#1 11-09-2016 11:56:26

stud-lav
Pinguino avanzato
Registrato: 29-09-2010
Messaggi: 105

[Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

Buongiorno a tutti, torno a scrivere sul forum per avere la seguente informazione; ho da poco installato Fedora24 sul mio notebook Lenovo E130, mi trovo bene, non ho avuto particolari problemi in fase di installazione; ho reinstallato i driver della mia stampante Brother MFC-j4620dw, ho seguito lo script suggerito per l'installazione dei driver della stampante; la procedura e' andata a buon fine; d'altronde l'ho seguita anche su Fedora23; al momento non riesco ad eseguire alcun tipo di stampa, in quanto ogni qualvolta provo a lanciare un processo di stampa si attiva un'allarme di SeLinux impedendomi la stampa; immagino che il problema non sia solo mio; avrei voluto allegarvi l'immagine con l'errore ma non sono riuscito a farlo; in quanto selezionando l'iconcina immagina del forum, mi chiede l'url dell'immagine, immagine di dover selezionare il percorso dove ho salvato l'immagine, sinceramente non ho esperienza in questo.
Grazie, in ogni caso per la consueta disponibilita'...

Non in linea

#2 11-09-2016 15:43:21

arkanoid
Moderatore
Da Trento
Registrato: 06-05-2010
Messaggi: 1'972
Sito web

Re: [Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

Ciao stud-lav. No, non servono immagini.

Prova a stampare e, in seguito, copia e incolla qui il seguente output:

# /sbin/ausearch -m avc -ts today

|| FAS: juliuxpigface || IRC: jpigface || GITHUB: pigjuliux ||

Non in linea

#3 13-09-2016 22:42:32

stud-lav
Pinguino avanzato
Registrato: 29-09-2010
Messaggi: 105

Re: [Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

Grazie ho digitato il comando suggerito; l'output e' il seguente:

time->Tue Sep 13 23:38:24 2016
type=AVC msg=audit(1473802704.323:257): avc:  denied  { execmem } for  pid=3909 comm="brcupsconfpt1" scontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tclass=process permissive=0
----
time->Tue Sep 13 23:38:25 2016
type=AVC msg=audit(1473802705.605:259): avc:  denied  { execmem } for  pid=3926 comm="brmfcj4620dwfil" scontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tclass=process permissive=0

Forse devo mdificare qualche parametro di SeLinux.
Grazie mille, resto in attesa.

Ultima modifica di arkanoid (14-09-2016 12:21:18)

Non in linea

#4 14-09-2016 12:20:55

arkanoid
Moderatore
Da Trento
Registrato: 06-05-2010
Messaggi: 1'972
Sito web

Re: [Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

1. Apri il "Browser allarmi di SELinux".
2. Cerca la segnalazione riguardante "brcupsconfpt1" e premi su "Dettagli".
3. Incolla qui quanto ti viene proposto nella casella di testo, situata nella parte inferiore dell'applicazione.
4. Cerca la segnalazione riguardante "brmfcj4620dwfil" e premi su "Dettagli".
5. Incolla qui quanto ti viene proposto nella casella di testo, situata nella parte inferiore dell'applicazione.

Per preservare la leggibilità del topic, ti chiedo però cortesemente, di utilizzare il tag [ code ] (correggo io post #3):

[code]così[/code]

|| FAS: juliuxpigface || IRC: jpigface || GITHUB: pigjuliux ||

Non in linea

#5 06-10-2016 11:40:31

stud-lav
Pinguino avanzato
Registrato: 29-09-2010
Messaggi: 105

Re: [Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

Grazie per tutte le informazioni, rispondo solo ora perche' sono stato fuori regione per alcune settimane; purtroppo non sono ancora riuscito a risolvere i problemi con la mia stampante; riporto quanto viene proposto nella casella di testo:

[SELinux is preventing brcupsconfpt1 from using the execmem access on a process]

*****  Plugin catchall_boolean (89.3 confidence) suggests   ******************

[/If si desidera allow cups to execmem
Then è necessario informare SELinux abilitando il booleano 'cups_execmem' .]
Per maggiori informazioni consultare le pagina man di 'None'.
[/Do
setsebool -P cups_execmem 1]

*****  [Plugin catchall (11.6 confidence) suggests]   **************************

If si crede che brcupsconfpt1 dovrebbe avere possibilità di accesso execmem ai processi etichettati cupsd_t in modo predefinito.
Then si dovrebbe riportare il problema come bug.
E' possibile generare un modulo di politica locale per consentire questo accesso.
Do
allow this access for now by executing:
# [ausearch -c 'brcupsconfpt1' --raw | audit2allow -M my-brcupsconfpt1]
# [semodule -X 300 -i my-brcupsconfpt1.pp]

Additional Information:
Source Context                [/system_u:system_r:cupsd_t:s0-s0:c0.c1023]
Target Context                [/system_u:system_r:cupsd_t:s0-s0:c0.c1023]
Target Objects                [/Unknown] [ process ]
Source                       [/brcupsconfpt1]
Source Path                   [/brcupsconfpt1]
Port                        [/<Unknown>]
Host                         [/ localhost.localdomain]
Source RPM Packages           
Target RPM Packages           
Policy RPM                    [/selinux-policy-3.13.1-191.17.fc24.noarch]
Selinux Enabled               [/True]
Policy Type                   [/targeted]
Enforcing Mode                [/Enforcing]
Host Name                     [/localhost.localdomain]
Platform                      [/Linux localhost.localdomain 4.7.5-200.fc24.x86_64]
                              [/#1 SMP Mon Sep 26 21:25:47 UTC 2016 x86_64 x86_64]
Alert Count                   [/28]
First Seen                    [/2016-08-29 22:39:28 CEST]
Last Seen                     [/2016-10-06 12:13:31 CEST]
Local ID                     [/ ab8523a3-5a8d-4fcc-8f1c-e87f8a28c046]

Raw Audit Messages
[/type=AVC msg=audit(1475748811.83:307): avc:  denied  { execmem } for  pid=6451 comm="brmfcj4620dwfil" scontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tclass=process permissive=0]


[Hash: brcupsconfpt1,cupsd_t,cupsd_t,process,execmem].

Chiedo scusa se non sono stato preciso nell'utilizzo dei tag code, non ho grande dimestichezza nell'utilizzo di questi strumenti.
Ho provato a lanciare nuovamente lo script per reistallare i driver della mia stampante, ma dopo 5s, il processo di stampa fallisce e dal browser posso solo cliccare sul tastino mostra per visualizzare gli allarmi di selinux.
Resto in attesa di ulteriori informazioni, per risolvere definitivamente questo fastidioso problema...
Grazie.

Ultima modifica di arkanoid (08-10-2016 09:38:15)

Non in linea

#6 06-10-2016 14:16:21

andreamal
Fedora nel sangue
Da Roma
Registrato: 16-12-2009
Messaggi: 1'480

Re: [Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

Per inserire i tag ci sono 2 sistemi:

  1. da tastiera, per iniziare il tag [alt gr]+'è' per aprire la parentesi quadra, scrivi 'code' e premi [alt gr]+'+' per chiudere la parentesi,
    per finire [alt gr]+'è' per aprire  la parentesi quadra, scrivi '/code' e premi [alt gr]+'+' per chiudere la parentesi;

  2. con il mouse sulla barra subito sopra allo messaggio c'è un'icona che rappresenta un papiro con davanti i caratteri '<>', basta cliccarci sopra.

Non c'è nulla di particolarmente difficile.

Comunque in questo punto c'è la soluzione al tuo problema

If si crede che brcupsconfpt1 dovrebbe avere possibilità di accesso execmem ai processi etichettati cupsd_t in modo predefinito.
Then si dovrebbe riportare il problema come bug.
E' possibile generare un modulo di politica locale per consentire questo accesso.
Do
allow this access for now by executing:
# [ausearch -c 'brcupsconfpt1' --raw | audit2allow -M my-brcupsconfpt1]
# [semodule -X 300 -i my-brcupsconfpt1.pp]

in pratica dice

Se si crede che brcupsconfpt1 dovrebbe avere possibilità di accesso execmem ai processi etichettati cupsd_t in modo predefinito.
Allora si dovrebbe riportare il problema come bug.

E' possibile generare un modulo di politica locale per consentire questo accesso.

Per consentire l'accesso eseguire (da root)

# ausearch -c 'brcupsconfpt1' --raw | audit2allow -M my-brcupsconfpt1
# semodule -X 300 -i my-brcupsconfpt1.pp

Se vuoi stampare puoi dare i 2 comandi (e se preferisci attendere conferme o smentite non mi offendo)
A questo punto tocca a te decidere, vuoi segnalare l'errore in modo che possa essere corretto? In questo io non saprei come aiutarti ma sicuramente c'è più d'uno qui sul forum che è capace.


Ciao
Andrea Malfatti

Non in linea

#7 08-10-2016 09:48:17

arkanoid
Moderatore
Da Trento
Registrato: 06-05-2010
Messaggi: 1'972
Sito web

Re: [Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

Io direi che può esser utile segnalare il problema agli sviluppatori, altrimenti l'inconveniente rischia di ripetersi ciclicamente ad ogni rilascio.

Non è un procedimento semplicissimo, ma si può sempre imparare. È sufficiente operare così:
1. Registrati su Bugzilla e conferma l'account.
2. Apri il "Browser degli allarmi di SELinux".
3. Posizionati sul problema indicato.
4. Click sul bottone "Risoluzione dei problemi"
5. Click sul bottone che si trova sulla sinistra dell'interfaccia (che in questo caso dovrebbe contenere la frase "Se si crede che brcupsconfpt1 dovrebbe avere possibilità di accesso execmem ai processi etichettati cupsd_t in modo predefinito.")
6. Click sul bottone "Segnala bug".
7. "Submit report".
8. Nel commento puoi scrivere: "This pops up everytime I try to print with my Brother MFC-j4620dw"
9. Prosegui fino alla fine (quando richiesto, inserisci login e password di Bugzilla). Ti viene indicato anche un link da cui è possibile seguire l'evoluzione della situazione.
10. Se in futuro dovessi ricevere mail o commenti a riguardo della segnalazione, prosegui pure su questo topic che vediamo come rispondere.


|| FAS: juliuxpigface || IRC: jpigface || GITHUB: pigjuliux ||

Non in linea

#8 14-10-2016 02:02:02

stud-lav
Pinguino avanzato
Registrato: 29-09-2010
Messaggi: 105

Re: [Risolto] SELinux e problemi di stampa (Brother MFC-j4620dw)

Ciao a tutti, ho lanciato da terminale i comandi suggeriti e finalmente la mia Brother ha cominciato a stampare; sinceramente non ho ancora provato ad inviare la segnalazione agli sviluppatori, provero' a seguire la procedura indicata durante il fine settimana, approfittando di un po' di tempo libero.
Grazie sempre per la vostra consueta' disponibilita' ed attenzione.
Saluti.

Non in linea

Piè di pagina