Sindbad~EG File Manager
����������������4���3���L�������������������1�������:���8�������s���V���z���g�������h���9���|�������(�������E���H�����������
���-���R���;!�������"��t���(#��I����#��~����$������f%��,���$&�� ���Q'������[(��m���w)�������+�������1������k2��/����3������M4������Z6��.���X8��b����:�������;�������=�������>������QA������JC�������E�������G�������I�������J��7����L�������N������QP��T���BQ�������R������9T�������U��S����W��P����W������MX��N���^Z��N����Z��U����Z��G���R[��]����[��O����[��k���H\��R����\��q����]��f���y]��V����]��F���7^��K���~^��V����^��E���!_��S���g_��j����_��B���&`��T���i`��T����`��^����c������rc������4d��t����e������4f��Z����g��?���.k��Z���nk�������k��Y���|n��U����n��6���,q������cr��C����t������6w��#����y��X����|��
���4}������B~������S������f��� ���|���
���������������z�������������������Յ������p�����������������������
���3�������e���)���_�������e������f���U���������������ي��������������r�������J�����������I���Տ������������������������������D���b���ޗ������A���\�����b���2���\�������+������c�������7�������<���������������������������������������%���ś��:������*���&�������Q�������a���/���r���:�������8���ݜ��T�������5���k���4�������x���֝��t���O���y���Ğ��T���>���7�������m���˟��a���9���U�������e������f���W���N�������g���
���:���u�����������E���¢��N�������F���W���I�������7������6��� ���c���W���'�������p������+���T���G�������G���ȥ��u���������������f��� ���h�������l������j���]���h���Ȩ��8���1���!���j���/�������������������̩��4���ܩ��$�������.���6�������e�������{���,�����������ê��?���ߪ��0�������1���P���]�������2������K�������2���_���]�������c����������T���,���d�����������d�������N��� �������X�������p���_���-���]�������E������-���1�������_���4���x���!�������'���ϰ��$������� �������_���=���R�������O������9���@���:���z���������������Ӳ������_�������#�������>���B������A���.���^���p���s���Ϸ������C�������ڸ��T����������������������:�������m�����������-���������������6�����������������������������������������������V�������)�����������������������������������������������6�����������$ ������M�������N���B���������������/�������������������
��������������9���{������������������A�������@�������%���$���Q���J
��W����
��L�������]���A���Z�������c�����������^�������������������^����!��f���G"��)����"��u����%��q���N&�������&��f���C'�������'��r���L(�������(��l���Q)�������)������X*��|����*��R���i+��W����+��|����,��x����,��w���
-�������-��\����.��{���|.�������.�������2��H���23��b���{4�������6��H����7�������9��q����?������y?��P���-@������~D��
���(E������6I�������K��g����N������SR������>V�������[�������[������4]�������^������d`������7b�������c������pe�������g�������g�������h�������i������gj������.k��c����k��T���Rm�������m������fn������
o�������o��/���@p������pp������Jq������@r������5s������5t������:w��R����|��J���_}�������~��#�������b����������D���\��� ���b���f���\���Ʉ��+���&���~���R���c���х��K���5�����������3���&�������Z���3���m���:�������N���܇��=���+���!���i���$�������?�������O������a���@���|�������L�������=���l���������������Z�����������e�������Y����������S���p���Ӎ��s���D���������������S���s������y���\���l���������C���a���V���^�������T�������T���l���U�������Q�����������i���<�����������2���<���Ŕ��i�������c���l�������Е����������y���R�������̗��v���i���|������r���]���E���Й��*�������]���A�������������������V���ؚ��;���/���i���k���$���՛��*�������E���%���9���k���N�������A������B���6���x���y���C������g���6���C��������������������������2���9���B�������|�����������v�������2�������"���š�����������������r���E���C�������3�������N���0���E������A���ť��M�������J���U���}�������q�������d�������[�������_���Q���9����������������������<��������������[���ʮ��Z���&�����������������������������������8���������������)���
�������w�����������G���������������D���^���$���������������o�������������������.����������������������������������5���%�������z�������;�����������:���T���������������@�����������p�����������R�������t�����������������������!�������u�������6���C�������3���x���0���W�����������������������`�������������������������������_�������~�������+���������������'���h�����������J���I�������������������e�����������g�������B�����������������������|���Y���*���c�������i�������������������������������������������,�������������������y���������������r�����������������������H�������}���N�����������A�����������2�������1�������s���q��� ���9�������&���������������������������k�������S���������������������������������������7���������������[�������V���������������������������������������-���M���U�������������������L�����������������������������������������������(�������F���E�������������������K���<���v�����������
�����������"�������f�������X���>���4���]�������n�������j���������������m�����������������������������������������������=���������������#��� �������/���{���\�������������������?�������������������d�������P���������������l���a�����������������������O���������������b�����������Q���������������Z��������
dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it.
�
SELinux denied access requested by $SOURCE. It is not
expected that this access is required by $SOURCE and this access
may signal an intrusion attempt. It is also possible that the specific
version or configuration of the application is causing it to require
additional access.
�
SELinux denied access requested by $SOURCE. The current boolean
settings do not allow this access. If you have not setup $SOURCE to
require this access this may signal an intrusion attempt. If you do intend
this access you need to change the booleans on this system to allow
the access.
�
SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH.
$TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not
happen. All Character and/or Block Devices should have a label.
You can attempt to change the label of the file using
restorecon -v '$TARGET_PATH'.
If this device remains labeled device_t, then this is a bug in SELinux policy.
Please file a bug report.
If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH,
you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing
semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
If the restorecon changes the context, this indicates that the application that created the device, created it without
using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application.
�
Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH'
�
Changing the "$BOOLEAN" boolean to true will allow this access:
"setsebool -P $BOOLEAN=1"
�
Changing the "$BOOLEAN" boolean to true will allow this access:
"setsebool -P $BOOLEAN=1."
�
Changing the "allow_ftpd_use_nfs" boolean to true will allow this access:
"setsebool -P allow_ftpd_use_nfs=1."
�
Changing the file_context to mnt_t will allow mount to mount the file system:
"chcon -t mnt_t '$TARGET_PATH'."
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'"
�
Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this
AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug.
�
Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off
access as needed.
�
If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux
man page for further information:
"setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t <path>"
You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t <path>"
�
If you trust $TARGET_PATH to run correctly, you can change the
file context to textrel_shlib_t. "chcon -t textrel_shlib_t
'$TARGET_PATH'"
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'"
�
If you want $SOURCE to continue, you must turn on the
$BOOLEAN boolean. Note: This boolean will affect all applications
on the system.
�
If you want httpd to send mail you need to turn on the
$BOOLEAN boolean: "setsebool -P
$BOOLEAN=1"
�
If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.
If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1.
�
If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute
# sandbox -X -t sandbox_net_t $SOURCE
�
If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.
�
If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'".
�
SELinux denied $SOURCE access to $TARGET_PATH.
If this is a swapfile, it has to have a file context label of
swapfile_t. If you did not intend to use
$TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt.
�
SELinux denied RSYNC access to $TARGET_PATH.
If this is an RSYNC repository, it has to have a file context label of
rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository,
this message could indicate either a bug or an intrusion attempt.
�
SELinux denied access requested by $SOURCE. $SOURCE_PATH may
be mislabeled. $SOURCE_PATH default SELinux type is
<B>%s</B>, but its current type is <B>$SOURCE_TYPE</B>. Changing
this file back to the default type may fix your problem.
<p>
This file could have been mislabeled either by user error, or if an normally confined application
was run under the wrong domain.
<p>
However, this might also indicate a bug in SELinux because the file should not have been labeled
with this type.
<p>
If you believe this is a bug, please file a bug report against this package.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. $TARGET_PATH default SELinux type is
<B>%s</B>, but its current type is <B>$TARGET_TYPE</B>. Changing
this file back to the default type may fix your problem.
<p>
File contexts can be assigned to a file in the following ways.
<ul>
<li>Files created in a directory receive the file context of the parent directory by default.
<li>The SELinux policy might override the default label inherited from the parent directory by
specifying a process running in context A which creates a file in a directory labeled B
will instead create the file with label C. An example of this would be the dhcp client running
with the dhcpc_t type and creating a file in the directory /etc. This file would normally
receive the etc_t type due to parental inheritance but instead the file
is labeled with the net_conf_t type because the SELinux policy specifies this.
<li>Users can change the file context on a file using tools such as chcon, or restorecon.
</ul>
This file could have been mislabeled either by user error, or if an normally confined application
was run under the wrong domain.
<p>
However, this might also indicate a bug in SELinux because the file should not have been labeled
with this type.
<p>
If you believe this is a bug, please file a bug report against this package.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. openvpn is allowed to read content in home directory if it
is labeled correctly.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. sshd is allowed to read content in /root/.ssh directory if it
is labeled correctly.
�
SELinux denied access requested by $SOURCE. It is not
expected that this access is required by $SOURCE and this access
may signal an intrusion attempt. It is also possible that the specific
version or configuration of the application is causing it to require
additional access.
�
SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages.
�
SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages.
�
SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc.
�
SELinux denied access to $TARGET_PATH requested by $SOURCE.
$TARGET_PATH has a context used for sharing by a different program. If you
would like to share $TARGET_PATH from $SOURCE also, you need to
change its file context to public_content_t. If you did not intend to
allow this access, this could signal an intrusion attempt.
�
SELinux denied cvs access to $TARGET_PATH.
If this is a CVS repository it needs to have a file context label of
cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository
it could indicate either a bug or it could signal an intrusion attempt.
�
SELinux denied samba access to $TARGET_PATH.
If you want to share this directory with samba it has to have a file context label of
samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository,
this message could indicate either a bug or an intrusion attempt.
Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux.
�
SELinux denied svirt access to $TARGET_PATH.
If this is a virtualization image, it has to have a file context label of
virt_image_t. The system is setup to label image files in directory./var/lib/libvirt/images
correctly. We recommend that you copy your image file to /var/lib/libvirt/images.
If you really want to have your image files in the current directory, you can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this
new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization
image it could indicate either a bug or an intrusion attempt.
�
SELinux denied svirt access to the block device $TARGET_PATH.
If this is a virtualization image, it needs to be labeled with a virtualization file context (virt_image_t). You can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this
new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization
image it could indicate either a bug or an intrusion attempt.
�
SELinux denied xen access to $TARGET_PATH.
If this is a XEN image, it has to have a file context label of
xen_image_t. The system is setup to label image files in directory /var/lib/xen/images
correctly. We recommend that you copy your image file to /var/lib/xen/images.
If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this
new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen
image it could indicate either a bug or an intrusion attempt.
�
SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it.
If $SOURCE should be allowed to connect on $PORT_NUMBER, use the <i>semanage</i> command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s).
If $SOURCE is not supposed
to connect to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox.
If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t.
# sandbox -X -t sandbox_net_t $SOURCE
If $SOURCE is not supposed
to connect to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied the $SOURCE access to potentially
mislabeled files $TARGET_PATH. This means that SELinux will not
allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s.
Many third party apps install html files
in directories that SELinux policy cannot predict. These directories
have to be labeled with a file context which httpd can access.
�
SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it.
If $SOURCE should be allowed to listen on $PORT_NUMBER, use the <i>semanage</i> command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s).
If $SOURCE is not supposed
to bind to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied the $SOURCE the ability to mmap low area of the kernel
address space. The ability to mmap a low area of the address space is
configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings
helps protect against exploiting null deref bugs in the kernel. All
applications that need this access should have already had policy written
for them. If a compromised application tries to modify the kernel, this AVC
would be generated. This is a serious issue. Your system may very well be
compromised.
�
SELinux has denied the $SOURCE_PATH from executing potentially
mislabeled files $TARGET_PATH. Automounter can be setup to execute
configuration files. If $TARGET_PATH is an automount executable
configuration file it needs to have a file label of bin_t.
If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt.
�
SELinux has denied the http daemon from sending mail. An
httpd script is trying to connect to a mail port or execute the
sendmail command. If you did not setup httpd to sendmail, this could
signal an intrusion attempt.
�
SELinux has prevented $SOURCE from loading a kernel module.
All confined programs that need to load kernel modules should have already had policy
written for them. If a compromised application
tries to modify the kernel this AVC will be generated. This is a serious
issue. Your system may very well be compromised.
�
SELinux has prevented $SOURCE from modifying $TARGET. This denial
indicates $SOURCE was trying to modify the selinux policy configuration.
All applications that need this access should have already had policy
written for them. If a compromised application tries to modify the SELinux
policy this AVC will be generated. This is a serious issue. Your system
may very well be compromised.
�
SELinux has prevented $SOURCE from modifying $TARGET. This denial
indicates $SOURCE was trying to modify the way the kernel runs or to
actually insert code into the kernel. All applications that need this
access should have already had policy written for them. If a compromised
application tries to modify the kernel this AVC will be generated. This is a
serious issue. Your system may very well be compromised.
�
SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux.
Files under /sys/fs/selinux control the way SELinux is configured.
All programs that need to write to files under /sys/fs/selinux should have already had policy
written for them. If a compromised application tries to turn off SELinux
this AVC will be generated. This is a serious issue. Your system may very
well be compromised.
�
SELinux has prevented vbetool from performing an unsafe memory operation.
�
SELinux has prevented wine from performing an unsafe memory operation.
�
SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem.
Usually this happens when you ask the cp command to maintain the context of a file when
copying between file systems, "cp -a" for example. Not all file contexts should be maintained
between the file systems. For example, a read-only file type like iso9660_t should not be placed
on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context
for the destination.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor.
�
SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER.
�
SELinux is preventing $SOURCE_PATH from changing the access
protection of memory on the heap.
�
SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER.
�
SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem.
�
SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation.
�
SELinux is preventing $SOURCE_PATH from making the program stack executable.
�
SELinux is preventing $SOURCE_PATH the "$ACCESS" capability.
�
SELinux is preventing $SOURCE_PATH the "sys_resource" capability.
�
SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH.
�
SELinux is preventing access to a file labeled unlabeled_t.
�
SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH
�
SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH.
�
SELinux is preventing the http daemon from sending mail.
�
SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH.
�
SELinux permission checks on files labeled unlabeled_t are being
denied. unlabeled_t is a context the SELinux kernel gives to files
that do not have a label. This indicates a serious labeling
problem. No files on an SELinux box should ever be labeled unlabeled_t.
If you have just added a disk drive to the system, you can
relabel it using the restorecon command. For example if you saved the
home directory from a previous installation that did not use SELinux, 'restorecon -R -v /home' will fix the labels. Otherwise you should
relabel the entire file system.
�
SELinux policy is preventing an httpd script from writing to a public
directory.
�
SELinux policy is preventing an httpd script from writing to a public
directory. If httpd is not setup to write to public directories, this
could signal an intrusion attempt.
�
SELinux prevented $SOURCE from mounting a filesystem on the file
or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default
SELinux limits the mounting of filesystems to only some files or
directories (those with types that have the mountpoint attribute). The
type "$TARGET_TYPE" does not have this attribute. You can change the
label of the file or directory.
�
SELinux prevented $SOURCE from mounting on the file or directory
"$TARGET_PATH" (type "$TARGET_TYPE").
�
SELinux prevented httpd $ACCESS access to $TARGET_PATH.
httpd scripts are not allowed to write to content without explicit
labeling of all files. If $TARGET_PATH is writable content. it needs
to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux.
�
SELinux prevented httpd $ACCESS access to http files.
Ordinarily httpd is allowed full access to all files labeled with http file
context. This machine has a tightened security policy with the $BOOLEAN
turned off, this requires explicit labeling of all files. If a file is
a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order
to be executed. If it is read only content, it needs to be labeled
httpd_TYPE_content_t. If it is writable content, it needs to be labeled
httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the
chcon command to change these context. Please refer to the man page
"man httpd_selinux" or
<a href="http://fedora.redhat.com/docs/selinux-apache-fc3">FAQ</a>
"TYPE" refers to one of "sys", "user" or "staff" or potentially other
script types.
�
SELinux prevented httpd $ACCESS access to http files.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem.
CIFS (Comment Internet File System) is a network filesystem similar to
SMB (<a href="http://www.microsoft.com/mind/1196/cifs.asp">http://www.microsoft.com/mind/1196/cifs.asp</a>)
The ftp daemon attempted to read one or more files or directories from
a mounted filesystem of this type. As CIFS filesystems do not support
fine-grained SELinux labeling, all files and directories in the
filesystem will have the same security context.
If you have not configured the ftp daemon to read files from a CIFS filesystem
this access attempt could signal an intrusion attempt.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem.
NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux
systems.
The ftp daemon attempted to read one or more files or directories from
a mounted filesystem of this type. As NFS filesystems do not support
fine-grained SELinux labeling, all files and directories in the
filesystem will have the same security context.
If you have not configured the ftp daemon to read files from a NFS filesystem
this access attempt could signal an intrusion attempt.
�
Sometimes a library is accidentally marked with the execstack flag,
if you find a library with this flag you can clear it with the
execstack -c LIBRARY_PATH. Then retry your application. If the
app continues to not work, you can turn the flag back on with
execstack -s LIBRARY_PATH.
�
The $SOURCE application attempted to change the access protection of memory on
the heap (e.g., allocated using malloc). This is a potential security
problem. Applications should not be doing this. Applications are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. If $SOURCE does not work and
you need it to work, you can configure SELinux temporarily to allow
this access until the application is fixed. Please file a bug
report against this package.
�
The $SOURCE application attempted to load $TARGET_PATH which
requires text relocation. This is a potential security problem.
Most libraries do not need this permission. Libraries are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. You can configure
SELinux temporarily to allow $TARGET_PATH to use relocation as a
workaround, until the library is fixed. Please file a bug report.
�
The $SOURCE application attempted to load $TARGET_PATH which
requires text relocation. This is a potential security problem.
Most libraries should not need this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">
SELinux Memory Protection Tests</a>
web page explains this check. This tool examined the library and it looks
like it was built correctly. So setroubleshoot can not determine if this
application is compromised or not. This could be a serious issue. Your
system may very well be compromised.
Contact your security administrator and report this issue.
�
The $SOURCE application attempted to make its stack
executable. This is a potential security problem. This should
never ever be necessary. Stack memory is not executable on most
OSes these days and this will not change. Executable stack memory
is one of the biggest security problems. An execstack error might
in fact be most likely raised by malicious code. Applications are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. If $SOURCE does not
work and you need it to work, you can configure SELinux
temporarily to allow this access until the application is fixed. Please
file a bug report.
�
Use a command like "cp -p" to preserve all permissions except SELinux context.
�
You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'"
�
You can execute the following command as root to relabel your
computer system: "touch /.autorelabel; reboot"
�
You can generate a local policy module to allow this
access - see <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
Please file a bug report.
�
You can generate a local policy module to allow this
access - see <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
�
You can restore the default system context to this file by executing the
restorecon command.
# restorecon -R /root/.ssh
�
You can restore the default system context to this file by executing the
restorecon command.
# restorecon -R /root/.ssh
�
You can restore the default system context to this file by executing the
restorecon command. restorecon '$SOURCE_PATH'.
�
You can restore the default system context to this file by executing the
restorecon command. restorecon '$TARGET_PATH', if this file is a directory,
you can recursively restore using restorecon -R '$TARGET_PATH'.
�
Your system may be seriously compromised!
�
Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory.
�
Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module.
�
Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement.
�
Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration.
�
Disable IPV6 properly.
�
Either remove the mozplluger package by executing 'yum remove mozplugger'
Or turn off enforcement of SELinux over the Firefox plugins.
setsebool -P unconfined_mozilla_plugin_transition 0
�
Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0
�
Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0
�
If you decide to continue to run the program in question you will need
to allow this operation. This can be done on the command line by
executing:
# setsebool -P mmap_low_allowed 1
�
SELinux denied an operation requested by $SOURCE, a program used
to alter video hardware state. This program is known to use
an unsafe operation on system memory but so are a number of
malware/exploit programs which masquerade as vbetool. This tool is used to
reset video state when a machine resumes from a suspend. If your machine
is not resuming properly your only choice is to allow this
operation and reduce your system security against such malware.
�
SELinux denied an operation requested by wine-preloader, a program used
to run Windows applications under Linux. This program is known to use
an unsafe operation on system memory but so are a number of
malware/exploit programs which masquerade as wine. If you were
attempting to run a Windows program your only choices are to allow this
operation and reduce your system security against such malware or to
refrain from running Windows applications under Linux. If you were not
attempting to run a Windows application this indicates you are likely
being attacked by some for of malware or program trying to exploit your
system for nefarious purposes.
Please refer to
http://wiki.winehq.org/PreloaderPageZeroProblem
Which outlines the other problems wine encounters due to its unsafe use
of memory and solutions to those problems.
�
Turn on full auditing
# auditctl -w /etc/shadow -p w
Try to recreate AVC. Then execute
# ausearch -m avc -ts recent
If you see PATH record check ownership/permissions on file, and fix it,
otherwise report as a bugzilla.�
You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command.
seinfo -afile_type -x
� Changing the "$BOOLEAN" and
"$WRITE_BOOLEAN" booleans to true will allow this access:
"setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1".
warning: setting the "$WRITE_BOOLEAN" boolean to true will
allow the ftp daemon to write to all public content (files and
directories with type public_content_t) in addition to writing to
files and directories on CIFS filesystems. � Changing the "allow_ftpd_use_nfs" and
"ftpd_anon_write" booleans to true will allow this access:
"setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1".
warning: setting the "ftpd_anon_write" boolean to true will
allow the ftp daemon to write to all public content (files and
directories with type public_content_t) in addition to writing to
files and directories on NFS filesystems. �# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE
# semodule -X 300 -i my-$SOURCE.pp�# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH'
where FILE_TYPE is one of the following: %s.
Then execute:
restorecon -v '$FIX_TARGET_PATH'
�# semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s'
# restorecon %s -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage port -a -t %s -p %s $PORT_NUMBER�# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.�A process might be attempting to hack into your system.�Add
net.ipv6.conf.all.disable_ipv6 = 1
to /etc/sysctl.conf
�Allow this access for now by executing:
# ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME
# semodule -X 300 -i my-$MODULE_NAME.pp�Change file context.�Change label�Change label on the library.�Change the file label to xen_image_t.�Contact your security administrator and report this issue.�Disable SELinux controls on Chrome plugins�Enable booleans�Enable booleans.�If $TARGET_BASE_PATH is a virtualization target�If $TARGET_BASE_PATH should be shared via the RSYNC daemon�If $TARGET_BASE_PATH should be shared via the cvs daemon�If you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH files�If you believe $SOURCE_PATH tried to disable SELinux.�If you believe that
%s
should not require execstack�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.�If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.�If you did not directly cause this AVC through testing.�If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.�If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modules�If you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.�If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.�If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.�If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.�If you do not want processes to require capabilities to use up all the system resources on your system;�If you think this is caused by a badly mislabeled machine.�If you want to %s�If you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.�If you want to allow $SOURCE_PATH to be able to write to shared public content�If you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBER�If you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBER�If you want to allow ftpd to write to cifs file systems�If you want to allow ftpd to write to nfs file systems�If you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.�If you want to allow httpd to send mail�If you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.�If you want to disable IPV6 on this machine�If you want to fix the label.
$SOURCE_PATH default label should be %s.�If you want to fix the label.
$TARGET_PATH default label should be %s.�If you want to help identify if domain needs this access or you have a file with the wrong permissions on your system�If you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.�If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.�If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.�If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on it�If you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS access�If you want to to continue using SELinux Firefox plugin containment rather then using mozplugger package�If you want to treat $TARGET_BASE_PATH as public content�If you want to use the %s package�Relabel the whole file system. Includes reboot!�Restore
Context�Restore Context�SELinux is preventing $SOURCE_PATH "$ACCESS" access.�Set the image label to virt_image_t.�This is caused by a newly created file system.�Try to fix the label.�Turn off memory protection�You can read '%s' man page for more details.�You might have been hacked.�You must tell SELinux about this by enabling the '%s' boolean.
�You need to change the label on $FIX_TARGET_PATH�You need to change the label on $TARGET_BASE_PATH�You need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.�You need to change the label on $TARGET_BASE_PATH'�You need to change the label on $TARGET_PATH to a type of a similar device.�You need to change the label on '$FIX_TARGET_PATH'�You should report this as a bug.
You can generate a local policy module to allow this access.�You should report this as a bug.
You can generate a local policy module to dontaudit this access.�execstack -c %s�if you think that you might have been hacked�setsebool -P %s %s�turn on full auditing to get path information about the offending file and generate the error again.�use a command like "cp -p" to preserve all permissions except SELinux context.�you can run restorecon.�you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.�you may be under attack by a hacker, since confined applications should never need this access.�you may be under attack by a hacker, since confined applications should not need this access.�you may be under attack by a hacker, this is a very dangerous access.�you must change the labeling on $TARGET_PATH.�you must fix the labels.�you must move the cert file to the ~/.cert directory�you must pick a valid file label.�you must remove the mozplugger package.�you must setup SELinux to allow this�you must tell SELinux about this�you must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleans�you must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.�you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.�you must turn off SELinux controls on the Chrome plugins.�you must turn off SELinux controls on the Firefox plugins.�you need to add labels to it.�you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.�you need to diagnose why your system is running out of system resources and fix the problem.
According to /usr/include/linux/capability.h, sys_resource is required to:
/* Override resource limits. Set resource limits. */
/* Override quota limits. */
/* Override reserved space on ext2 filesystem */
/* Modify data journaling mode on ext3 filesystem (uses journaling
resources) */
/* NOTE: ext2 honors fsuid when checking for resource overrides, so
you can override using fsuid too */
/* Override size restrictions on IPC message queues */
/* Allow more than 64hz interrupts from the real-time clock */
/* Override max number of consoles on console allocation */
/* Override max number of keymaps */
�you need to fully relabel.�you need to modify the sandbox type. sandbox_web_t or sandbox_net_t.
For example:
sandbox -X -t sandbox_net_t $SOURCE_PATH
Please read 'sandbox' man page for more details.
�you need to report a bug.
This is a potentially dangerous access.�you need to report a bug. This is a potentially dangerous access.�you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'�you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.�you should clear the execstack flag and see if $SOURCE_PATH works correctly.
Report this as a bug on %s.
You can clear the exestack flag by executing:�Project-Id-Version: PACKAGE VERSION
Report-Msgid-Bugs-To:
POT-Creation-Date: 2021-09-07 17:26+0200
PO-Revision-Date: 2021-09-17 07:27+0000
Last-Translator: Ludek Janda <ljanda@redhat.com>
Language-Team: Japanese <https://translate.fedoraproject.org/projects/setroubleshoot/plugins/ja/>
Language: ja
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Plural-Forms: nplurals=1; plural=0;
X-Generator: Weblate 4.8
�
dac_override と dac_read_search の機能は通常、root プロセスがパーミッションフラグを基にしたファイルへのアクセスを持たないことを表示します。これは通常、ユーザーがそのファイルに間違えた所有権/パーミッションを持っていることを意味します。
�
SELinux は、$SOURCE により要求されたアクセスを拒否しました。
このアクセスは $SOURCE に必要であると想定されないため、不正侵入
の試みがなされた可能性があります。 また、 アプリケーションの特定
バージョンまたは設定が追加アクセス要求の原因となっている可能性
もあります。
�
SELinux は $SOURCE により要求されたアクセスを拒否しました。
現在のブーリアン設定では、このアクセスが許可されていません。このアクセスを
要求するように $SOURCE を設定していない場合、不正侵入の試みがなされた
可能性があります。 アクセスする必要がある場合は、このシステム上でブーリアン値を変更し、アクセスを許可する必要があります。
�
SELinux は、デバイス $TARGET_PATH への $SOURCE による "$ACCESS" アクセスを拒否しています。
$TARGET_PATH には誤ったラベルが付けられています。このデバイスには /dev ディレクトリーのデフォルトラベルがありますが、これは誤った設定です。すべてのキャラクターデバイスおよびブロックデバイス、またはどちらか一方にはラベルがなければなりません。
以下を実行してファイルのラベル変更を試行することができます。
restorecon -v $TARGET_PATH
このデバイスのラベルが device_t のままである場合、これは SELinux ポリシーのバグということになります。
バグレポートを提出してください。
他にも同様のデバイスラベルを確認するために ls -lZ /dev/SIMILAR を実行し、 $TARGET_PATH に対して動作すると想定されるタイプを見つけたら
chcon -t SIMILAR_TYPE $TARGET_PATH を使用します。これで問題が解決する場合は、以下を実行して永続的に変更します。
emanage fcontext -a -t SIMILAR_TYPE $FIX_TARGET_PATH
restorecon がコンテキストを変更する場合は、 デバイスを作成したアプリケーションが SELinux API を使用せずに作成したということを示しています。
デバイスを作成したアプリケーションを判別できる場合は、そのアプリケーションについてのバグレポートを提出してください。
�
restorecon -v $TARGET_PATH または chcon -t SIMILAR_TYPE $TARGET_PATH を試してください。
�
"$BOOLEAN" boolean 値を true に変更すると、このアクセスを許可します:
"setsebool -P $BOOLEAN=1"
�
"$BOOLEAN" boolean を true に変更すると、このアクセスが許可されます:
"setsebool -P $BOOLEAN=1."
�
"allow_ftpd_use_nfs" boolean を true に変更すると、このアクセスが許可されます:
"setsebool -P allow_ftpd_use_nfs=1."
�
file_context を mnt_t に変更すると、mount によるファイルシステムのマウントが 許可されます:
"chcon -t mnt_t '$TARGET_PATH'"
また、完全にラベルを付け直した後でもそのマウントを保持できるように、システムでデフォルトのファイルコンテキストファイルを変更する必要があります。"semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'"
�
制限されたドメインでは "sys_resource" を必要としません。 つまり、 通常はディスク領域、 メモリー、 クォータなどのシステムリソースがそのシステムに不足していることになります。 ディスク領域を解放すると、この AVC メッセージは表示されなくなるはずです。 ディスク領域を解放しても AVC メッセージが表示される場合は、この問題をバグとして報告してください。
�
別のアクセスを必要とする、限定されたプロセスを実行するように設定できます。 SELInux は必要に応じて、ユーザーがアクセスをオン/オフに切り替えできる
ブーリアン値を提供します。
�
httpd スクリプトによるパブリックディレクトリーへの書き込みを許可する場合、 $BOOLEAN boolean をオンにして、パブリックディレクトリーのファイルコンテキストを public_content_rw_t に変更する必要があります。 詳細については httpd_selinux の man ページをご覧ください:
"setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t<path>"
また、 完全な再ラベル付けを行なった後もパブリックディレクトリーのラベルを維持させたい場合は、 システムのデフォルトのファイルコンテキストラベル設定ファイルも変更する必要があります。 "semanage fcontext -a -t public_content_rw_t <path>"
�
$TARGET_PATH が正しく実行することを信用できる場合は、ファイルコンテキストを
textrel_shlib_t へ変更することができます。"chcon -t textrel_shlib_t
'$TARGET_PATH'"
また、システムのデフォルトファイルコンテキストのファイルを、完全な再ラベルでも保持するために、変更しなければなりません。"semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'"
�
$SOURCE を継続したい場合は、$BOOLEAN boolean をオンにする必要があり
ます。 注記: この boolean はシステム上の全アプリケーションに影響
します。
�
httpd にメール送信をさせる場合は、 $BOOLEAN boolean
をオンにする必要があります: "setsebool -P
$BOOLEAN=1"
�
$SOURCE がポート $PORT_NUMBER にバインドできるようにしたい場合、以下コマンドを実行します。
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
ここで PORT_TYPE は下のいずれかです: %s.
使用システムが NIS クライアントとして稼働している場合、 allow_ypbind boolean をオンにすると問題が解決する可能性があります。setsebool -P allow_ypbind=1
�
$SOURCE による $PORT_NUMBER への接続を許可する場合は、以下を実行します。
# sandbox -X -t sandbox_net_t $SOURCE
�
$SOURCE による $PORT_NUMBER への接続を許可する場合は、 以下を実行します。
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
ここで、PORT_TYPE は 以下のいずれかとなります: %s 。
�
自動マウンターで実行できるように $TARGET_PATH のファイルコンテキストを変更する場合は、 "chcon -t bin_t $TARGET_PATH" を実行します。 再ラベル後もこの変更を維持させる場合は、 ファイルコンテキストを永続的に変更する必要があります。 "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'" を実行します。
�
SELinux は、$TARGET_PATH への $SOURCE アクセスを拒否しました。
スワップファイルの場合は、swapfile_t のファイルコンテキストラベルが
必要です。$TARGET_PATH をスワップファイルとして使用する意図がなかった
場合、このメッセージは、バグか、不正侵入が試みられた可能性を示しています。
�
SELinux は、RSYNC が $TARGET_PATH にアクセスするのを拒否しました。
これが RSYNC リポジトリーであるなら、rsync_data_t のファイル
コンテキストラベルが必要になります。$TARGET_PATH を
RSYNC リポジトリーとして使用する予定ではなかった場合、
このメッセージは、バグか、不正侵入が試みられた可能性を示しています。
�
SELinux により、$SOURCE が要求したアクセスが拒否されました。
$SOURCE_PATH に誤ったラベルが付けられている可能性があります。
$SOURCE_PATH のデフォルトの SELinux タイプは<B>%s</B> ですが、
現在のタイプは <B>$SOURCE_TYPE</B> です。
このファイルのタイプをデフォルトに戻すと、問題が解決する場合があります。
<p>
ユーザーエラーか、通常の制限されたアプリケーションが誤ったドメインで
実行されたことにより、このファイルには誤ったラベルが付けられた可能性があります。
<p>
しかし、このファイルにこのタイプのラベルが付けられるはずがないため、
SELinux のバグである可能性もあります。
<p>
これがバグだと思われる場合は、このパッケージについてバグレポートを提出してください。
�
SELinux は、$SOURCE により要求されたアクセスを拒否しました。$TARGET_PATH には
誤ったラベルが付けられている可能性があります。$TARGET_PATH におけるデフォルトの SELinux タイプは、
<B>%s</B> ですが、現在のタイプは <B>$TARGET_TYPE</B> です。このファイルを
デフォルトのタイプに戻すことにより、問題が解決される可能性があります。
<p>
ファイルのコンテキストは、以下の方法で 1 つのファイルに割り当てることができます。
<ul>
<li>ディレクトリーに作成されたファイルは、デフォルトで親ディレクトリーのファイルコンテキストを受け取ります。
<li>SELinux ポリシーは、ラベル B が付けられたディレクトリーにファイルを作成するコンテキスト A で実行しているプロセスを指定することにより、
親ディレクトリーから継承したデフォルトのラベルをオーバーライドし、代わりにラベル C を持つファイルを作成するようになります。
この例として、dhclient_t タイプで実行していて、ディレクトリー /etc 内にファイルを作成するような dhcp クライアントがあります。このファイルは、
通常、親からの継承により etc_t タイプを受け取りますが、SELinux ポリシーの指定により、このファイルには代わりに net_conf_t タイプでラベルが付けられます。
<li>chcon や restorecon などのツールを使用することで、ファイル上のファイルコンテキストを変更することができます。
</ul>
ユーザーエラーか、通常の制約されたアプリケーションが間違ったドメインで実行されたことにより、このファイルには誤ったラベルが付けられた可能性があります。
<p>
しかし、このファイルにこのタイプのラベルが付けられるはずがないため、これは SELinux 内のバグである可能性もあります。
<p>
これがバグだと思われる場合は、このパッケージについてバグレポートを作成してください。
�
SELinux は、$SOURCE が要求するアクセスを拒否しました。$TARGET_PATH
には誤ったラベルが付けられている可能性があります。ラベルが適切に設定されている場合、
openvpn はホームディレクトリーのコンテンツを読み込むことができます。
�
SELinux は $SOURCE により要求されたアクセスを拒否しました。$TARGET_PATH に
誤ったラベルが付けられている可能性があります。ラベルが適切に設定されている場合、
sshd は /root/.ssh ディレクトリーのコンテンツを読み込むことができます。
�
SELinux は、$SOURCE により要求されたアクセスを拒否しました。
このアクセスは $SOURCE に必要であると想定されないため、不正侵入
の試行を示している可能性があります。 また、 アプリケーションの特定
バージョンまたは設定が追加アクセス要求の原因となっている可能性
もあります。
�
SELinux は、$SOURCE が要求したアクセスを拒否しました。$SOURCE がこのアクセスを要求することは想定されておらず、不正侵入の試みである可能性があります。アプリケーションで特定のバージョンまたは設定で、追加アクセスが必要となっている可能性もあります。mozplugger および spice-xpi は、デスクトップへのアクセスを必要とする mozilla-plugins でアプリケーションを実行し、mozilla_plugin ロックダウンは許可されないことから、mozilla_plugin ロックダウンをオフにするか、これらのパッケージを使用しないようにする必要があります。
�
SELinux は、$SOURCE が要求したアクセスを拒否しました。$SOURCE がこのアクセスを必要とすることは想定されておらず、このアクセスは侵入の試行である可能性があります。アプリケーションの特定のバージョンまたは設定により、追加アクセスが必要となっている可能性もあります。spice-xpi は、デスクトップへのアクセスを必要とする mozilla-plugins 内でアプリケーションを実行し、mozilla_plugin ロックダウンは許可されないことから、mozilla_plugin ロックダウンをオフにするか、これらのパッケージを使用しないようにする必要があります。
�
SELinux は、$SOURCE コマンドが要求するアクセスを拒否しました。これは、 ディスクリプターがリークしたか、アクセスの許可がないファイルに $SOURCE の出力が再転送されたように見えます。SELinux は、リークを閉じてエラーを報告するため、リークは通常無視されます。このアプリケーションは、このディスクリプターを使用しないため、正常に稼働します。これが再転送であった場合、$TARGET_PATH には出力されません。selinux-policy に bugzilla を生成する必要になり、これにより、適切なパッケージに送られます。この avc は、無視しても問題はありません。
�
SELinux により、$SOURCE が要求した $TARGET_PATH へのアクセスが拒否されました。
$TARGET_PATH には、 別のプログラムで共有に使用されるコンテキストがあります。
$SOURCE からも $TARGET_PATH を共有したい場合、そのファイルコンテキストを
public_content_t に変更する必要があります。このアクセスを意図的に許可して
いなかった場合は、不正侵入が行なわれた可能性があります。
�
SELinux は、$TARGET_PATH への cvs アクセスを拒否しました。
これが CVS リポジトリーの場合は、 cvs_data_t のファイルコンテキストラベルが
必要です。CVS リポジトリーとして $TARGET_PATH を使用するつもりではなかった場合、
これはバグであるか、不正侵入の試行を示している可能性があります。
�
SELinux は、samba が $TARGET_PATH へアクセスするのを拒否しました。
このディレクトリーを samba と共有したい場合は、samba_share_t の
ファイルコンテキストラベルが必要です。$TARGET_PATH を samba リポジトリー
として使用する意図ではなかった場合、このメッセージは、バグか、
不正侵入が試みられた可能性を示しています。
Samba と SELinux のセットアップに関する詳細は 'man samba_selinux' を参照してください。
�
SELinux により、$TARGET_PATH への svirt アクセスが拒否されました。
これが仮想化イメージの場合は、virt_image_t というファイルコンテキストラベルが
必要です。システムは、/var/lib/libvirt/images ディレクトリーでイメージファイルに正常
にラベル付けするように設定されています。お使いのイメージファイルを
/var/lib/libvirt/images にコピーするようお勧めします。現在のディレクトリーにイメージファイルがどうしても必要な場合は、chcon を使用して $TARGET_PATH のラベルを virt_image_t へと変更できます。また、semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' を実行して、この新しいパスを
システムデフォルトに追加する必要があります。$TARGET_PATH を仮想化イメージとして使用する
意図がなかった場合は、バグまたは不正侵入の試行を示している可能性があります。
�
SELinux により、ブロックデバイス $TARGET_PATH への svirt アクセスが拒否されました。
これが仮想化イメージの場合、仮想化ファイルコンテキスト (virt_image_t) でラベル付けする必要があります。chcon を使用して、$TARGET_PATH が virt_image_t となるようラベルを変更できます。また、semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' を実行して、
この新しいパスをシステムデフォルトに追加する必要があります。$TARGET_PATH を仮想化イメージとして使用する意図がない場合は、
バグまたは不正侵入の試行を示している可能性があります。
�
SELinux により、$TARGET_PATH への xen のアクセスが拒否されました。
これが XEN イメージの場合は、 xen_image_t のファイルコンテキストラベルが
必要があります。 システムは、/var/lib/xen/images ディレクトリ内でイメージファイル
にラベル付けを行なうよう正しく設定されています。 使用するイメージファイルを
/var/lib/xen/images ディレクトリーにコピーすることをお勧めします。 どうしても xen イメージ
ファイルを現在のディレクトリーに配置する必要がある場合は、 chcon を使用して
$TARGET_PATH に xen_image_t のラベルを付け直してください。
また、 semanage fcontext -a -t xen_image_t '$FIX_TATGET_PATH' を実行して、 この新しい
パスをシステムのデフォルト設定に追加する必要があります。 $TARGET_PATH を xen イメージ
として使用する意図がなかった場合は、 バグまたは不正侵入の試行を示している可能性があります。
�
$SOURCE による、ポートに関連付けられた SELinux タイプを持たないネットワークポート $PORT_NUMBER への接続を、SELinux は拒否しました。
$SOURCE の $PORT_NUMBER での接続を許可する必要がある場合は、<i>semanage</i> コマンドを使用して、$PORT_NUMBER を、$SOURCE_TYPE が接続できるポートタイプに割り当てます (%s)。
$SOURCE による $PORT_NUMBER への接続が想定されていない場合は、
不正侵入の試行が示唆される可能性があります。
�
SELinux は、$SOURCE が、サンドボックスの中でネットワークポート $PORT_NUMBER に接続することを拒否しました。
$SOURCE による $PORT_NUMBER への接続を許可する場合は、sandbox_web_t や sandbox_net_t などの別のサンドボックスタイプを使用する必要があります。
# sandbox -X -t sandbox_net_t $SOURCE
$SOURCE による $PORT_NUMBER への接続がサポートされていない場合、
これは、侵入の試みである可能性があります。
�
SELinux により、誤ったラベル付けの可能性のある $TARGET_PATH ファイル
への $SOURCE アクセスが拒否されています。これは、SELinux では httpd
によるこれらのファイルの使用が許可されないということになります。
httpd に、こうしたファイルへの同様の アクセスを許可する場合は、
ファイルコンテキストを次のいずれかのタイプに変更する必要があります、%s。
多くのサードパーティーのアプリケーションでは、 SELinux ポリシーでは
予測できないディレクトリーに、html ファイルがインストールされます。
これらのディレクトリーには、httpd によるアクセスが可能なファイルコンテキスト
でラベル付けを行なう必要があります。
�
$SOURCE が、ポートに関連付けられた SELinux タイプを持たないネットワークポート $PORT_NUMBER にバインドすることを、SELinux は拒否しました。
$SOURCE の、$PORT_NUMBER でのリッスンを許可する必要がある場合、 <i>semanage</i> コマンドを使用して $PORT_NUMBER を $SOURCE_TYPE が バインドできるポートタイプへ割り当てます (%s) 。
$SOURCE による $PORT_NUMBER へのバインドが想定されていない場合、
不正侵入の試行が示唆される可能性があります。
�
SELinux は、カーネルのアドレス空間の低位置を mmap する $SOURCE の機能を
拒否しました。アドレス領域の低位置を mmap する機能は、
/proc/sys/kernel/mmap_min_addr で設定されます。このようなマッピングを拒否すると、
カーネルで null deref バグを悪用するのを防ぐことができます。このアクセスを
必要とするアプリケーションは、すべて独自のポリシーが記述されているはずです。
セキュリティー侵害されたアプリケーションがカーネルの修正を試みると、
この AVC が生成されます。これは深刻な問題です。ご使用のシステムは、非常に
高い確率で、セキュリティが侵害されている可能性があります。
�
SELinux は、$SOURCE_PATH が間違ったラベルを持つ可能性のあるファイル
$TARGET_PATH を実行するのを拒否しました。設定ファイルを実行するように、
自動マウンターを設定できます。 $TARGET_PATH が、自動マウントで実行可能な
設定ファイルである場合は、bin_t のファイルラベルを持つ必要があります。
自動マウンターが想定されていないものを実行しようとしている場合は、
これは不正侵入を示唆している可能性があります。
�
SELinux は、http デーモンによるメール送信を拒否しました。
httpd スクリプトが、メールポートへの接続、または sendmail
コマンドの実行を試行しています。 httpd に sendmail を設定していない場合は、
不正侵入が試みられた可能性があります。
�
SELinux は $SOURCE による カーネルモジュールのロードを阻止しました。
カーネルモジュールをロードする必要のあるすべての制限されたプログラムで、それぞれのポリシーが事前に作成されている必要がありました。セキュリティーのリスクにさらされているアプリケーションがカーネルを修正しようとすると、この AVC が生成されます。これは重大な問題です。ご使用のシステムはセキュリティーのリスクにさらされている可能性があります。
�
SELinux は、$SOURCE による $TARGET の修正を阻止しました。この阻止は
$SOURCE が、selinux ポリシー設定を修正しようとしていたことを 示します。
このアクセスを必要とするすべてのアプリケーションで、それぞれのポリシーが事前に設定されている必要がありました。セキュリティーのリスクにさらされているアプリケーションが SELinux ポリシーを修正しようとすると、この AVC が生成されます。これは重大な問題です。 ご使用のシステムは、セキュリティーのリスクにさらされている可能性があります。
�
SELinux は、$SOURCE による $TARGET の修正を阻止しました。これは、$SOURCE がカーネルの
実行方法を修正しようとしていたか、またはそのカーネルにコードを挿入しようとしていたことを
示します。このアクセスを必要とするすべてのアプリケーションで、それぞれのポリシーが事前に
作成されている必要があります。セキュリティーのリスクにさらされているアプリケーション
がカーネルを修正しようとすると、この AVC が生成されます。 これは深刻な問題です。
ご使用のシステムは、セキュリティーのリスクにさらされている可能性があります。
�
SELinux は、$SOURCE が /sys/fs/selinux 内のファイルに書き込むのを阻止しました。
/sys/fs/selinux のファイルは、SELinux に設定された方法で制御されます。
/sys/fs/selinux のファイルへの書き込みが必要なすべてのプログラムには、それぞれの
ポリシーが事前に作成されている必要がありました。セキュリティーのリスクにさらされている
アプリケーションが SELinux を無効にしようとすると、この AVC が生成されます。これは重要な問題です。
ご使用のシステムは、セキュリティーのリスクにさらされている可能性があります。
�
SELinux は vbetool による安全でないメモリー操作を阻止 しました
�
SELinux は、安全でないメモリー操作を wine が行うのを阻止しました。
�
SELinux により、$SOURCE は、ファイルシステムに、$SOURCE_TYPE のコンテキストを持つファイルを作成できません。
通常、これは、たとえば "cp -a" のように、ファイルシステム間でのコピーの実行時に、 cp コマンドにファイルのコンテキストを維持するように依頼する際に生じます。すべてのファイルコンテキストがファイルシステム間で維持されるべきではありません。
たとえば、iso9660_t のような読み込み専用のファイルタイプは、 r/w システムに置くべきではありません。
"cp -p" は、コピー先のデフォルトファイルコンテキストを採用するため、"cp -a" より適切な可能性があります。
�
SELinux は、 $TARGET_PATH への $SOURCE_PATH による "$ACCESS" アクセスを阻止しています。
�
SELinux により、$SOURCE_PATH から $TARGET_PATH への "$ACCESS" アクセスができません。
�
SELinux は 、デバイス $TARGET_PATH への $SOURCE_PATH による "$ACCESS" アクセスを阻止しています。
�
SELinux は $TARGET_PATH への $SOURCE_PATH による "$ACCESS" を阻止しています。
�
SELinux は、漏洩した $TARGET_PATH のファイルディスクリプターに $SOURCE_PATH がアクセスすることを阻止しています。
�
SELinux は、$SOURCE_PATH によるポート $PORT_NUMBER へのバインドを阻止しています。
�
SELinux は、$SOURCE_PATH が、ヒープのメモリーへのアクセス保護を
変更することを阻止しています。
�
SELinux は、$SOURCE_PATH によるポート $PORT_NUMBER への接続を拒否しています。
�
SELinux により、$SOURCE_PATH が、ファイルシステムに $SOURCE_TYPE のコンテキストでファイルを作成できません。
�
SELinux が、テキストの再配置を要求する $TARGET_PATH を、$SOURCE_PATH がロードすることを拒否しています。
�
SELinux により、$SOURCE_PATH がプログラムスタックを実行可能にすることができません。
�
SELinux は $SOURCE_PATH の "$ACCESS" 機能を阻止しています。
�
SELinux は $SOURCE_PATH の "sys_resource" 機能を阻止しています。
�
SELinux は、$TARGET_PATH への Samba ($SOURCE_PATH) による "$ACCESS" アクセスを阻止しています。
�
SELinux は、unlabeled_t とラベル付けされたファイルへのアクセスを阻止しています。
�
SELinux は、cvs ($SOURCE_PATH) による $TARGET_PATH への "$ACCESS" アクセスを阻止しています
�
SELinux は、$SOURCE_PATH による、誤ったラベル付けの可能性のあるファイル $TARGET_PATH の使用を阻止しています。
�
SELinux により、http デーモンによるメール送信ができません。
�
SELinux は、$TARGET_PATH への xen ($SOURCE_PATH) による "$ACCESS" アクセスを阻止しています。
�
unlabeled_t とラベル付けされたファイルの SELinux パーミッションチェック
は拒否されています。unlabeled_t は、SELinux カーネルがラベルを持たない
ファイルに与えるコンテキストです。これは、深刻なラベル付けの問題を
示しています。SELinux ボックス上のファイルには、unlabeled_t というラベル
を絶対に付けないでください。システムにディスクドライブを追加したばかり
の場合は、restorecon コマンドを使用してラベルを付け直すことができます。
たとえば、SELinux を使用していない以前のインストールからホームディレクトリーを保存した場合、'restorecon -R -v /home' がラベルを修正します。
それ以外の場合は、ファイルシステム全体のラベルを変更する必要があります。
�
SELinux ポリシーにより、httpd スクリプトのパブリックディレクトリーへの書き込みが
拒否されます。
�
SELinux ポリシーにより、httpd スクリプトのパブリックディレクトリーへの書き込みが
拒否されます。 httpd に、パブリックディレクトリーへの書き込みが設定されていない
場合は、 セキュリティ侵害の試みがなされた可能性があります。
�
SELinux は、$SOURCE が、タイプ "$TARGET_TYPE" の "$TARGET_PATH" のファイルまたは
ディレクトリーにファイルシステムをマウントすることを阻止しました。デフォルトでは、
SELinux は、ファイルシステムのマウントを、一部のファイルやディレクトリー
(マウントポイント属性があるタイプが含まれるもののみ) に制限します。タイプ "$TARGET_TYPE"
にはこの属性がありません。ファイルまたはディレクトリーのラベルは変更することができます。
�
SELinux により、"$TARGET_PATH" という名前のファイルまたはディレクトリー
(タイプ "$TARGET_TYPE") における、$SOURCE によるマウントが阻止されました。
�
SELinux は httpd の $TARGET_PATH への $ACCESS アクセスを阻止しました。
httpd スクリプトは、すべてのファイルに明示的なラベルがなければ、コンテンツに
書き込むよう許可されません。$TARGET_PATH が書き込み可能なコンテンツである
場合、httpd_sys_rw_content_t のラベルが必要となり、追記が必要なだけの場合は、 httpd_sys_ra_content_t のラベルを付けます。httpd と selinux の設定に関する詳細は、'man httpd_selinux' を参照して下さい。
�
SELinux により、http ファイルへの httpd $ACCESS アクセスが阻止されました。
通常の httpd の場合、 http ファイルコンテキストのラベルが付けられたファイルには完全アクセスが
許可されます。 このマシンでは、 $BOOLEAN がオフに設定され、 セキュリティーポリシーが
強化されています。このため、 すべてのファイルに明示的なラベル付けを行う必要があります。
ファイルが cgi スクリプトの場合は、 スクリプトを実行するために httpd_TYPE_script_exec_t のラベル
を付ける必要があります。読み取り専用のコンテンツの場合は、 httpd_TYPE_content_t のラベルを
付けます。 書込み可能なコンテンツなら、 httpd_TYPE_script_rw_t または httpd_TYPE_script_ra_t の
ラベルを付ける必要があります。 コンテキストは、chcon コマンドを使用して変更できます。
man ページの "man httpd_selinux" を参照するか、 <a href="http://fedora.redhat.com/docs/selinux-apache-fc3">FAQ</a>
をご覧ください。 "TYPE" は "sys"、 "user"、 "staff"
を参照しているか、他のスクリプトタイプのいずれかを参照している場合があります。
�
SELinux により、httpd は、 http ファイルへの $ACCESS アクセスを阻止しました。
�
SELinux は、$ACCESS から、CIFS ファイルシステム上に保存されているファイルへ、ftp デーモンがアクセスするのを阻止しました。
�
SELinux は、CIFS ファイルシステムに格納されているファイルへ、ftp デーモンが $ACCESS するのを阻止しました。
CIFS (Comment Internet File System) は、SMB と同様のネットワークファイルシステムです、
(<a href="http://www.microsoft.com/mind/1196/cifs.asp">http://www.microsoft.com/mind/1196/cifs.asp</a>)。
ftp デーモンは、マウントされているこのタイプのファイルシステムから、1 つまたは複数の
ファイルまたはディレクトリーを読み込もうとしました。 CIFS ファイルシステムは SELinux の
詳細なラベル機能をサポートしていないため、ファイルシステム内のファイルおよびディレクトリーはすべて、
同じセキュリティーコンテキストを有することになります。
ftp デーモンが CIFS ファイルシステムからファイルを読み込むように設定していない場合、
このアクセスは、不正侵入が行われたことを示している可能性があります。
�
SELinux は、ftp デーモンが $ACCESS から NFS ファイルシステム上に保存されているファイルへのアクセスを阻止しました。
�
SELinux は、NFS ファイルシステムに格納されているファイルへ、ftp デーモンが $ACCESS するのを阻止しました。
NFS (Network Filesystem) は、Unix システム/ Linux システムで一般的に使用されるネットワーク
ファイルシステムです。
ftp デーモンは、マウントされているこのタイプのファイルシステムから、1 つまたは複数の
ファイルまたはディレクトリーを読み込もうとしました。 NFS ファイルシステムは、SELinux の詳細な
ラベル機能はサポートしていないため、 ファイルシステム内のすべてのファイルおよびディレクトリーは、
同じセキュリティーコンテキストを有することになります。
NFS ファイルシステムからファイルを読み込むように ftp デーモンが設定していない場合、
このアクセスの試行が不正侵入の試行を示唆する可能性があります。
�
ライブラリーに、間違って execstack フラグが付けられていることがあります。
このフラグの付いたライブラリーを見つけた場合は、execstack -c LIBRARY_PATH で
それを消去できます。その後にアプリケーションを再試行して下さい。
アプリケーションが機能しない状態が継続する場合は、
execstack -s LIBRARY_PATH でフラグを戻すことができます。
�
$SOURCE アプリケーションがヒープメモリー (例えば malloc を使った割当て)
のアクセス保護を変更しようと試みましたが、これはセキュリティーの問題となる可能性が
あります。アプリケーションはこのような動作を行うべきではありません。
アプリケーションは誤って記述されることがあり、 このパーミッションを要求
することがあります。
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
のウェブページに、この要求の削除方法が記載されています。 $SOURCE が動作せず、
動作させる必要がある場合は、 アプリケーションが修正されるまでの間、
SELinux で一時的にこのアクセスを許可することができます。 このパッケージ
に関するバグレポートを提出してください。
�
$SOURCE アプリケーションは、テキスト移動を要求する $TARGET_PATH
のロードを試行しました。 セキュリティーの問題となる可能性があります。
ほとんどのライブラリーはこの許可を必要としません。 ライブラリーは
誤って記述されることがあり、 この許可を要求することがあります。
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
の Web ページで、この要求の削除方法について説明しています。 ライブラリーが
修正されるまでの間の回避策として、SELinux で、一時的に $TARGET_PATH が
移動を使用できるようにすることができます。 このパッケージに関するバグレポート
を提出してください。
�
$SOURCE アプリケーションは、テキスト移動を要求する $TARGET_PATH
のロードを試行しました。 セキュリティーの問題となる可能性があります。
ほとんどのライブラリーはこの許可を必要としません。
<a href="http://people.redhat.com/drepper/selinux-mem.html">
SELinux Memory Protection Tests</a>
のウェブページで、このチェックについて説明しています。 このツールはライブラリーが正しく
構築されたかどうかを調べます。そのため、setroubleshoot は、このアプリケーションがセキュリティーのリスクにさらされているかどうかを判別できません。これは重大な問題となる可能性があり、お使いのシステムがセキュリティーのリスクにさらされている可能性があります。
セキュリティー管理者に連絡し、この問題をレポートしてください。
�
$SOURCE アプリケーションが独自のスタックを実行可能にしようと試みました。
セキュリティーの問題となる可能性があります。これは完全に不要な動作です。
最近の OS では、ほとんどの場合スタックメモリーは実行可能になっていません。また、
これが変更されることもありません。実行可能なスタックメモリーはセキュリティーに関する
重大な問題の1 つです。execstack エラーは悪意のあるコードに
よって発生する可能性が最も高くなるためです。アプリケーションは誤って記述
されることがあり、この許可を要求することがあります。
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
のウェブページに、この要求の削除方法が記載されています。$SOURCE が動作せず、これを
動作させる必要がある場合に、アプリケーションが修正されるまでの間、
SELinux で、一時的にこのアクセスを許可することができます。
バグレポートを提出してください。
�
"cp -p" などのコマンドを使用して、SELinux コンテキスト以外の全ての権限を保持します。
�
chcon -R -t cvs_data_t '$TARGET_PATH' を実行すると、ファイルコンテキストを変更することができます。
また、完全な再ラベルの後でもそれらを維持できるようにするには、システム上のデフォルトのファイルコンテキストファイルの変更もしなければなりません。 "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'"
�
chcon -R -t rsync_data_t '$TARGET_PATH' を実行すると、ファイルコンテキストを変更することができます。
また、このコンテキストを完全な再ラベルの後でも保持できるように、システムでデフォルトのファイルコンテキストも変更する必要があります。"semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'"
�
chcon -R -t samba_share_t '$TARGET_PATH' を実行すると、ファイルコンテキストを変更することができます。
また、完全な再ラベルの後もそのコンテキストを保持するために、システムでデフォルトとなるファイルコンテキストファイルも変更する必要があります。"semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'"
�
chcon -t public_content_t '$TARGET_PATH' を実行すると、 ファイルのコンテキストを
変更することができます。 また、 完全な再ラベル付けが行なわれた後も変更した
ファイルコンテキストを維持させたい場合には、 システム上でデフォルトのファイル
コンテキストのファイルも変更する必要があります。 "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'" �
chcon -t swapfile_t '$TARGET_PATH' を実行すると、ファイルコンテキストを変更することができます。
また、完全な再ラベルの後でもそのコンテキストを保持するために、システムでデフォルトとなるファイルコンテキストファイルも変更する必要があります。"semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'"
�
chcon -t virt_image_t '$TARGET_PATH' を実行すると、ファイルコンテキストを変更できます。
また、完全な再ラベルの後でもそのファイルコンテキストを保持できるように、システムにおけるデフォルトのファイルコンテキストファイルも変更する必要があります。"semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'"
�
chcon -t xen_image_t '$TARGET_PATH' を実行すると、ファイルコンテキストの 変更ができます。
また、完全な再ラベルの後でもそのコンテキストが保持されるように、システムでデフォルトとなるファイルコンテキストファイルも変更する必要があります。"semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'"
�
root として次のコマンドを実行すると、ご使用のコンピューターを再ラベルする
ことができます: "touch /.autorelabel; reboot"
�
ローカルポリシーモジュールを生成して、このアクセスを許可するように
できます。<a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a> をご覧下さい。
バグレポートを提出してください。
�
ローカルポリシーモジュールを生成して、このアクセスを許可できます。
<a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a> をご覧ください。
�
restorecon コマンドを実行することにより、このファイルへのデフォルトのシステムコンテキストを
復元できます。
# restorecon -R /root/.ssh
�
restorecon コマンドを実行することにより、このファイルへデフォルトのシステムコンテキストを
復元できます。
# restorecon -R /root/.ssh
�
restorecon コマンドを実行することにより、このファイルのコンテキストを
システムの初期値に復元できます。 restorecon '$SOURCE_PATH' 。
�
restorecon コマンドを実行することにより、 このファイルにデフォルトの
システムコンテキストを復元することができます (restorecon '$TARGET_PATH')。
このファイルがディレクトリーの場合には、 restorecon -R '$TARGET_PATH' を
使用して再帰的に復元することができます。
�
ご使用のシステムには深刻な侵害の可能性があります!
�
ご使用のシステムは、深刻なセキュリティー侵害の可能性があります! $SOURCE_PATH が低位置カーネルメモリーへの mmap を試行しました。
�
ご使用のシステムには深刻な侵害の可能性があります! $SOURCE_PATH がカーネルモジュールをロードしようとしました。
�
ご使用のシステムには深刻な侵害の可能性があります! $SOURCE_PATH が SELinux 強制を修正しようとしました。
�
ご使用のシステムには深刻な侵害の可能性があります! $SOURCE_PATH がカーネル設定を変更しようとしました。
�
IPv6 を正しく無効化しました。
�
'yum remove mozplugger' を実行して mozplluger パッケージを削除するか、
Firefox プラグイン上の SELinux の強制をオフにします。
setsebool -P unconfined_mozilla_plugin_transition 0
�
'yum remove mozplugger spice-xpi' を実行して mozplluger または spice-xpi のパッケージを削除するか、Firefox プラグインで SELinux の強制をオフにします。setsebool -P unconfined_mozilla_plugin_transition 0
�
'yum remove mozplugger spice-xpi' を実行して mozplluger または spice-xpi のパッケージを削除するか、Chrome プラグインで SELinux の強制をオフにします。setsebool -P unconfined_chrome_sandbox_transition 0
�
問題になっているプログラムを継続して実行する決定をした場合は、この
操作を許可する必要があります。これは以下のようにコマンドラインで
実行できます:
# setsebool -P mmap_low_allowed 1
�
SELinux は、ビデオハードウェアの状態を変更するためのプログラム $SOURCE が
要求する操作を拒否しました。vbetool としてなりすましたその他の多くの
マルウェア/セキュリティーの弱点を突くプログラムと同様、このプログラムはシステムメモリー上で
安全でない操作をすることで知られています。このツールは、マシンがサスペンドから 復帰する際に
ビデオの状態をリセットするために使用されます。使用中のマシンが正常に復帰しない場合は、
この操作を許可するのが唯一の選択肢となり、悪意のプログラムに対するシステムのセキュリティーは低下します。
�
SELinux は、Linux 上で Windows アプリケーションを実行するのに使用されるプログラム
wine-preloader が要求する操作を拒否しました。このプログラムは、wine としてなりすました
多くのマルウェア/セキュリティーの弱点を突くプログラムと同様、システムメモリー上で安全でない操作を使用することで
知られています。Windows プログラムを実行しようとしている場合は、この操作を許可し、そのような悪意のあるプログラムに対するシステムセキュリティーレベルを下げるか、Linux 上で Windows アプリケーションの実行を避けることができます。Windows アプリケーションの
実行を試行していない場合、これは、不正目的でシステムを悪用しようとしているプログラムの攻撃を受けていることを示します。
以下のサイトを参照して下さい:
http://wiki.winehq.org/PreloaderPageZeroProblem
このサイトには、メモリーの使用が安全ではないために、wine が遭遇するその他の問題と、そのソリューションの概要が記載されています。
�
全面的な監査を開始します
# auditctl -w /etc/shadow -p w
AVC の再作成を試みます。その後に以下を実行します。
# ausearch -m avc -ts recent
PATH 記録を確認できる場合は、ファイルの所有権/許可をチェックして修正し、
確認できない場合はバグとして報告します。�
%s に、ファイルタイプではないタイプの配置を試みました。このタイプは使用できないため、ファイルタイプを指定する必要があります。次の seinfo コマンドを使用すると、ファイルタイプを一覧表示することが出来ます。
seinfo -afile_type -x
� "$BOOLEAN" および "$WRITE_BOOLEAN" の boolean を true に変更すると、
このアクセスが許可されます:
"setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1"
警告: "$WRITE_BOOLEAN" の boolean を true に設定すると、 CIFS
ファイルシステム上のファイルやディレクトリーへの書き込みに加えて、
すべての公開コンテンツ (タイプが public_content_t のファイルと
ディレクトリー) への書き込みも、ftp デーモンに許可することになります。 �"allow_ftpd_use_nfs" と "ftpd_anon_write" のブール値を
true に変更すると、 このアクセスが許可されます:
"setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1"
警告: "ftpd_anon_write" のブール値を true に設定すると、
NFS ファイルシステム上のファイルやディレクトリーへの
書き込みのほかに、 すべての公開コンテンツ (タイプが
public_content_t のファイルとディレクトリー) への書き込みも
ftp デーモンに許可することになります。�# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE
# semodule -X 300 -i my-$SOURCE.pp�# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH'
この FILE_TYPE は以下のいずれかになります: %s.
次に、以下を実行してください:
restorecon -v '$FIX_TARGET_PATH'
�# semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s'
# restorecon %s -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage port -a -t %s -p %s $PORT_NUMBER�# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
ここで、PORT_TYPE は 以下のいずれかとなります: %s。�あるプロセスがシステムへのハッキングを試みている可能性があります。�net.ipv6.conf.all.disable_ipv6 = 1 を
/etc/sysctl.conf に追加します
�以下を実行して、このアクセスを許可します:
# ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME
# semodule -X 300 -i my-$MODULE_NAME.pp�ファイルコンテキストを変更します。�ラベルの変更�ライブラリーのラベルを変更します。�ファイルラベルを xen_image_t に変更します。�セキュリティー管理者に、この問題を報告してください。�Chrome プラグインにおいて SELinux 制御を無効化�ブール値を有効にします�ブール値を有効にします。�$TARGET_BASE_PATH が仮想的なターゲットである場合�$TARGET_BASE_PATH は RSYNC デーモンによって共有されるべきです�$TARGET_BASE_PATH は、cvs デーモンを経由して共有されている必要がある場合�$SOURCE_BASE_PATH は、 $TARGET_BASE_PATH ファイルを作成するために許可されているべきと考える場合�$SOURCE_PATH が SELinux を無効にしようとしたと考える場合。�%s は
execstack を
必要としないと思われる場合�$SOURCE_BASE_PATH に、$TARGET_TYPE とラベルされている $TARGET_CLASS への $ACCESS アクセスが、デフォルトで許可されるべきだと考える場合。�$SOURCE_BASE_PATH に、 $TARGET_TYPE にラベルされているプロセスでの $ACCESS アクセスがデフォルトで許可されるべきと考える場合。�$SOURCE_BASE_PATH に、 $TARGET_BASE_PATH $TARGET_CLASS の $ACCESS アクセスがデフォルトで許可されるべきと考える場合。�$SOURCE_BASE_PATH には、$ACCESS 機能をデフォルトで持たせるべきと考える場合。�この AVC は、このテストによって直接起こったものではない場合。�$SOURCE_PATH は kernel モジュールをロードし、kernel を編集しようとすべきではないと考える場合。�$SOURCE_PATH は kernel モジュールをロードし、kernel を編集すべきではないと考える場合�$SOURCE_BASE_PATH が $TARGET_BASE_PATH の $ACCESS アクセスを試みるべきではないと考える場合。�$SOURCE_PATH に、書き込みと実行の両方が可能になる、ヒープメモリーのマッピングを行う必要がないと考える場合。�$SOURCE_PATH に、書き込みと実行の両方が可能となる、スタックメモリーのマッピングを行なう必要がある場合。�$SOURCE_PATH にカーネル内で低いメモリーの mmap を行なう必要があるとは思えない場合。�プロセスに、システム上の全システムリソースを消費できる機能を要求させたくない場合;�これが、間違ったラベルを付けられたマシンによって起こされたと考える場合。�%s をする場合�$SOURCE_BASE_PATH が、 $TARGET_BASE_PATH にマウントすることを許可したい場合。�$SOURCE_PATH による、共有の公開コンテンツへの書き込みを許可する場合�$SOURCE_PATH を、ネットワークポート $PORT_NUMBER に接続したい場合�$SOURCE_PATH が、ネットワークポート $PORT_NUMBER に接続したい場合�ftpd が、cifs ファイルシステムに書き込むことを許可したい場合�ftpd が、nfs ファイルシステムに書込むことを許可したい場合�httpd による cgi スクリプトの実行、 および全コンテンツファイルの HTTPD 処理の統一を許可したい場合。�httpd が、メール送信することを許可する場合�$TARGET_PATH のラベルを %s に変更にすることは、それが有効なファイルタイプではないため、許可されません。�このマシンにおいて IPV6 を無効化したい場合�ラベルを修正する場合。
$SOURCE_PATH のデフォルトランレベルは %s のはずです。�ラベルを修正する場合。
$TARGET_PATH のデフォルトラベルは %s のはずです。�ドメインがこのアクセスを必要とするか、または使用しているシステムにおけるパーミッションに誤りがあるファイルを所有しているかを確認したい場合�このアクセスは必要ではないため、$SOURCE_BASE_PATH が、 $TARGET_BASE_PATH $TARGET_CLASS へ $ACCESS アクセスを試みることを、拒否したい場合。�この AVC を無効にしたい場合。この AVC は危険ですが、マシンは正常に動作しているため。�この AVC を無効にしたい場合。この AVC は安全ではありませんが、wine アプリケーションは正常に動作しているため。�$SOURCE_BASE_PATH が $ACCESS へアクセスできるよう、 $TARGET_BASE_PATH のラベルを編集したい場合�$SOURCE_BASE_PATH が $ACCESS へアクセスできるよう、 $TARGET_BASE_PATH を標準の場所に移動したい場合�mozplugger パッケージではなく、SELinux Firefox プラグインの内容を続けて使用したい場合�$TARGET_BASE_PATH を公開コンテンツとして処理する場合�%s パッケージを使用したい場合�ファイルシステム全体のラベルを変更します。再起動も含まれます。�コンテキストの
復元�コンテキストの復元�SELinux は、$SOURCE_PATH による "$ACCESS" アクセスを阻止しています。�イメージラベルを virt_image_t に設定します。�これは、新規作成されたファイルシステムによって引き起こされたものです。�ラベルの修正を試みます。�メモリーの保護をオフにします�詳細情報については、'%s' man ページをご覧下さい。�ハッキングされている可能性があります。�'%s' boolean を有効にして、 これを SELinux で有効にします。
�$FIX_TARGET_PATH のラベルを変更する必要があります�$TARGET_BASE_PATH のラベルを変更する必要があります�$TARGET_BASE_PATH のラベルを public_content_t または public_content_rw_t に変更する必要があります。�$TARGET_BASE_PATH' のラベルを変更する必要があります�$TARGET_PATH のラベルを、同種のデバイスのタイプに変更する必要があります。�'$FIX_TARGET_PATH' のラベルを変更する必要があります�バグとして報告してください。
ローカルのポリシーモジュールを生成すると、
このアクセスを許可することができます。�バグとして報告してください。
ローカルのポリシーモジュールを生成すると、このアクセスを監査しないようにできます。�execstack -c %s�これがハッキングされていると考える場合�setsebool -P %s %s�全面的な監査を開始し、違反しているファイルに関するパス情報を取得し、 再度エラーを生成します。�"cp -p" などのコマンドを使用して、SELinux コンテキスト以外の全ての権限を保持します。�restorecon を実行することができます。�restorecon を実行することができます。親ディレクトリーにアクセスするのに必要な権限がないため、要求されたアクセスが停止した可能性があります。この場合は、以下のコマンドを状況に応じて適切に変更します。�このアクセスが制限したアプリケーションで必要とされることは絶対にないため、 ハッカーからの攻撃を受けている可能性があります。�制限したアプリケーションではこのアクセスは必要とされないため、 ハッカーから攻撃を受けている可能性があります。�ハッカーから攻撃されている可能性があります。これは非常に危険なアクセスです。�$TARGET_PATH のラベルを変更しなければいけません。�ラベルを修正しなければいけません。�cert ファイルを ~/.cert directory に移動しなければいけません�有効なファイルラベルを選択する必要があります。�mozplugger パッケージを削除する必要があります。�これを許可するには、SELinux を設定しなければいけません�これについては、SELinux に設定をしなければいけません�これについては、SELinux で 'httpd_unified' と 'http_enable_cgi' booleans を有効にしなければいけません�これについては、SELinux に、vbetool_mmap_zero_ignore boolean を有効にする設定が必要です。�これについては、SELinux に wine_mmap_zero_ignore を有効にする設定が必要です。�Chrome プラグインにおいて SELinux 制御を無効化する必要があります。�Firefox プラグインで SELinux の制御をすべてオフにする必要があります。�これにラベルを追加する必要があります。�$TARGET_PATH のラベルを public_content_rw_t に変更する必要があります。 また、 allow_httpd_sys_script_anon_write boolean で有効にすることが必要になる場合もあります。�システムリソースが不足している原因を突き止め、問題を解決する必要があります。
/usr/include/linux/capability.h によると、sys_resource は次のような場合に必要となります。
/* リソースの上限を無効にしてから設定する */
/* クオータの上限を無効にする */
/* ext2 ファイルシステムの予約領域を無効にする */
/* ext3 ファイルシステムのデータジャーナリングモードを変更する (ジャーナリングのリソースを使用) */
/* 注意: ext2 は、リソースの無効化チェックの際に fsuid を受け取るため、fsuid で無効化を行うこともできます */
/* IPC メッセージキューでサイズ制限を無効にする */
/* リアルタイムクロックからの、64hz を超える割り込みを許可する */
/* コンソールの割り当てでコンソールの最大数を無効にする */
/* キーマップの最大数を無効にする */
�すべてにラベルを付け直す必要があります。�サンドボックスタイプを変更する必要があります。sandbox_web_t または sandbox_net_t です。
例:
sandbox -X -t sandbox_net_t $SOURCE_PATH
詳細は 'sandbox' の man ページを参照してください。
�バグをレポートする必要があります。
これは危険なアクセスです。�バグをレポートする必要があります。これは危険なアクセスです。�/proc/sys/net/ipv6/conf/all/disable_ipv6 を 1 に設定する必要があり、モジュールをブラックリストにしません�別のコマンドを使用する必要があります。ターゲットのファイルシステムで、SELinux コンテンツを保持することはできません。�execstack フラグを削除して、$SOURCE_PATH が正常に機能していることを確認する必要があります。
これは %s のバグとして報告します。
以下を実行すれば、execstack フラグを削除できます。�
Sindbad File Manager Version 1.0, Coded By Sindbad EG ~ The Terrorists