allow this access: "setsebool -P $BOOLEAN=1." Changing the "allow_ftpd_use_nfs" boolean to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1." Changing the file_context to mnt_t will allow mount to mount the file system: "chcon -t mnt_t '$TARGET_PATH'." You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug. Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off access as needed. If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux man page for further information: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t " You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t " If you trust $TARGET_PATH to run correctly, you can change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t '$TARGET_PATH'" You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" If you want $SOURCE to continue, you must turn on the $BOOLEAN boolean. Note: This boolean will affect all applications on the system. If you want httpd to send mail you need to turn on the $BOOLEAN boolean: "setsebool -P $BOOLEAN=1" If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1. If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # sandbox -X -t sandbox_net_t $SOURCE If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s. If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'". SELinux denied $SOURCE access to $TARGET_PATH. If this is a swapfile, it has to have a file context label of swapfile_t. If you did not intend to use $TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt. SELinux denied RSYNC access to $TARGET_PATH. If this is an RSYNC repository, it has to have a file context label of rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository, this message could indicate either a bug or an intrusion attempt. SELinux denied access requested by $SOURCE. $SOURCE_PATH may be mislabeled. $SOURCE_PATH default SELinux type is %s, but its current type is $SOURCE_TYPE. Changing this file back to the default type may fix your problem.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. $TARGET_PATH default SELinux type is %s, but its current type is $TARGET_TYPE. Changing this file back to the default type may fix your problem.

File contexts can be assigned to a file in the following ways.

This file could have been mislabeled either by user error, or if an normally confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not have been labeled with this type.

If you believe this is a bug, please file a bug report against this package. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. openvpn is allowed to read content in home directory if it is labeled correctly. SELinux denied access requested by $SOURCE. $TARGET_PATH may be mislabeled. sshd is allowed to read content in /root/.ssh directory if it is labeled correctly. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages. SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc. SELinux denied access to $TARGET_PATH requested by $SOURCE. $TARGET_PATH has a context used for sharing by a different program. If you would like to share $TARGET_PATH from $SOURCE also, you need to change its file context to public_content_t. If you did not intend to allow this access, this could signal an intrusion attempt. SELinux denied cvs access to $TARGET_PATH. If this is a CVS repository it needs to have a file context label of cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository it could indicate either a bug or it could signal an intrusion attempt. SELinux denied samba access to $TARGET_PATH. If you want to share this directory with samba it has to have a file context label of samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository, this message could indicate either a bug or an intrusion attempt. Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux. SELinux denied svirt access to $TARGET_PATH. If this is a virtualization image, it has to have a file context label of virt_image_t. The system is setup to label image files in directory./var/lib/libvirt/images correctly. We recommend that you copy your image file to /var/lib/libvirt/images. If you really want to have your image files in the current directory, you can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied svirt access to the block device $TARGET_PATH. If this is a virtualization image, it needs to be labeled with a virtualization file context (virt_image_t). You can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization image it could indicate either a bug or an intrusion attempt. SELinux denied xen access to $TARGET_PATH. If this is a XEN image, it has to have a file context label of xen_image_t. The system is setup to label image files in directory /var/lib/xen/images correctly. We recommend that you copy your image file to /var/lib/xen/images. If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen image it could indicate either a bug or an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to connect on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s). If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox. If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t. # sandbox -X -t sandbox_net_t $SOURCE If $SOURCE is not supposed to connect to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE access to potentially mislabeled files $TARGET_PATH. This means that SELinux will not allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s. Many third party apps install html files in directories that SELinux policy cannot predict. These directories have to be labeled with a file context which httpd can access. SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it. If $SOURCE should be allowed to listen on $PORT_NUMBER, use the semanage command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s). If $SOURCE is not supposed to bind to $PORT_NUMBER, this could signal an intrusion attempt. SELinux has denied the $SOURCE the ability to mmap low area of the kernel address space. The ability to mmap a low area of the address space is configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings helps protect against exploiting null deref bugs in the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel, this AVC would be generated. This is a serious issue. Your system may very well be compromised. SELinux has denied the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. Automounter can be setup to execute configuration files. If $TARGET_PATH is an automount executable configuration file it needs to have a file label of bin_t. If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt. SELinux has denied the http daemon from sending mail. An httpd script is trying to connect to a mail port or execute the sendmail command. If you did not setup httpd to sendmail, this could signal an intrusion attempt. SELinux has prevented $SOURCE from loading a kernel module. All confined programs that need to load kernel modules should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the selinux policy configuration. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the SELinux policy this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from modifying $TARGET. This denial indicates $SOURCE was trying to modify the way the kernel runs or to actually insert code into the kernel. All applications that need this access should have already had policy written for them. If a compromised application tries to modify the kernel this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux. Files under /sys/fs/selinux control the way SELinux is configured. All programs that need to write to files under /sys/fs/selinux should have already had policy written for them. If a compromised application tries to turn off SELinux this AVC will be generated. This is a serious issue. Your system may very well be compromised. SELinux has prevented vbetool from performing an unsafe memory operation. SELinux has prevented wine from performing an unsafe memory operation. SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem. Usually this happens when you ask the cp command to maintain the context of a file when copying between file systems, "cp -a" for example. Not all file contexts should be maintained between the file systems. For example, a read-only file type like iso9660_t should not be placed on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context for the destination. SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH. SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH. SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor. SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from changing the access protection of memory on the heap. SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER. SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem. SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation. SELinux is preventing $SOURCE_PATH from making the program stack executable. SELinux is preventing $SOURCE_PATH the "$ACCESS" capability. SELinux is preventing $SOURCE_PATH the "sys_resource" capability. SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux is preventing access to a file labeled unlabeled_t. SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH. SELinux is preventing the http daemon from sending mail. SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH. SELinux permission checks on files labeled unlabeled_t are being denied. unlabeled_t is a context the SELinux kernel gives to files that do not have a label. This indicates a serious labeling problem. No files on an SELinux box should ever be labeled unlabeled_t. If you have just added a disk drive to the system, you can relabel it using the restorecon command. For example if you saved the home directory from a previous installation that did not use SELinux, 'restorecon -R -v /home' will fix the labels. Otherwise you should relabel the entire file system. SELinux policy is preventing an httpd script from writing to a public directory. SELinux policy is preventing an httpd script from writing to a public directory. If httpd is not setup to write to public directories, this could signal an intrusion attempt. SELinux prevented $SOURCE from mounting a filesystem on the file or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default SELinux limits the mounting of filesystems to only some files or directories (those with types that have the mountpoint attribute). The type "$TARGET_TYPE" does not have this attribute. You can change the label of the file or directory. SELinux prevented $SOURCE from mounting on the file or directory "$TARGET_PATH" (type "$TARGET_TYPE"). SELinux prevented httpd $ACCESS access to $TARGET_PATH. httpd scripts are not allowed to write to content without explicit labeling of all files. If $TARGET_PATH is writable content. it needs to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux. SELinux prevented httpd $ACCESS access to http files. Ordinarily httpd is allowed full access to all files labeled with http file context. This machine has a tightened security policy with the $BOOLEAN turned off, this requires explicit labeling of all files. If a file is a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order to be executed. If it is read only content, it needs to be labeled httpd_TYPE_content_t. If it is writable content, it needs to be labeled httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the chcon command to change these context. Please refer to the man page "man httpd_selinux" or FAQ "TYPE" refers to one of "sys", "user" or "staff" or potentially other script types. SELinux prevented httpd $ACCESS access to http files. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem. CIFS (Comment Internet File System) is a network filesystem similar to SMB (http://www.microsoft.com/mind/1196/cifs.asp) The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As CIFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a CIFS filesystem this access attempt could signal an intrusion attempt. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem. NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux systems. The ftp daemon attempted to read one or more files or directories from a mounted filesystem of this type. As NFS filesystems do not support fine-grained SELinux labeling, all files and directories in the filesystem will have the same security context. If you have not configured the ftp daemon to read files from a NFS filesystem this access attempt could signal an intrusion attempt. Sometimes a library is accidentally marked with the execstack flag, if you find a library with this flag you can clear it with the execstack -c LIBRARY_PATH. Then retry your application. If the app continues to not work, you can turn the flag back on with execstack -s LIBRARY_PATH. The $SOURCE application attempted to change the access protection of memory on the heap (e.g., allocated using malloc). This is a potential security problem. Applications should not be doing this. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report against this package. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries do not need this permission. Libraries are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. You can configure SELinux temporarily to allow $TARGET_PATH to use relocation as a workaround, until the library is fixed. Please file a bug report. The $SOURCE application attempted to load $TARGET_PATH which requires text relocation. This is a potential security problem. Most libraries should not need this permission. The SELinux Memory Protection Tests web page explains this check. This tool examined the library and it looks like it was built correctly. So setroubleshoot can not determine if this application is compromised or not. This could be a serious issue. Your system may very well be compromised. Contact your security administrator and report this issue. The $SOURCE application attempted to make its stack executable. This is a potential security problem. This should never ever be necessary. Stack memory is not executable on most OSes these days and this will not change. Executable stack memory is one of the biggest security problems. An execstack error might in fact be most likely raised by malicious code. Applications are sometimes coded incorrectly and request this permission. The SELinux Memory Protection Tests web page explains how to remove this requirement. If $SOURCE does not work and you need it to work, you can configure SELinux temporarily to allow this access until the application is fixed. Please file a bug report. Use a command like "cp -p" to preserve all permissions except SELinux context. You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH' You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" You can execute the following command as root to relabel your computer system: "touch /.autorelabel; reboot" You can generate a local policy module to allow this access - see FAQ Please file a bug report. You can generate a local policy module to allow this access - see FAQ You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. # restorecon -R /root/.ssh You can restore the default system context to this file by executing the restorecon command. restorecon '$SOURCE_PATH'. You can restore the default system context to this file by executing the restorecon command. restorecon '$TARGET_PATH', if this file is a directory, you can recursively restore using restorecon -R '$TARGET_PATH'. Your system may be seriously compromised! Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory. Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module. Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement. Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration. Disable IPV6 properly. Either remove the mozplluger package by executing 'yum remove mozplugger' Or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0 Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0 If you decide to continue to run the program in question you will need to allow this operation. This can be done on the command line by executing: # setsebool -P mmap_low_allowed 1 SELinux denied an operation requested by $SOURCE, a program used to alter video hardware state. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as vbetool. This tool is used to reset video state when a machine resumes from a suspend. If your machine is not resuming properly your only choice is to allow this operation and reduce your system security against such malware. SELinux denied an operation requested by wine-preloader, a program used to run Windows applications under Linux. This program is known to use an unsafe operation on system memory but so are a number of malware/exploit programs which masquerade as wine. If you were attempting to run a Windows program your only choices are to allow this operation and reduce your system security against such malware or to refrain from running Windows applications under Linux. If you were not attempting to run a Windows application this indicates you are likely being attacked by some for of malware or program trying to exploit your system for nefarious purposes. Please refer to http://wiki.winehq.org/PreloaderPageZeroProblem Which outlines the other problems wine encounters due to its unsafe use of memory and solutions to those problems. Turn on full auditing # auditctl -w /etc/shadow -p w Try to recreate AVC. Then execute # ausearch -m avc -ts recent If you see PATH record check ownership/permissions on file, and fix it, otherwise report as a bugzilla. You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command. seinfo -afile_type -x Changing the "$BOOLEAN" and "$WRITE_BOOLEAN" booleans to true will allow this access: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1". warning: setting the "$WRITE_BOOLEAN" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on CIFS filesystems. Changing the "allow_ftpd_use_nfs" and "ftpd_anon_write" booleans to true will allow this access: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1". warning: setting the "ftpd_anon_write" boolean to true will allow the ftp daemon to write to all public content (files and directories with type public_content_t) in addition to writing to files and directories on NFS filesystems. # ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' where FILE_TYPE is one of the following: %s. Then execute: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER where PORT_TYPE is one of the following: %s.A process might be attempting to hack into your system.Add net.ipv6.conf.all.disable_ipv6 = 1 to /etc/sysctl.conf Allow this access for now by executing: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppChange file context.Change labelChange label on the library.Change the file label to xen_image_t.Contact your security administrator and report this issue.Disable SELinux controls on Chrome pluginsEnable booleansEnable booleans.If $TARGET_BASE_PATH is a virtualization targetIf $TARGET_BASE_PATH should be shared via the RSYNC daemonIf $TARGET_BASE_PATH should be shared via the cvs daemonIf you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH filesIf you believe $SOURCE_PATH tried to disable SELinux.If you believe that %s should not require execstackIf you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.If you did not directly cause this AVC through testing.If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modulesIf you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.If you do not want processes to require capabilities to use up all the system resources on your system;If you think this is caused by a badly mislabeled machine.If you want to %sIf you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.If you want to allow $SOURCE_PATH to be able to write to shared public contentIf you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBERIf you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBERIf you want to allow ftpd to write to cifs file systemsIf you want to allow ftpd to write to nfs file systemsIf you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.If you want to allow httpd to send mailIf you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.If you want to disable IPV6 on this machineIf you want to fix the label. $SOURCE_PATH default label should be %s.If you want to fix the label. $TARGET_PATH default label should be %s.If you want to help identify if domain needs this access or you have a file with the wrong permissions on your systemIf you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on itIf you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS accessIf you want to to continue using SELinux Firefox plugin containment rather then using mozplugger packageIf you want to treat $TARGET_BASE_PATH as public contentIf you want to use the %s packageRelabel the whole file system. Includes reboot!Restore ContextRestore ContextSELinux is preventing $SOURCE_PATH "$ACCESS" access.Set the image label to virt_image_t.This is caused by a newly created file system.Try to fix the label.Turn off memory protectionYou can read '%s' man page for more details.You might have been hacked.You must tell SELinux about this by enabling the '%s' boolean. You need to change the label on $FIX_TARGET_PATHYou need to change the label on $TARGET_BASE_PATHYou need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.You need to change the label on $TARGET_BASE_PATH'You need to change the label on $TARGET_PATH to a type of a similar device.You need to change the label on '$FIX_TARGET_PATH'You should report this as a bug. You can generate a local policy module to allow this access.You should report this as a bug. You can generate a local policy module to dontaudit this access.execstack -c %sif you think that you might have been hackedsetsebool -P %s %sturn on full auditing to get path information about the offending file and generate the error again.use a command like "cp -p" to preserve all permissions except SELinux context.you can run restorecon.you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.you may be under attack by a hacker, since confined applications should never need this access.you may be under attack by a hacker, since confined applications should not need this access.you may be under attack by a hacker, this is a very dangerous access.you must change the labeling on $TARGET_PATH.you must fix the labels.you must move the cert file to the ~/.cert directoryyou must pick a valid file label.you must remove the mozplugger package.you must setup SELinux to allow thisyou must tell SELinux about thisyou must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleansyou must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.you must turn off SELinux controls on the Chrome plugins.you must turn off SELinux controls on the Firefox plugins.you need to add labels to it.you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.you need to diagnose why your system is running out of system resources and fix the problem. According to /usr/include/linux/capability.h, sys_resource is required to: /* Override resource limits. Set resource limits. */ /* Override quota limits. */ /* Override reserved space on ext2 filesystem */ /* Modify data journaling mode on ext3 filesystem (uses journaling resources) */ /* NOTE: ext2 honors fsuid when checking for resource overrides, so you can override using fsuid too */ /* Override size restrictions on IPC message queues */ /* Allow more than 64hz interrupts from the real-time clock */ /* Override max number of consoles on console allocation */ /* Override max number of keymaps */ you need to fully relabel.you need to modify the sandbox type. sandbox_web_t or sandbox_net_t. For example: sandbox -X -t sandbox_net_t $SOURCE_PATH Please read 'sandbox' man page for more details. you need to report a bug. This is a potentially dangerous access.you need to report a bug. This is a potentially dangerous access.you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.you should clear the execstack flag and see if $SOURCE_PATH works correctly. Report this as a bug on %s. You can clear the exestack flag by executing:Project-Id-Version: PACKAGE VERSION Report-Msgid-Bugs-To: PO-Revision-Date: 2020-07-24 04:27-0400 Last-Translator: Copied by Zanata Language-Team: Japanese (http://www.transifex.com/projects/p/fedora/language/ja/) Language: ja MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Plural-Forms: nplurals=1; plural=0; X-Generator: Zanata 4.6.2 \tdac_override ず dac_read_search の機胜は通垞、root プロセスがパヌミッションフラグを基にしたファむルぞのアクセスを持たないこずを衚瀺したす。これは通垞、ナヌザヌがそのファむルに間違えた所有暩/パヌミッションを持っおいるこずを意味したす。 SELinux は、$SOURCE により芁求されたアクセスを拒吊したした。 このアクセスは $SOURCE に必芁であるず想定されないため、䞍正䟵入 の詊みがなされた可胜性がありたす。 たた、 アプリケヌションの特定 バヌゞョンたたは蚭定が远加アクセス芁求の原因ずなっおいる可胜性 もありたす。 SELinux は $SOURCE により芁求されたアクセスを拒吊したした。 珟圚のブヌリアン蚭定では、このアクセスが蚱可されおいたせん。このアクセスを 芁求するように $SOURCE を蚭定しおいない堎合、䞍正䟵入の詊みがなされた 可胜性がありたす。 アクセスする必芁がある堎合は、このシステム䞊でブヌリアン倀を倉曎し、アクセスを蚱可する必芁がありたす。 SELinux は、デバむス $TARGET_PATH ぞの $SOURCE による "$ACCESS" アクセスを拒吊しおいたす。 $TARGET_PATH には誀ったラベルが付けられおいたす。このデバむスには /dev ディレクトリヌのデフォルトラベルがありたすが、これは誀った蚭定です。すべおのキャラクタヌデバむスおよびブロックデバむス、たたはどちらか䞀方にはラベルがなければなりたせん。 以䞋を実行しおファむルのラベル倉曎を詊行するこずができたす。 restorecon -v $TARGET_PATH このデバむスのラベルが device_t のたたである堎合、これは SELinux ポリシヌのバグずいうこずになりたす。 バグレポヌトを提出しおください。 他にも同様のデバむスラベルを確認するために ls -lZ /dev/SIMILAR を実行し、 $TARGET_PATH に察しお動䜜するず想定されるタむプを芋぀けたら chcon -t SIMILAR_TYPE $TARGET_PATH を䜿甚したす。これで問題が解決する堎合は、以䞋を実行しお氞続的に倉曎したす。 emanage fcontext -a -t SIMILAR_TYPE $FIX_TARGET_PATH restorecon がコンテキストを倉曎する堎合は、 デバむスを䜜成したアプリケヌションが SELinux API を䜿甚せずに䜜成したずいうこずを瀺しおいたす。 デバむスを䜜成したアプリケヌションを刀別できる堎合は、そのアプリケヌションに぀いおのバグレポヌトを提出しおください。 restorecon -v $TARGET_PATH たたは chcon -t SIMILAR_TYPE $TARGET_PATH を詊しおください。 "$BOOLEAN" boolean 倀を true に倉曎するず、このアクセスを蚱可したす "setsebool -P $BOOLEAN=1" "$BOOLEAN" boolean を true に倉曎するず、このアクセスが蚱可されたす: "setsebool -P $BOOLEAN=1." "allow_ftpd_use_nfs" boolean を true に倉曎するず、このアクセスが蚱可されたす: "setsebool -P allow_ftpd_use_nfs=1." file_context を mnt_t に倉曎するず、mount によるファむルシステムのマりントが 蚱可されたす: "chcon -t mnt_t '$TARGET_PATH'" たた、完党にラベルを付け盎した埌でもそのマりントを保持できるように、システムでデフォルトのファむルコンテキストファむルを倉曎する必芁がありたす。"semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'" 制限されたドメむンでは "sys_resource" を必芁ずしたせん。 ぀たり、 通垞はディスク領域、 メモリヌ、 クォヌタなどのシステムリ゜ヌスがそのシステムに䞍足しおいるこずになりたす。 ディスク領域を解攟するず、この AVC メッセヌゞは衚瀺されなくなるはずです。 ディスク領域を解攟しおも AVC メッセヌゞが衚瀺される堎合は、この問題をバグずしお報告しおください。 別のアクセスを必芁ずする、限定されたプロセスを実行するように蚭定できたす。 SELInux は必芁に応じお、ナヌザヌがアクセスをオン/オフに切り替えできる ブヌリアン倀を提䟛したす。 httpd スクリプトによるパブリックディレクトリヌぞの曞き蟌みを蚱可する堎合、 $BOOLEAN boolean をオンにしお、パブリックディレクトリヌのファむルコンテキストを public_content_rw_t に倉曎する必芁がありたす。 詳现に぀いおは httpd_selinux の man ペヌゞをご芧ください: "setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t" たた、 完党な再ラベル付けを行なった埌もパブリックディレクトリヌのラベルを維持させたい堎合は、 システムのデフォルトのファむルコンテキストラベル蚭定ファむルも倉曎する必芁がありたす。 "semanage fcontext -a -t public_content_rw_t " $TARGET_PATH が正しく実行するこずを信甚できる堎合は、ファむルコンテキストを textrel_shlib_t ぞ倉曎するこずができたす。"chcon -t textrel_shlib_t '$TARGET_PATH'" たた、システムのデフォルトファむルコンテキストのファむルを、完党な再ラベルでも保持するために、倉曎しなければなりたせん。"semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'" $SOURCE を継続したい堎合は、$BOOLEAN boolean をオンにする必芁があり たす。 泚蚘: この boolean はシステム䞊の党アプリケヌションに圱響 したす。 httpd にメヌル送信をさせる堎合は、 $BOOLEAN boolean をオンにする必芁がありたす: "setsebool -P $BOOLEAN=1" $SOURCE がポヌト $PORT_NUMBER にバむンドできるようにしたい堎合、以䞋コマンドを実行したす。 # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER ここで PORT_TYPE は䞋のいずれかです: %s. 䜿甚システムが NIS クラむアントずしお皌働しおいる堎合、 allow_ypbind boolean をオンにするず問題が解決する可胜性がありたす。setsebool -P allow_ypbind=1 $SOURCE による $PORT_NUMBER ぞの接続を蚱可する堎合は、以䞋を実行したす。 # sandbox -X -t sandbox_net_t $SOURCE $SOURCE による $PORT_NUMBER ぞの接続を蚱可する堎合は、 以䞋を実行したす。 # semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER ここで、PORT_TYPE は 以䞋のいずれかずなりたす: %s 。 自動マりンタヌで実行できるように $TARGET_PATH のファむルコンテキストを倉曎する堎合は、 "chcon -t bin_t $TARGET_PATH" を実行したす。 再ラベル埌もこの倉曎を維持させる堎合は、 ファむルコンテキストを氞続的に倉曎する必芁がありたす。 "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'" を実行したす。 SELinux は、$TARGET_PATH ぞの $SOURCE アクセスを拒吊したした。 スワップファむルの堎合は、swapfile_t のファむルコンテキストラベルが 必芁です。$TARGET_PATH をスワップファむルずしお䜿甚する意図がなかった 堎合、このメッセヌゞは、バグか、䞍正䟵入が詊みられた可胜性を瀺しおいたす。 SELinux は、RSYNC が $TARGET_PATH にアクセスするのを拒吊したした。 これが RSYNC リポゞトリヌであるなら、rsync_data_t のファむル コンテキストラベルが必芁になりたす。$TARGET_PATH を RSYNC リポゞトリヌずしお䜿甚する予定ではなかった堎合、 このメッセヌゞは、バグか、䞍正䟵入が詊みられた可胜性を瀺しおいたす。 SELinux により、$SOURCE が芁求したアクセスが拒吊されたした。 $SOURCE_PATH に誀ったラベルが付けられおいる可胜性がありたす。 $SOURCE_PATH のデフォルトの SELinux タむプは%s ですが、 珟圚のタむプは $SOURCE_TYPE です。 このファむルのタむプをデフォルトに戻すず、問題が解決する堎合がありたす。

ナヌザヌ゚ラヌか、通垞の制限されたアプリケヌションが誀ったドメむンで 実行されたこずにより、このファむルには誀ったラベルが付けられた可胜性がありたす。

しかし、このファむルにこのタむプのラベルが付けられるはずがないため、 SELinux のバグである可胜性もありたす。

これがバグだず思われる堎合は、このパッケヌゞに぀いおバグレポヌトを提出しおください。 SELinux は、$SOURCE により芁求されたアクセスを拒吊したした。$TARGET_PATH には 誀ったラベルが付けられおいる可胜性がありたす。$TARGET_PATH におけるデフォルトの SELinux タむプは、 %s ですが、珟圚のタむプは $TARGET_TYPE です。このファむルを デフォルトのタむプに戻すこずにより、問題が解決される可胜性がありたす。

ファむルのコンテキストは、以䞋の方法で 1 ぀のファむルに割り圓おるこずができたす。

ナヌザヌ゚ラヌか、通垞の制玄されたアプリケヌションが間違ったドメむンで実行されたこずにより、このファむルには誀ったラベルが付けられた可胜性がありたす。

しかし、このファむルにこのタむプのラベルが付けられるはずがないため、これは SELinux 内のバグである可胜性もありたす。

これがバグだず思われる堎合は、このパッケヌゞに぀いおバグレポヌトを䜜成しおください。 SELinux は、$SOURCE が芁求するアクセスを拒吊したした。$TARGET_PATH には誀ったラベルが付けられおいる可胜性がありたす。ラベルが適切に蚭定されおいる堎合、 openvpn はホヌムディレクトリヌのコンテンツを読み蟌むこずができたす。 SELinux は $SOURCE により芁求されたアクセスを拒吊したした。$TARGET_PATH に 誀ったラベルが付けられおいる可胜性がありたす。ラベルが適切に蚭定されおいる堎合、 sshd は /root/.ssh ディレクトリヌのコンテンツを読み蟌むこずができたす。 SELinux は、$SOURCE により芁求されたアクセスを拒吊したした。 このアクセスは $SOURCE に必芁であるず想定されないため、䞍正䟵入 の詊行を瀺しおいる可胜性がありたす。 たた、 アプリケヌションの特定 バヌゞョンたたは蚭定が远加アクセス芁求の原因ずなっおいる可胜性 もありたす。 SELinux は、$SOURCE が芁求したアクセスを拒吊したした。$SOURCE がこのアクセスを芁求するこずは想定されおおらず、䞍正䟵入の詊みである可胜性がありたす。アプリケヌションで特定のバヌゞョンたたは蚭定で、远加アクセスが必芁ずなっおいる可胜性もありたす。mozplugger および spice-xpi は、デスクトップぞのアクセスを必芁ずする mozilla-plugins でアプリケヌションを実行し、mozilla_plugin ロックダりンは蚱可されないこずから、mozilla_plugin ロックダりンをオフにするか、これらのパッケヌゞを䜿甚しないようにする必芁がありたす。 SELinux は、$SOURCE が芁求したアクセスを拒吊したした。$SOURCE がこのアクセスを必芁ずするこずは想定されおおらず、このアクセスは䟵入の詊行である可胜性がありたす。アプリケヌションの特定のバヌゞョンたたは蚭定により、远加アクセスが必芁ずなっおいる可胜性もありたす。spice-xpi は、デスクトップぞのアクセスを必芁ずする mozilla-plugins 内でアプリケヌションを実行し、mozilla_plugin ロックダりンは蚱可されないこずから、mozilla_plugin ロックダりンをオフにするか、これらのパッケヌゞを䜿甚しないようにする必芁がありたす。 SELinux は、$SOURCE コマンドが芁求するアクセスを拒吊したした。これは、 ディスクリプタヌがリヌクしたか、アクセスの蚱可がないファむルに $SOURCE の出力が再転送されたように芋えたす。SELinux は、リヌクを閉じお゚ラヌを報告するため、リヌクは通垞無芖されたす。このアプリケヌションは、このディスクリプタヌを䜿甚しないため、正垞に皌働したす。これが再転送であった堎合、$TARGET_PATH には出力されたせん。selinux-policy に bugzilla を生成する必芁になり、これにより、適切なパッケヌゞに送られたす。この avc は、無芖しおも問題はありたせん。 SELinux により、$SOURCE が芁求した $TARGET_PATH ぞのアクセスが拒吊されたした。 $TARGET_PATH には、 別のプログラムで共有に䜿甚されるコンテキストがありたす。 $SOURCE からも $TARGET_PATH を共有したい堎合、そのファむルコンテキストを public_content_t に倉曎する必芁がありたす。このアクセスを意図的に蚱可しお いなかった堎合は、䞍正䟵入が行なわれた可胜性がありたす。 SELinux は、$TARGET_PATH ぞの cvs アクセスを拒吊したした。 これが CVS リポゞトリヌの堎合は、 cvs_data_t のファむルコンテキストラベルが 必芁です。CVS リポゞトリヌずしお $TARGET_PATH を䜿甚する぀もりではなかった堎合、 これはバグであるか、䞍正䟵入の詊行を瀺しおいる可胜性がありたす。 SELinux は、samba が $TARGET_PATH ぞアクセスするのを拒吊したした。 このディレクトリヌを samba ず共有したい堎合は、samba_share_t の ファむルコンテキストラベルが必芁です。$TARGET_PATH を samba リポゞトリヌ ずしお䜿甚する意図ではなかった堎合、このメッセヌゞは、バグか、 䞍正䟵入が詊みられた可胜性を瀺しおいたす。 Samba ず SELinux のセットアップに関する詳现は 'man samba_selinux' を参照しおください。 SELinux により、$TARGET_PATH ぞの svirt アクセスが拒吊されたした。 これが仮想化むメヌゞの堎合は、virt_image_t ずいうファむルコンテキストラベルが 必芁です。システムは、/var/lib/libvirt/images ディレクトリヌでむメヌゞファむルに正垞 にラベル付けするように蚭定されおいたす。お䜿いのむメヌゞファむルを /var/lib/libvirt/images にコピヌするようお勧めしたす。珟圚のディレクトリヌにむメヌゞファむルがどうしおも必芁な堎合は、chcon を䜿甚しお $TARGET_PATH のラベルを virt_image_t ぞず倉曎できたす。たた、semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' を実行しお、この新しいパスを システムデフォルトに远加する必芁がありたす。$TARGET_PATH を仮想化むメヌゞずしお䜿甚する 意図がなかった堎合は、バグたたは䞍正䟵入の詊行を瀺しおいる可胜性がありたす。 SELinux により、ブロックデバむス $TARGET_PATH ぞの svirt アクセスが拒吊されたした。 これが仮想化むメヌゞの堎合、仮想化ファむルコンテキスト (virt_image_t) でラベル付けする必芁がありたす。chcon を䜿甚しお、$TARGET_PATH が virt_image_t ずなるようラベルを倉曎できたす。たた、semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' を実行しお、 この新しいパスをシステムデフォルトに远加する必芁がありたす。$TARGET_PATH を仮想化むメヌゞずしお䜿甚する意図がない堎合は、 バグたたは䞍正䟵入の詊行を瀺しおいる可胜性がありたす。 SELinux により、$TARGET_PATH ぞの xen のアクセスが拒吊されたした。 これが XEN むメヌゞの堎合は、 xen_image_t のファむルコンテキストラベルが 必芁がありたす。 システムは、/var/lib/xen/images ディレクトリ内でむメヌゞファむル にラベル付けを行なうよう正しく蚭定されおいたす。 䜿甚するむメヌゞファむルを /var/lib/xen/images ディレクトリヌにコピヌするこずをお勧めしたす。 どうしおも xen むメヌゞ ファむルを珟圚のディレクトリヌに配眮する必芁がある堎合は、 chcon を䜿甚しお $TARGET_PATH に xen_image_t のラベルを付け盎しおください。 たた、 semanage fcontext -a -t xen_image_t '$FIX_TATGET_PATH' を実行しお、 この新しい パスをシステムのデフォルト蚭定に远加する必芁がありたす。 $TARGET_PATH を xen むメヌゞ ずしお䜿甚する意図がなかった堎合は、 バグたたは䞍正䟵入の詊行を瀺しおいる可胜性がありたす。 $SOURCE による、ポヌトに関連付けられた SELinux タむプを持たないネットワヌクポヌト $PORT_NUMBER ぞの接続を、SELinux は拒吊したした。 $SOURCE の $PORT_NUMBER での接続を蚱可する必芁がある堎合は、semanage コマンドを䜿甚しお、$PORT_NUMBER を、$SOURCE_TYPE が接続できるポヌトタむプに割り圓おたす (%s)。 $SOURCE による $PORT_NUMBER ぞの接続が想定されおいない堎合は、 䞍正䟵入の詊行が瀺唆される可胜性がありたす。 SELinux は、$SOURCE が、サンドボックスの䞭でネットワヌクポヌト $PORT_NUMBER に接続するこずを拒吊したした。 $SOURCE による $PORT_NUMBER ぞの接続を蚱可する堎合は、sandbox_web_t や sandbox_net_t などの別のサンドボックスタむプを䜿甚する必芁がありたす。 # sandbox -X -t sandbox_net_t $SOURCE $SOURCE による $PORT_NUMBER ぞの接続がサポヌトされおいない堎合、 これは、䟵入の詊みである可胜性がありたす。 SELinux により、誀ったラベル付けの可胜性のある $TARGET_PATH ファむル ぞの $SOURCE アクセスが拒吊されおいたす。これは、SELinux では httpd によるこれらのファむルの䜿甚が蚱可されないずいうこずになりたす。 httpd に、こうしたファむルぞの同様の アクセスを蚱可する堎合は、 ファむルコンテキストを次のいずれかのタむプに倉曎する必芁がありたす、%s。 倚くのサヌドパヌティヌのアプリケヌションでは、 SELinux ポリシヌでは 予枬できないディレクトリヌに、html ファむルがむンストヌルされたす。 これらのディレクトリヌには、httpd によるアクセスが可胜なファむルコンテキスト でラベル付けを行なう必芁がありたす。 $SOURCE が、ポヌトに関連付けられた SELinux タむプを持たないネットワヌクポヌト $PORT_NUMBER にバむンドするこずを、SELinux は拒吊したした。 $SOURCE の、$PORT_NUMBER でのリッスンを蚱可する必芁がある堎合、 semanage コマンドを䜿甚しお $PORT_NUMBER を $SOURCE_TYPE が バむンドできるポヌトタむプぞ割り圓おたす (%s) 。 $SOURCE による $PORT_NUMBER ぞのバむンドが想定されおいない堎合、 䞍正䟵入の詊行が瀺唆される可胜性がありたす。 SELinux は、カヌネルのアドレス空間の䜎䜍眮を mmap する $SOURCE の機胜を 拒吊したした。アドレス領域の䜎䜍眮を mmap する機胜は、 /proc/sys/kernel/mmap_min_addr で蚭定されたす。このようなマッピングを拒吊するず、 カヌネルで null deref バグを悪甚するのを防ぐこずができたす。このアクセスを 必芁ずするアプリケヌションは、すべお独自のポリシヌが蚘述されおいるはずです。 セキュリティヌ䟵害されたアプリケヌションがカヌネルの修正を詊みるず、 この AVC が生成されたす。これは深刻な問題です。ご䜿甚のシステムは、非垞に 高い確率で、セキュリティが䟵害されおいる可胜性がありたす。 SELinux は、$SOURCE_PATH が間違ったラベルを持぀可胜性のあるファむル $TARGET_PATH を実行するのを拒吊したした。蚭定ファむルを実行するように、 自動マりンタヌを蚭定できたす。 $TARGET_PATH が、自動マりントで実行可胜な 蚭定ファむルである堎合は、bin_t のファむルラベルを持぀必芁がありたす。 自動マりンタヌが想定されおいないものを実行しようずしおいる堎合は、 これは䞍正䟵入を瀺唆しおいる可胜性がありたす。 SELinux は、http デヌモンによるメヌル送信を拒吊したした。 httpd スクリプトが、メヌルポヌトぞの接続、たたは sendmail コマンドの実行を詊行しおいたす。 httpd に sendmail を蚭定しおいない堎合は、 䞍正䟵入が詊みられた可胜性がありたす。 SELinux は $SOURCE による カヌネルモゞュヌルのロヌドを阻止したした。 カヌネルモゞュヌルをロヌドする必芁のあるすべおの制限されたプログラムで、それぞれのポリシヌが事前に䜜成されおいる必芁がありたした。セキュリティヌのリスクにさらされおいるアプリケヌションがカヌネルを修正しようずするず、この AVC が生成されたす。これは重倧な問題です。ご䜿甚のシステムはセキュリティヌのリスクにさらされおいる可胜性がありたす。 SELinux は、$SOURCE による $TARGET の修正を阻止したした。この阻止は $SOURCE が、selinux ポリシヌ蚭定を修正しようずしおいたこずを 瀺したす。 このアクセスを必芁ずするすべおのアプリケヌションで、それぞれのポリシヌが事前に蚭定されおいる必芁がありたした。セキュリティヌのリスクにさらされおいるアプリケヌションが SELinux ポリシヌを修正しようずするず、この AVC が生成されたす。これは重倧な問題です。 ご䜿甚のシステムは、セキュリティヌのリスクにさらされおいる可胜性がありたす。 SELinux は、$SOURCE による $TARGET の修正を阻止したした。これは、$SOURCE がカヌネルの 実行方法を修正しようずしおいたか、たたはそのカヌネルにコヌドを挿入しようずしおいたこずを 瀺したす。このアクセスを必芁ずするすべおのアプリケヌションで、それぞれのポリシヌが事前に 䜜成されおいる必芁がありたす。セキュリティヌのリスクにさらされおいるアプリケヌション がカヌネルを修正しようずするず、この AVC が生成されたす。 これは深刻な問題です。 ご䜿甚のシステムは、セキュリティヌのリスクにさらされおいる可胜性がありたす。 SELinux は、$SOURCE が /sys/fs/selinux 内のファむルに曞き蟌むのを阻止したした。 /sys/fs/selinux のファむルは、SELinux に蚭定された方法で制埡されたす。 /sys/fs/selinux のファむルぞの曞き蟌みが必芁なすべおのプログラムには、それぞれの ポリシヌが事前に䜜成されおいる必芁がありたした。セキュリティヌのリスクにさらされおいる アプリケヌションが SELinux を無効にしようずするず、この AVC が生成されたす。これは重芁な問題です。 ご䜿甚のシステムは、セキュリティヌのリスクにさらされおいる可胜性がありたす。 SELinux は vbetool による安党でないメモリヌ操䜜を阻止 したした SELinux は、安党でないメモリヌ操䜜を wine が行うのを阻止したした。 SELinux により、$SOURCE は、ファむルシステムに、$SOURCE_TYPE のコンテキストを持぀ファむルを䜜成できたせん。 通垞、これは、たずえば "cp -a" のように、ファむルシステム間でのコピヌの実行時に、 cp コマンドにファむルのコンテキストを維持するように䟝頌する際に生じたす。すべおのファむルコンテキストがファむルシステム間で維持されるべきではありたせん。 たずえば、iso9660_t のような読み蟌み専甚のファむルタむプは、 r/w システムに眮くべきではありたせん。 "cp -p" は、コピヌ先のデフォルトファむルコンテキストを採甚するため、"cp -a" より適切な可胜性がありたす。 SELinux は、 $TARGET_PATH ぞの $SOURCE_PATH による "$ACCESS" アクセスを阻止しおいたす。 SELinux により、$SOURCE_PATH から $TARGET_PATH ぞの "$ACCESS" アクセスができたせん。 SELinux は 、デバむス $TARGET_PATH ぞの $SOURCE_PATH による "$ACCESS" アクセスを阻止しおいたす。 SELinux は $TARGET_PATH ぞの $SOURCE_PATH による "$ACCESS" を阻止しおいたす。 SELinux は、挏掩した $TARGET_PATH のファむルディスクリプタヌに $SOURCE_PATH がアクセスするこずを阻止しおいたす。 SELinux は、$SOURCE_PATH によるポヌト $PORT_NUMBER ぞのバむンドを阻止しおいたす。 SELinux は、$SOURCE_PATH が、ヒヌプのメモリヌぞのアクセス保護を 倉曎するこずを阻止しおいたす。 SELinux は、$SOURCE_PATH によるポヌト $PORT_NUMBER ぞの接続を拒吊しおいたす。 SELinux により、$SOURCE_PATH が、ファむルシステムに $SOURCE_TYPE のコンテキストでファむルを䜜成できたせん。 SELinux が、テキストの再配眮を芁求する $TARGET_PATH を、$SOURCE_PATH がロヌドするこずを拒吊しおいたす。 SELinux により、$SOURCE_PATH がプログラムスタックを実行可胜にするこずができたせん。 SELinux は $SOURCE_PATH の "$ACCESS" 機胜を阻止しおいたす。 SELinux は $SOURCE_PATH の "sys_resource" 機胜を阻止しおいたす。 SELinux は、$TARGET_PATH ぞの Samba ($SOURCE_PATH) による "$ACCESS" アクセスを阻止しおいたす。 SELinux は、unlabeled_t ずラベル付けされたファむルぞのアクセスを阻止しおいたす。 SELinux は、cvs ($SOURCE_PATH) による $TARGET_PATH ぞの "$ACCESS" アクセスを阻止しおいたす SELinux は、$SOURCE_PATH による、誀ったラベル付けの可胜性のあるファむル $TARGET_PATH の䜿甚を阻止しおいたす。 SELinux により、http デヌモンによるメヌル送信ができたせん。 SELinux は、$TARGET_PATH ぞの xen ($SOURCE_PATH) による "$ACCESS" アクセスを阻止しおいたす。 unlabeled_t ずラベル付けされたファむルの SELinux パヌミッションチェック は拒吊されおいたす。unlabeled_t は、SELinux カヌネルがラベルを持たない ファむルに䞎えるコンテキストです。これは、深刻なラベル付けの問題を 瀺しおいたす。SELinux ボックス䞊のファむルには、unlabeled_t ずいうラベル を絶察に付けないでください。システムにディスクドラむブを远加したばかり の堎合は、restorecon コマンドを䜿甚しおラベルを付け盎すこずができたす。 たずえば、SELinux を䜿甚しおいない以前のむンストヌルからホヌムディレクトリヌを保存した堎合、'restorecon -R -v /home' がラベルを修正したす。 それ以倖の堎合は、ファむルシステム党䜓のラベルを倉曎する必芁がありたす。 SELinux ポリシヌにより、httpd スクリプトのパブリックディレクトリヌぞの曞き蟌みが 拒吊されたす。 SELinux ポリシヌにより、httpd スクリプトのパブリックディレクトリヌぞの曞き蟌みが 拒吊されたす。 httpd に、パブリックディレクトリヌぞの曞き蟌みが蚭定されおいない 堎合は、 セキュリティ䟵害の詊みがなされた可胜性がありたす。 SELinux は、$SOURCE が、タむプ "$TARGET_TYPE" の "$TARGET_PATH" のファむルたたは ディレクトリヌにファむルシステムをマりントするこずを阻止したした。デフォルトでは、 SELinux は、ファむルシステムのマりントを、䞀郚のファむルやディレクトリヌ (マりントポむント属性があるタむプが含たれるもののみ) に制限したす。タむプ "$TARGET_TYPE" にはこの属性がありたせん。ファむルたたはディレクトリヌのラベルは倉曎するこずができたす。 SELinux により、"$TARGET_PATH" ずいう名前のファむルたたはディレクトリヌ (タむプ "$TARGET_TYPE") における、$SOURCE によるマりントが阻止されたした。 SELinux は httpd の $TARGET_PATH ぞの $ACCESS アクセスを阻止したした。 httpd スクリプトは、すべおのファむルに明瀺的なラベルがなければ、コンテンツに 曞き蟌むよう蚱可されたせん。$TARGET_PATH が曞き蟌み可胜なコンテンツである 堎合、httpd_sys_rw_content_t のラベルが必芁ずなり、远蚘が必芁なだけの堎合は、 httpd_sys_ra_content_t のラベルを付けたす。httpd ず selinux の蚭定に関する詳现は、'man httpd_selinux' を参照しお䞋さい。 SELinux により、http ファむルぞの httpd $ACCESS アクセスが阻止されたした。 通垞の httpd の堎合、 http ファむルコンテキストのラベルが付けられたファむルには完党アクセスが 蚱可されたす。 このマシンでは、 $BOOLEAN がオフに蚭定され、 セキュリティヌポリシヌが 匷化されおいたす。このため、 すべおのファむルに明瀺的なラベル付けを行う必芁がありたす。 ファむルが cgi スクリプトの堎合は、 スクリプトを実行するために httpd_TYPE_script_exec_t のラベル を付ける必芁がありたす。読み取り専甚のコンテンツの堎合は、 httpd_TYPE_content_t のラベルを 付けたす。 曞蟌み可胜なコンテンツなら、 httpd_TYPE_script_rw_t たたは httpd_TYPE_script_ra_t の ラベルを付ける必芁がありたす。 コンテキストは、chcon コマンドを䜿甚しお倉曎できたす。 man ペヌゞの "man httpd_selinux" を参照するか、 FAQ をご芧ください。 "TYPE" は "sys"、 "user"、 "staff" を参照しおいるか、他のスクリプトタむプのいずれかを参照しおいる堎合がありたす。 SELinux により、httpd は、 http ファむルぞの $ACCESS アクセスを阻止したした。 SELinux は、$ACCESS から、CIFS ファむルシステム䞊に保存されおいるファむルぞ、ftp デヌモンがアクセスするのを阻止したした。 SELinux は、CIFS ファむルシステムに栌玍されおいるファむルぞ、ftp デヌモンが $ACCESS するのを阻止したした。 CIFS (Comment Internet File System) は、SMB ず同様のネットワヌクファむルシステムです、 (http://www.microsoft.com/mind/1196/cifs.asp)。 ftp デヌモンは、マりントされおいるこのタむプのファむルシステムから、1 ぀たたは耇数の ファむルたたはディレクトリヌを読み蟌もうずしたした。 CIFS ファむルシステムは SELinux の 詳现なラベル機胜をサポヌトしおいないため、ファむルシステム内のファむルおよびディレクトリヌはすべお、 同じセキュリティヌコンテキストを有するこずになりたす。 ftp デヌモンが CIFS ファむルシステムからファむルを読み蟌むように蚭定しおいない堎合、 このアクセスは、䞍正䟵入が行われたこずを瀺しおいる可胜性がありたす。 SELinux は、ftp デヌモンが $ACCESS から NFS ファむルシステム䞊に保存されおいるファむルぞのアクセスを阻止したした。 SELinux は、NFS ファむルシステムに栌玍されおいるファむルぞ、ftp デヌモンが $ACCESS するのを阻止したした。 NFS (Network Filesystem) は、Unix システム/ Linux システムで䞀般的に䜿甚されるネットワヌク ファむルシステムです。 ftp デヌモンは、マりントされおいるこのタむプのファむルシステムから、1 ぀たたは耇数の ファむルたたはディレクトリヌを読み蟌もうずしたした。 NFS ファむルシステムは、SELinux の詳现な ラベル機胜はサポヌトしおいないため、 ファむルシステム内のすべおのファむルおよびディレクトリヌは、 同じセキュリティヌコンテキストを有するこずになりたす。 NFS ファむルシステムからファむルを読み蟌むように ftp デヌモンが蚭定しおいない堎合、 このアクセスの詊行が䞍正䟵入の詊行を瀺唆する可胜性がありたす。 ラむブラリヌに、間違っお execstack フラグが付けられおいるこずがありたす。 このフラグの付いたラむブラリヌを芋぀けた堎合は、execstack -c LIBRARY_PATH で それを消去できたす。その埌にアプリケヌションを再詊行しお䞋さい。 アプリケヌションが機胜しない状態が継続する堎合は、 execstack -s LIBRARY_PATH でフラグを戻すこずができたす。 $SOURCE アプリケヌションがヒヌプメモリヌ (䟋えば malloc を䜿った割圓お) のアクセス保護を倉曎しようず詊みたしたが、これはセキュリティヌの問題ずなる可胜性が ありたす。アプリケヌションはこのような動䜜を行うべきではありたせん。 アプリケヌションは誀っお蚘述されるこずがあり、 このパヌミッションを芁求 するこずがありたす。 SELinux Memory Protection Tests のりェブペヌゞに、この芁求の削陀方法が蚘茉されおいたす。 $SOURCE が動䜜せず、 動䜜させる必芁がある堎合は、 アプリケヌションが修正されるたでの間、 SELinux で䞀時的にこのアクセスを蚱可するこずができたす。 このパッケヌゞ に関するバグレポヌトを提出しおください。 $SOURCE アプリケヌションは、テキスト移動を芁求する $TARGET_PATH のロヌドを詊行したした。 セキュリティヌの問題ずなる可胜性がありたす。 ほずんどのラむブラリヌはこの蚱可を必芁ずしたせん。 ラむブラリヌは 誀っお蚘述されるこずがあり、 この蚱可を芁求するこずがありたす。 SELinux Memory Protection Tests の Web ペヌゞで、この芁求の削陀方法に぀いお説明しおいたす。 ラむブラリヌが 修正されるたでの間の回避策ずしお、SELinux で、䞀時的に $TARGET_PATH が 移動を䜿甚できるようにするこずができたす。 このパッケヌゞに関するバグレポヌト を提出しおください。 $SOURCE アプリケヌションは、テキスト移動を芁求する $TARGET_PATH のロヌドを詊行したした。 セキュリティヌの問題ずなる可胜性がありたす。 ほずんどのラむブラリヌはこの蚱可を必芁ずしたせん。 SELinux Memory Protection Tests のりェブペヌゞで、このチェックに぀いお説明しおいたす。 このツヌルはラむブラリヌが正しく 構築されたかどうかを調べたす。そのため、setroubleshoot は、このアプリケヌションがセキュリティヌのリスクにさらされおいるかどうかを刀別できたせん。これは重倧な問題ずなる可胜性があり、お䜿いのシステムがセキュリティヌのリスクにさらされおいる可胜性がありたす。 セキュリティヌ管理者に連絡し、この問題をレポヌトしおください。 $SOURCE アプリケヌションが独自のスタックを実行可胜にしようず詊みたした。 セキュリティヌの問題ずなる可胜性がありたす。これは完党に䞍芁な動䜜です。 最近の OS では、ほずんどの堎合スタックメモリヌは実行可胜になっおいたせん。たた、 これが倉曎されるこずもありたせん。実行可胜なスタックメモリヌはセキュリティヌに関する 重倧な問題の1 ぀です。execstack ゚ラヌは悪意のあるコヌドに よっお発生する可胜性が最も高くなるためです。アプリケヌションは誀っお蚘述 されるこずがあり、この蚱可を芁求するこずがありたす。 SELinux Memory Protection Tests のりェブペヌゞに、この芁求の削陀方法が蚘茉されおいたす。$SOURCE が動䜜せず、これを 動䜜させる必芁がある堎合に、アプリケヌションが修正されるたでの間、 SELinux で、䞀時的にこのアクセスを蚱可するこずができたす。 バグレポヌトを提出しおください。 "cp -p" などのコマンドを䜿甚しお、SELinux コンテキスト以倖の党おの暩限を保持したす。 chcon -R -t cvs_data_t '$TARGET_PATH' を実行するず、ファむルコンテキストを倉曎するこずができたす。 たた、完党な再ラベルの埌でもそれらを維持できるようにするには、システム䞊のデフォルトのファむルコンテキストファむルの倉曎もしなければなりたせん。 "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'" chcon -R -t rsync_data_t '$TARGET_PATH' を実行するず、ファむルコンテキストを倉曎するこずができたす。 たた、このコンテキストを完党な再ラベルの埌でも保持できるように、システムでデフォルトのファむルコンテキストも倉曎する必芁がありたす。"semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'" chcon -R -t samba_share_t '$TARGET_PATH' を実行するず、ファむルコンテキストを倉曎するこずができたす。 たた、完党な再ラベルの埌もそのコンテキストを保持するために、システムでデフォルトずなるファむルコンテキストファむルも倉曎する必芁がありたす。"semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'" chcon -t public_content_t '$TARGET_PATH' を実行するず、 ファむルのコンテキストを 倉曎するこずができたす。 たた、 完党な再ラベル付けが行なわれた埌も倉曎した ファむルコンテキストを維持させたい堎合には、 システム䞊でデフォルトのファむル コンテキストのファむルも倉曎する必芁がありたす。 "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" chcon -t swapfile_t '$TARGET_PATH' を実行するず、ファむルコンテキストを倉曎するこずができたす。 たた、完党な再ラベルの埌でもそのコンテキストを保持するために、システムでデフォルトずなるファむルコンテキストファむルも倉曎する必芁がありたす。"semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'" chcon -t virt_image_t '$TARGET_PATH' を実行するず、ファむルコンテキストを倉曎できたす。 たた、完党な再ラベルの埌でもそのファむルコンテキストを保持できるように、システムにおけるデフォルトのファむルコンテキストファむルも倉曎する必芁がありたす。"semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'" chcon -t xen_image_t '$TARGET_PATH' を実行するず、ファむルコンテキストの 倉曎ができたす。 たた、完党な再ラベルの埌でもそのコンテキストが保持されるように、システムでデフォルトずなるファむルコンテキストファむルも倉曎する必芁がありたす。"semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'" root ずしお次のコマンドを実行するず、ご䜿甚のコンピュヌタヌを再ラベルする こずができたす: "touch /.autorelabel; reboot" ロヌカルポリシヌモゞュヌルを生成しお、このアクセスを蚱可するように できたす。FAQ をご芧䞋さい。 バグレポヌトを提出しおください。 ロヌカルポリシヌモゞュヌルを生成しお、このアクセスを蚱可できたす。 FAQ をご芧ください。 restorecon コマンドを実行するこずにより、このファむルぞのデフォルトのシステムコンテキストを 埩元できたす。 # restorecon -R /root/.ssh restorecon コマンドを実行するこずにより、このファむルぞデフォルトのシステムコンテキストを 埩元できたす。 # restorecon -R /root/.ssh restorecon コマンドを実行するこずにより、このファむルのコンテキストを システムの初期倀に埩元できたす。 restorecon '$SOURCE_PATH' 。 restorecon コマンドを実行するこずにより、 このファむルにデフォルトの システムコンテキストを埩元するこずができたす (restorecon '$TARGET_PATH')。 このファむルがディレクトリヌの堎合には、 restorecon -R '$TARGET_PATH' を 䜿甚しお再垰的に埩元するこずができたす。 ご䜿甚のシステムには深刻な䟵害の可胜性がありたす! ご䜿甚のシステムは、深刻なセキュリティヌ䟵害の可胜性がありたす! $SOURCE_PATH が䜎䜍眮カヌネルメモリヌぞの mmap を詊行したした。 ご䜿甚のシステムには深刻な䟵害の可胜性がありたす! $SOURCE_PATH がカヌネルモゞュヌルをロヌドしようずしたした。 ご䜿甚のシステムには深刻な䟵害の可胜性がありたす! $SOURCE_PATH が SELinux 匷制を修正しようずしたした。 ご䜿甚のシステムには深刻な䟵害の可胜性がありたす! $SOURCE_PATH がカヌネル蚭定を倉曎しようずしたした。 IPv6 を正しく無効化したした。 'yum remove mozplugger' を実行しお mozplluger パッケヌゞを削陀するか、 Firefox プラグむン䞊の SELinux の匷制をオフにしたす。 setsebool -P unconfined_mozilla_plugin_transition 0 'yum remove mozplugger spice-xpi' を実行しお mozplluger たたは spice-xpi のパッケヌゞを削陀するか、Firefox プラグむンで SELinux の匷制をオフにしたす。setsebool -P unconfined_mozilla_plugin_transition 0 'yum remove mozplugger spice-xpi' を実行しお mozplluger たたは spice-xpi のパッケヌゞを削陀するか、Chrome プラグむンで SELinux の匷制をオフにしたす。setsebool -P unconfined_chrome_sandbox_transition 0 問題になっおいるプログラムを継続しお実行する決定をした堎合は、この 操䜜を蚱可する必芁がありたす。これは以䞋のようにコマンドラむンで 実行できたす: # setsebool -P mmap_low_allowed 1 SELinux は、ビデオハヌドりェアの状態を倉曎するためのプログラム $SOURCE が 芁求する操䜜を拒吊したした。vbetool ずしおなりすたしたその他の倚くの マルりェア/セキュリティヌの匱点を突くプログラムず同様、このプログラムはシステムメモリヌ䞊で 安党でない操䜜をするこずで知られおいたす。このツヌルは、マシンがサスペンドから 埩垰する際に ビデオの状態をリセットするために䜿甚されたす。䜿甚䞭のマシンが正垞に埩垰しない堎合は、 この操䜜を蚱可するのが唯䞀の遞択肢ずなり、悪意のプログラムに察するシステムのセキュリティヌは䜎䞋したす。 SELinux は、Linux 䞊で Windows アプリケヌションを実行するのに䜿甚されるプログラム wine-preloader が芁求する操䜜を拒吊したした。このプログラムは、wine ずしおなりすたした 倚くのマルりェア/セキュリティヌの匱点を突くプログラムず同様、システムメモリヌ䞊で安党でない操䜜を䜿甚するこずで 知られおいたす。Windows プログラムを実行しようずしおいる堎合は、この操䜜を蚱可し、そのような悪意のあるプログラムに察するシステムセキュリティヌレベルを䞋げるか、Linux 䞊で Windows アプリケヌションの実行を避けるこずができたす。Windows アプリケヌションの 実行を詊行しおいない堎合、これは、䞍正目的でシステムを悪甚しようずしおいるプログラムの攻撃を受けおいるこずを瀺したす。 以䞋のサむトを参照しお䞋さい http://wiki.winehq.org/PreloaderPageZeroProblem このサむトには、メモリヌの䜿甚が安党ではないために、wine が遭遇するその他の問題ず、その゜リュヌションの抂芁が蚘茉されおいたす。 党面的な監査を開始したす # auditctl -w /etc/shadow -p w AVC の再䜜成を詊みたす。その埌に以䞋を実行したす。 # ausearch -m avc -ts recent PATH 蚘録を確認できる堎合は、ファむルの所有暩/蚱可をチェックしお修正し、 確認できない堎合はバグずしお報告したす。 %s に、ファむルタむプではないタむプの配眮を詊みたした。このタむプは䜿甚できないため、ファむルタむプを指定する必芁がありたす。次の seinfo コマンドを䜿甚するず、ファむルタむプを䞀芧衚瀺するこずが出来たす。 seinfo -afile_type -x "$BOOLEAN" および "$WRITE_BOOLEAN" の boolean を true に倉曎するず、 このアクセスが蚱可されたす: "setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1" è­Šå‘Š: "$WRITE_BOOLEAN" の boolean を true に蚭定するず、 CIFS ファむルシステム䞊のファむルやディレクトリヌぞの曞き蟌みに加えお、 すべおの公開コンテンツ (タむプが public_content_t のファむルず ディレクトリヌ) ぞの曞き蟌みも、ftp デヌモンに蚱可するこずになりたす。"allow_ftpd_use_nfs" ず "ftpd_anon_write" のブヌル倀を true に倉曎するず、 このアクセスが蚱可されたす: "setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1" è­Šå‘Š: "ftpd_anon_write" のブヌル倀を true に蚭定するず、 NFS ファむルシステム䞊のファむルやディレクトリヌぞの 曞き蟌みのほかに、 すべおの公開コンテンツ (タむプが public_content_t のファむルずディレクトリヌ) ぞの曞き蟌みも ftp デヌモンに蚱可するこずになりたす。# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE # semodule -X 300 -i my-$SOURCE.pp# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH' この FILE_TYPE は以䞋のいずれかになりたす: %s. 次に、以䞋を実行しおください: restorecon -v '$FIX_TARGET_PATH' # semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s' # restorecon %s -v '$FIX_TARGET_PATH'# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' # restorecon -v '$FIX_TARGET_PATH'# semanage port -a -t %s -p %s $PORT_NUMBER# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER   ここで、PORT_TYPE は 以䞋のいずれかずなりたす: %s あるプロセスがシステムぞのハッキングを詊みおいる可胜性がありたす。net.ipv6.conf.all.disable_ipv6 = 1 を /etc/sysctl.conf に远加したす 以䞋を実行しお、このアクセスを蚱可したす: # ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME # semodule -X 300 -i my-$MODULE_NAME.ppファむルコンテキストを倉曎したす。ラベルの倉曎ラむブラリヌのラベルを倉曎したす。ファむルラベルを xen_image_t に倉曎したす。セキュリティヌ管理者に、この問題を報告しおください。Chrome プラグむンにおいお SELinux 制埡を無効化ブヌル倀を有効にしたすブヌル倀を有効にしたす。$TARGET_BASE_PATH が仮想的なタヌゲットである堎合$TARGET_BASE_PATH は RSYNC デヌモンによっお共有されるべきです$TARGET_BASE_PATH は、cvs デヌモンを経由しお共有されおいる必芁がある堎合$SOURCE_BASE_PATH は、 $TARGET_BASE_PATH ファむルを䜜成するために蚱可されおいるべきず考える堎合$SOURCE_PATH が SELinux を無効にしようずしたず考える堎合。%s は execstack を 必芁ずしないず思われる堎合$SOURCE_BASE_PATH に、$TARGET_TYPE ずラベルされおいる $TARGET_CLASS ぞの $ACCESS アクセスが、デフォルトで蚱可されるべきだず考える堎合。$SOURCE_BASE_PATH に、 $TARGET_TYPE にラベルされおいるプロセスでの $ACCESS アクセスがデフォルトで蚱可されるべきず考える堎合。$SOURCE_BASE_PATH に、 $TARGET_BASE_PATH $TARGET_CLASS の $ACCESS アクセスがデフォルトで蚱可されるべきず考える堎合。$SOURCE_BASE_PATH には、$ACCESS 機胜をデフォルトで持たせるべきず考える堎合。この AVC は、このテストによっお盎接起こったものではない堎合。$SOURCE_PATH は kernel モゞュヌルをロヌドし、kernel を線集しようずすべきではないず考える堎合。$SOURCE_PATH は kernel モゞュヌルをロヌドし、kernel を線集すべきではないず考える堎合$SOURCE_BASE_PATH が $TARGET_BASE_PATH の $ACCESS アクセスを詊みるべきではないず考える堎合。$SOURCE_PATH に、曞き蟌みず実行の䞡方が可胜になる、ヒヌプメモリヌのマッピングを行う必芁がないず考える堎合。$SOURCE_PATH に、曞き蟌みず実行の䞡方が可胜ずなる、スタックメモリヌのマッピングを行なう必芁がある堎合。$SOURCE_PATH にカヌネル内で䜎いメモリヌの mmap を行なう必芁があるずは思えない堎合。プロセスに、システム䞊の党システムリ゜ヌスを消費できる機胜を芁求させたくない堎合;これが、間違ったラベルを付けられたマシンによっお起こされたず考える堎合。%s をする堎合$SOURCE_BASE_PATH が、 $TARGET_BASE_PATH にマりントするこずを蚱可したい堎合。$SOURCE_PATH による、共有の公開コンテンツぞの曞き蟌みを蚱可する堎合$SOURCE_PATH を、ネットワヌクポヌト $PORT_NUMBER に接続したい堎合$SOURCE_PATH が、ネットワヌクポヌト $PORT_NUMBER に接続したい堎合ftpd が、cifs ファむルシステムに曞き蟌むこずを蚱可したい堎合ftpd が、nfs ファむルシステムに曞蟌むこずを蚱可したい堎合httpd による cgi スクリプトの実行、 および党コンテンツファむルの HTTPD 凊理の統䞀を蚱可したい堎合。httpd が、メヌル送信するこずを蚱可する堎合$TARGET_PATH のラベルを %s に倉曎にするこずは、それが有効なファむルタむプではないため、蚱可されたせん。このマシンにおいお IPV6 を無効化したい堎合ラベルを修正する堎合。 $SOURCE_PATH のデフォルトランレベルは %s のはずです。ラベルを修正する堎合。 $TARGET_PATH のデフォルトラベルは %s のはずです。ドメむンがこのアクセスを必芁ずするか、たたは䜿甚しおいるシステムにおけるパヌミッションに誀りがあるファむルを所有しおいるかを確認したい堎合このアクセスは必芁ではないため、$SOURCE_BASE_PATH が、 $TARGET_BASE_PATH $TARGET_CLASS ぞ $ACCESS アクセスを詊みるこずを、拒吊したい堎合。この AVC を無効にしたい堎合。この AVC は危険ですが、マシンは正垞に動䜜しおいるため。この AVC を無効にしたい堎合。この AVC は安党ではありたせんが、wine アプリケヌションは正垞に動䜜しおいるため。$SOURCE_BASE_PATH が $ACCESS ぞアクセスできるよう、 $TARGET_BASE_PATH のラベルを線集したい堎合$SOURCE_BASE_PATH が $ACCESS ぞアクセスできるよう、 $TARGET_BASE_PATH を暙準の堎所に移動したい堎合mozplugger パッケヌゞではなく、SELinux Firefox プラグむンの内容を続けお䜿甚したい堎合。$TARGET_BASE_PATH を公開コンテンツずしお凊理する堎合%s パッケヌゞを䜿甚したい堎合ファむルシステム党䜓のラベルを倉曎したす。再起動も含たれたす。コンテキストの 埩元コンテキストの埩元SELinux は、$SOURCE_PATH による "$ACCESS" アクセスを阻止しおいたす。 むメヌゞラベルを virt_image_t に蚭定したす。これは、新芏䜜成されたファむルシステムによっお匕き起こされたものです。ラベルの修正を詊みたす。メモリヌの保護をオフにしたす詳现情報に぀いおは、'%s' man ペヌゞをご芧䞋さい。ハッキングされおいる可胜性がありたす。'%s' boolean を有効にしお、 これを SELinux で有効にしたす。 $FIX_TARGET_PATH のラベルを倉曎する必芁がありたす$TARGET_BASE_PATH のラベルを倉曎する必芁がありたす。$TARGET_BASE_PATH のラベルを public_content_t たたは public_content_rw_t に倉曎する必芁がありたす。$TARGET_BASE_PATH' のラベルを倉曎する必芁がありたす。$TARGET_PATH のラベルを、同皮のデバむスのタむプに倉曎する必芁がありたす。'$FIX_TARGET_PATH' のラベルを倉曎する必芁がありたすバグずしお報告しおください。 ロヌカルのポリシヌモゞュヌルを生成するず、 このアクセスを蚱可するこずができたす。バグずしお報告しおください。 ロヌカルのポリシヌモゞュヌルを生成するず、このアクセスを監査しないようにできたす。execstack -c %sこれがハッキングされおいるず考える堎合setsebool -P %s %s党面的な監査を開始し、違反しおいるファむルに関するパス情報を取埗し、 再床゚ラヌを生成したす。"cp -p" などのコマンドを䜿甚しお、SELinux コンテキスト以倖の党おの暩限を保持したす。 restorecon を実行するこずができたす。restorecon を実行するこずができたす。芪ディレクトリヌにアクセスするのに必芁な暩限がないため、芁求されたアクセスが停止した可胜性がありたす。この堎合は、以䞋のコマンドを状況に応じお適切に倉曎したす。このアクセスが制限したアプリケヌションで必芁ずされるこずは絶察にないため、 ハッカヌからの攻撃を受けおいる可胜性がありたす。制限したアプリケヌションではこのアクセスは必芁ずされないため、 ハッカヌから攻撃を受けおいる可胜性がありたす。ハッカヌから攻撃されおいる可胜性がありたす。これは非垞に危険なアクセスです。$TARGET_PATH のラベルを倉曎しなければいけたせん。ラベルを修正しなければいけたせん。cert ファむルを ~/.cert directory に移動しなければいけたせん有効なファむルラベルを遞択する必芁がありたす。mozplugger パッケヌゞを削陀する必芁がありたす。これを蚱可するには、SELinux を蚭定しなければいけたせんこれに぀いおは、SELinux に蚭定をしなければいけたせんこれに぀いおは、SELinux で 'httpd_unified' ず 'http_enable_cgi' booleans を有効にしなければいけたせんこれに぀いおは、SELinux に、vbetool_mmap_zero_ignore boolean を有効にする蚭定が必芁です。これに぀いおは、SELinux に wine_mmap_zero_ignore を有効にする蚭定が必芁です。Chrome プラグむンにおいお SELinux 制埡を無効化する必芁がありたす。Firefox プラグむンで SELinux の制埡をすべおオフにする必芁がありたす。これにラベルを远加する必芁がありたす。$TARGET_PATH のラベルを public_content_rw_t に倉曎する必芁がありたす。 たた、 allow_httpd_sys_script_anon_write boolean で有効にするこずが必芁になる堎合もありたす。システムリ゜ヌスが䞍足しおいる原因を突き止め、問題を解決する必芁がありたす。 /usr/include/linux/capability.h によるず、sys_resource は次のような堎合に必芁ずなりたす。 /* リ゜ヌスの䞊限を無効にしおから蚭定する */ /* クオヌタの䞊限を無効にする */ /* ext2 ファむルシステムの予玄領域を無効にする */ /* ext3 ファむルシステムのデヌタゞャヌナリングモヌドを倉曎する (ゞャヌナリングのリ゜ヌスを䜿甚) */ /* 泚意: ext2 は、リ゜ヌスの無効化チェックの際に fsuid を受け取るため、fsuid で無効化を行うこずもできたす */ /* IPC メッセヌゞキュヌでサむズ制限を無効にする */ /* リアルタむムクロックからの、64hz を超える割り蟌みを蚱可する */ /* コン゜ヌルの割り圓おでコン゜ヌルの最倧数を無効にする */ /* キヌマップの最倧数を無効にする */ すべおにラベルを付け盎す必芁がありたす。サンドボックスタむプを倉曎する必芁がありたす。sandbox_web_t たたは sandbox_net_t です。 䟋: sandbox -X -t sandbox_net_t $SOURCE_PATH 詳现は 'sandbox' の man ペヌゞを参照しおください。 バグをレポヌトする必芁がありたす。 これは危険なアクセスです。バグをレポヌトする必芁がありたす。これは危険なアクセスです。/proc/sys/net/ipv6/conf/all/disable_ipv6 を 1 に蚭定する必芁があり、モゞュヌルをブラックリストにしたせん。別のコマンドを䜿甚する必芁がありたす。タヌゲットのファむルシステムで、SELinux コンテンツを保持するこずはできたせん。execstack フラグを削陀しお、$SOURCE_PATH が正垞に機胜しおいるこずを確認する必芁がありたす。 これは %s のバグずしお報告したす。 以䞋を実行すれば、execstack フラグを削陀できたす。