[Risolto] SeLinux e firefox

Fedora Linux Internet, Reti e Sicurezza
#1

Buongiorno, ho un problema con firefox, nel senso che, in molte pagine dove navigo, in genere dove ci sono dei filmati, tipo l’ansa o youtube, mi arriva l’avviso di SeLinux, che sono queste due:

[code]SELinux is preventing /usr/lib/xulrunner/plugin-container from create access on the file videostats.sxx.

***** Plugin catchall (100. confidence) suggests ***************************

If si crede che plugin-container dovrebbe avere possibilità di accesso create sui videostats.sxx file in modo predefinito.
Then si dovrebbe riportare il problema come bug.
E’ possibile generare un modulo di politica locale per consentire questo accesso.
Do
consentire questo accesso per il momento eseguendo:

grep plugin-containe /var/log/audit/audit.log | audit2allow -M mypol

semodule -i mypol.pp

Additional Information:
Source Context unconfined_u:unconfined_r:mozilla_plugin_t:s0-s0:c
0.c1023
Target Context unconfined_u:object_r:user_home_t:s0
Target Objects videostats.sxx file ]
Source plugin-containe
Source Path /usr/lib/xulrunner/plugin-container
Port
Host luca
Source RPM Packages xulrunner-16.0.2-1.fc17.i686
Target RPM Packages
Policy RPM selinux-policy-3.10.0-156.fc17.noarch
Selinux Enabled True
Policy Type targeted
Enforcing Mode Enforcing
Host Name luca
Platform Linux luca 3.6.6-1.fc17.i686.PAE #1 SMP Mon Nov 5
22:05:54 UTC 2012 i686 i686
Alert Count 17
First Seen 2012-11-10 15:38:08 CET
Last Seen 2012-11-10 15:41:22 CET
Local ID 4d197f08-26b4-4683-8d3d-897b1abd66c2

Raw Audit Messages
type=AVC msg=audit(1352558482.511:142): avc: denied { create } for pid=3573 comm=“plugin-containe” name=“videostats.sxx” scontext=unconfined_u:unconfined_r:mozilla_plugin_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file

type=SYSCALL msg=audit(1352558482.511:142): arch=i386 syscall=open success=no exit=EACCES a0=b4dcf498 a1=8442 a2=1b6 a3=b74a0b40 items=0 ppid=3400 pid=3573 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=(none) ses=2 comm=plugin-containe exe=/usr/lib/xulrunner/plugin-container subj=unconfined_u:unconfined_r:mozilla_plugin_t:s0-s0:c0.c1023 key=(null)

Hash: plugin-containe,mozilla_plugin_t,user_home_t,file,create

audit2allow

#============= mozilla_plugin_t ==============
allow mozilla_plugin_t user_home_t:file create;

audit2allow -R

#============= mozilla_plugin_t ==============
allow mozilla_plugin_t user_home_t:file create[/code]

[code]SELinux is preventing /usr/lib/xulrunner/plugin-container from create access on the directory 1031100400_visual.swf.

***** Plugin catchall (100. confidence) suggests ***************************

If si crede che plugin-container dovrebbe avere possibilità di accesso create sui 1031100400_visual.swf directory in modo predefinito.
Then si dovrebbe riportare il problema come bug.
E’ possibile generare un modulo di politica locale per consentire questo accesso.
Do
consentire questo accesso per il momento eseguendo:

grep plugin-containe /var/log/audit/audit.log | audit2allow -M mypol

semodule -i mypol.pp

Additional Information:
Source Context unconfined_u:unconfined_r:mozilla_plugin_t:s0-s0:c
0.c1023
Target Context unconfined_u:object_r:user_home_t:s0
Target Objects 1031100400_visual.swf dir ]
Source plugin-containe
Source Path /usr/lib/xulrunner/plugin-container
Port
Host luca
Source RPM Packages xulrunner-16.0.2-1.fc17.i686
Target RPM Packages
Policy RPM selinux-policy-3.10.0-156.fc17.noarch
Selinux Enabled True
Policy Type targeted
Enforcing Mode Enforcing
Host Name luca
Platform Linux luca 3.6.6-1.fc17.i686.PAE #1 SMP Mon Nov 5
22:05:54 UTC 2012 i686 i686
Alert Count 3
First Seen 2012-11-10 15:40:06 CET
Last Seen 2012-11-10 15:46:33 CET
Local ID e3d644e1-dcad-42c7-97b5-626fff886368

Raw Audit Messages
type=AVC msg=audit(1352558793.95:144): avc: denied { create } for pid=3573 comm=“plugin-containe” name=“1031100400_visual.swf” scontext=unconfined_u:unconfined_r:mozilla_plugin_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir

type=SYSCALL msg=audit(1352558793.95:144): arch=i386 syscall=mkdir success=no exit=EACCES a0=b1b29498 a1=1c0 a2=b5edd680 a3=b1b29498 items=0 ppid=3400 pid=3573 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=(none) ses=2 comm=plugin-containe exe=/usr/lib/xulrunner/plugin-container subj=unconfined_u:unconfined_r:mozilla_plugin_t:s0-s0:c0.c1023 key=(null)

Hash: plugin-containe,mozilla_plugin_t,user_home_t,dir,create

audit2allow

#============= mozilla_plugin_t ==============
allow mozilla_plugin_t user_home_t:dir create;

audit2allow -R

#============= mozilla_plugin_t ==============
allow mozilla_plugin_t user_home_t:dir create;[/code]

#2

Hai già dato un occhio alle nostre discussioni? Tipo http://forum.fedoraonline.it/viewtopic.php?id=18715?

#3

ho aperto il post, per il seguente motivo, con due pc che ho fatto il preupgrade da f16 a f17 poi utilizzando firefox mi esce sempre l’avviso di selinux, e l’altra sera ho installato f17, questi problemi non me li dà, facendo le stesse cose, non vorrei che ci sia qualcosa su firefox che mi porto dietro dalla 16, disabilitare selinux non ci penso proprio.

#4

Per un uso desktop del pc selinux può anche essere disabilitato…

Hai provato a metterlo in permissivo?

#5

ci mancherebbe, sono sempre connesso, ho una rete wi-fi aperta (della regione piemonte, gratuito per tutti).

#6

selinux ti dice anche la soluzione:

[quote]
se si crede che plugin-container dovrebbe avere possibilità di accesso create sui 1031100400_visual.swf directory in modo predefinito…

grep plugin-containe /var/log/audit/audit.log | audit2allow -M mypol

semodule -i mypol.pp[/quote]

#7

:o mi sto rincoglionendo…è vero…la soluzione la si ha sempre sotto il naso e non si riesce mai a trovarla… :wall:

#8

http://forum.fedoraonline.it/viewtopic.php?id=16508, poi si era scoperto che il problema arrivava direttamente da google-chrome, in questo caso, spero di non far errori, mi succede solo dove ci sono dei video, anche se non in apertura degli stessi e solo con firefox.

#9

visto che Lucah74 non ha colpe, riapro la sua discussione, cancello i messaggi non utili al problema.
Invito Trpost ad un comportamento meno polemico.

#10

Mi pare giusto, bravo Virus.

#11

grazie virus, problema risolto.

#12

bene così.