Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

GNU GRUB 2.14

dnes 04:44 | Nová verze

Po více než dvou letech od vydání předchozí verze 2.12 byla vydána nová stabilní verze 2.14 systémového zavaděče GNU GRUB (GRand Unified Bootloader, Wikipedie). Přehled novinek v souboru NEWS a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0

Google Chrome 144

dnes 02:22 | Nová verze

Google Chrome 144 byl prohlášen za stabilní. Nejnovější stabilní verze 144.0.7559.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 10 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube).

Ladislav Hagara | Komentářů: 1

XAML Studio je po osmi letech open source

dnes 01:55 | Humor

Microsoft zveřejnil zdrojový kód XAML Studia a uvolnil ho pod MIT licencí. XAML Studio je nástroj ze světa Windows, určený pro tvorbu uživatelského rozhraní aplikací pomocí XAML (Extensible Application Markup Language). Stalo se tak zhruba po osmi letech od prvního prohlášení Microsoftu, že se tento kód chystá zveřejnit.

NUKE GAZA! 🎆 | Komentářů: 0

TimeCapsule LLM

dnes 01:44 | Zajímavý projekt

TimeCapsule, 'časová kapsle', je jazykový model trénovaný výhradně na datech z určitých míst a časových období, aby se tak napodobila autentická slovní zásoba, způsob vyjadřování a názory dané doby. Na Hugging face jsou k dispozici modely natrénované na historických textech dostupných v oblasti Londýna mezi lety 1800 až 1875.

NUKE GAZA! 🎆 | Komentářů: 0

Radicle 1.6.0

včera 17:55 | Nová verze

Radicle byl vydán ve verzi 1.6.0 s kódovým jménem Amaryllis. Jedná se o distribuovanou alternativu k softwarům pro spolupráci jako např. GitLab.

Ladislav Hagara | Komentářů: 0

Zemřel Scott Adams, tvůrce komiksových stripů Dilbert

včera 13:22 | Upozornění

Zemřel Scott Adams, tvůrce komiksových stripů Dilbert parodujících pracovní prostředí velké firmy.

Ladislav Hagara | Komentářů: 3

Knot Resolver 6.1, první stabilní vydání v řadě 6

včera 13:00 | Nová verze

Sdružení CZ.NIC vydalo novou verzi Knot Resolveru (6.1.0). Jedná se o první vydanou stabilní verzi 6, která je nyní oficiálně preferovanou a doporučovanou verzí, namísto předešlé verze 5. Více o Knot Resolveru 6 je možné se dočíst přímo v dokumentaci.

VSladek | Komentářů: 1

Linux Mint 22.3 Zena

včera 01:22 | Nová verze

Byl vydán Linux Mint 22.3 s kódovým jménem Zena. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze, že nástroj Systémová hlášení (System Reports) získal mnoho nových funkcí a byl přejmenován na Informace o systému (System Information). Linux Mint 22.3 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 1

Wine 11.0

13.1. 21:33 | Nová verze

Wine bylo po roce vývoje od vydání verze 10.0 vydáno v nové stabilní verzi 11.0. Přehled novinek na GitLabu. Vypíchnuta je podpora NTSYNC a dokončení architektury WoW64.

Ladislav Hagara | Komentářů: 5

Firefox 147.0

13.1. 16:11 | Nová verze

Byl vydán Mozilla Firefox 147.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Firefox nově podporuje Freedesktop.org XDG Base Directory Specification. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 147 bude brzy k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 12, poslední včera 21:12

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / selinux blokuje firewall-cmd spuštěný z udev

Štítky: bezpečnost, error, expired, grep, root, SELinux, skript, udev

Dotaz: selinux blokuje firewall-cmd spuštěný z udev

13.10.2014 01:18 miro
selinux blokuje firewall-cmd spuštěný z udev

Přečteno: 347×

Odpovědět | Admin

Používám Fedoru 20.

Vytvořil jsem si v udev pravidlo na spouštění skriptu. Skript se začne provádět, ale kousne se na prvním řádku s příkazem firewall-cmd (firewall-cmd --query-masquerade nebo firewall-cmd --add-masquerade). Pokud skript spustím sám z příkazové řádky jako root, dělá to, co má. Pokud vypnu selinux, skript dělá to, co má, i když je spuštěn pravidlem v udev. Se zapnutým selinuxem to však z udev nefunguje.

grep setroubleshoot /var/log/messages nenajde nic.

Když se pokusím odchytit výstup z firewall-cmd pomocí /bin/firewall-cmd --query-masquerade &>> /path/to/mylog, najdu v logu tento výstup (když ten log sleduji pomocí tail -f, tak to trvá cca 25 vteřin):

ERROR:dbus.proxies:Introspect error on :1.9:/org/fedoraproject/FirewallD1: dbus.exceptions.DBusException: org.freedesktop.DBus.Error.NoReply: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.

Další řádky skriptu už se neprovedou. To se samozřejmě týká jen situace, kdy je skript spuštěn pravidlem v udev a při zapnutém selinuxu. Pokud spustím skript ručně nebo pokud mám vypnutý selinux, tak tam ta chybová hláška není.

Je mi jasné, že musím něco povolit někde v selinuxu, ale netuším co a kde mám hledat, nevěděl by někdo?

Nástroje: Začni sledovat (0) ?

Odpovědi

13.10.2014 09:05 lieko
Rozbalit Rozbalit vše Re: selinux blokuje firewall-cmd spuštěný z udev

Skontroluj

/var/log/audit/audit.log

13.10.2014 22:48 miro
Rozbalit Rozbalit vše Re: selinux blokuje firewall-cmd spuštěný z udev

audit.log mi vyplivnul toto:

type=USER_AVC msg=audit(1413231256.362:421): pid=509 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc:  denied  { send_msg } for msgtype=method_return dest=:1.69 spid=468 tpid=3369 scontext=system_u:system_r:firewalld_t:s0 tcontext=system_u:system_r:udev_t:s0-s0:c0.c1023 tclass=dbus  exe="/usr/bin/dbus-daemon" sauid=81 hostname=? addr=? terminal=?'
type=USER_AVC msg=audit(1413231256.363:422): pid=509 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc:  denied  { send_msg } for msgtype=method_return dest=:1.69 spid=468 tpid=3369 scontext=system_u:system_r:firewalld_t:s0 tcontext=system_u:system_r:udev_t:s0-s0:c0.c1023 tclass=dbus  exe="/usr/bin/dbus-daemon" sauid=81 hostname=? addr=? terminal=?'
type=USER_AVC msg=audit(1413231256.363:423): pid=509 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc:  denied  { send_msg } for msgtype=method_return dest=:1.69 spid=468 tpid=3369 scontext=system_u:system_r:firewalld_t:s0 tcontext=system_u:system_r:udev_t:s0-s0:c0.c1023 tclass=dbus  exe="/usr/bin/dbus-daemon" sauid=81 hostname=? addr=? terminal=?'
type=USER_AVC msg=audit(1413231256.365:424): pid=509 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc:  denied  { send_msg } for msgtype=method_return dest=:1.69 spid=468 tpid=3369 scontext=system_u:system_r:firewalld_t:s0 tcontext=system_u:system_r:udev_t:s0-s0:c0.c1023 tclass=dbus  exe="/usr/bin/dbus-daemon" sauid=81 hostname=? addr=? terminal=?'
type=USER_AVC msg=audit(1413231281.376:425): pid=509 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc:  denied  { send_msg } for msgtype=method_return dest=:1.69 spid=468 tpid=3369 scontext=system_u:system_r:firewalld_t:s0 tcontext=system_u:system_r:udev_t:s0-s0:c0.c1023 tclass=dbus  exe="/usr/bin/dbus-daemon" sauid=81 hostname=? addr=? terminal=?'

Co s tím dál, to zatím netuším.

14.10.2014 00:22 miro
Rozbalit Rozbalit vše Re: selinux blokuje firewall-cmd spuštěný z udev

Výše uvedený výstup zkopnu třebas do /root/my-audit.log a pak:

#audit2allow -m local -l -i /root/my-audit.log > /root/local.te
#cat /root/local.te

module local 1.0;

require {
	type udev_t;
	type firewalld_t;
	class dbus send_msg;
}

#============= firewalld_t ==============
allow firewalld_t udev_t:dbus send_msg;

#checkmodule -M -m -o local.mod local.te
#semodule_package -o local.pp -m local.mod
#semodule -i local.pp

Díky liekovi za nakopnutí, linuxforums za řešení a všem ostatním za přečtení. A povzdech nakonec - pořád mi ten selinux připadá strašně neintuitivní. A řekl bych, že zdaleka nejsem sám.

Založit nové vlákno • Nahoru

Tiskni Sdílej: