LINUX.ORG.RU
ФорумTalks

Сообщение от SELinux заставило произвести кирпичей


0

1

SELinux is preventing /usr/sbin/sshd from search access on the directory /var/spool/mqueue.

***** Plugin catchall (100. confidence) suggests ***************************

If you believe that sshd should be allowed search access on the mqueue directory by default. Then you should report this as a bug. You can generate a local policy module to allow this access. Do allow this access for now by executing: # grep sshd /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp

Вот какого хрена он туда полез?

★★★
Цифровые летописи для археологов.
Сколько у вас детей? Сколько планируете?
Ответ на: комментарий от true_admin

Я тщательно проверил, в логах ничего подозрительного. Вход root давно запрещён. На всякий случай запретил вход по паролю.

Zenom ★★★
() автор топика
Ответ на: комментарий от Zenom

> А ещё я защищён методом неуловимого Джо.

На всякого неуловимого Джо, найдётся китаец с беспорядочными сетевыми связями.

iBliss
()
Ответ на: комментарий от Zenom

Да я пошутил.

В конфиге ничего мутного не прописано? В какой момент оно туда ломится? У меня на старте не ломится, но может при заходе юзера происходит что-нить типа проверки нет ли почты для юзера итп.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Это произошло недавно в первый и пока единственный раз, посреди работы. Ничего в конфигах не менялось, это-то и насторожило меня.

Zenom ★★★
() автор топика
Ответ на: комментарий от Zenom

приведи логи целиком, а то непонятно какой процесс(слушающий sshd или пользовательский) это сделал.

Потому что это могло быть, например, scp -r user@host:/var/spool/mqueue ....

true_admin ★★★★★
()
Ответ на: комментарий от true_admin 
SELinux is preventing /usr/sbin/sshd from search access on the directory /var/spool/mqueue.

*****  Plugin catchall (100. confidence) suggests  ***************************

If you believe that sshd should be allowed search access on the mqueue directory by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep sshd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Additional Information:
Исходный контекст             system_u:system_r:sshd_t:s0-s0:c0.c1023
Целевой контекст              system_u:object_r:mqueue_spool_t:s0
Целевые объекты               /var/spool/mqueue [ dir ]
Источник                      sshd
Путь к источнику              /usr/sbin/sshd
Порт                          <Неизвестно>
Узел                          vesta
Исходные пакеты RPM           openssh-server-5.6p1-33.fc15.1
Целевые пакеты RPM            sendmail-8.14.5-1.fc15
RPM политики                  selinux-policy-3.9.16-34.fc15
SELinux активен               True
Тип политики                  targeted
Принудительный режим          Enforcing
Имя узла                      vesta
Платформа                     Linux vesta 2.6.38.8-35.fc15.x86_64 #1 SMP Wed Jul
                              6 13:58:54 UTC 2011 x86_64 x86_64
Счётчик уведомлений           2
Первый замеченный             Пн. 25 июля 2011 16:29:38
Последний замеченный          Пн. 25 июля 2011 16:29:38
Локальный ID                  e22298dd-3f3d-424e-b478-43846118f680

Необработанные сообщения аудита
type=AVC msg=audit(1311600578.114:12674): avc:  denied  { search } for  pid=27348 comm="sshd" name="mqueue" dev=dm-0 ino=69577 scontext=system_u:system_r:sshd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:mqueue_spool_t:s0 tclass=dir


type=SYSCALL msg=audit(1311600578.114:12674): arch=x86_64 syscall=open success=no exit=EACCES a0=7f17a0d045d0 a1=0 a2=1b6 a3=9 items=0 ppid=1174 pid=27348 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=sshd exe=/usr/sbin/sshd subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 key=(null)

Hash: sshd,sshd_t,mqueue_spool_t,dir,search

audit2allow

#============= sshd_t ==============
allow sshd_t mqueue_spool_t:dir search;

audit2allow -R

#============= sshd_t ==============
allow sshd_t mqueue_spool_t:dir search;

Т. е. ничего такого, что натолкнуло бы на мысль, что понадобилось sshd в mqueue.

Zenom ★★★
() автор топика
Ответ на: комментарий от true_admin

Я перезапускал после того, как запретил доступ по паролю, не повторилось. ЧСХ, нагрепать mqueue в исходниках openssh-server не удалось. Это, в принципе, ничего не значит, т. к. получать имя директории sshd может откуда угодно. Но всё же. Кстати, /var/spool/mail грепается.

Zenom ★★★
() автор топика
Ответ на: комментарий от true_admin

Уже нету. Похоже, мы это никогда не выясним, т. к. мой приступ паранойи прошёл и выяснять мне уже лень.

Zenom ★★★
() автор топика

I find my life has been much happier since I gave up on SELinux as being too complicated to be secure.

Ted Ts'o.

Relan ★★★★★
()

> Вот какого хрена он туда полез?

Отправить письмо?

atrus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Цифровые летописи для археологов.
Talks
Сколько у вас детей? Сколько планируете?