| Server IP : 184.154.167.98 / Your IP : 3.145.110.193 Web Server : Apache System : Linux pink.dnsnetservice.com 4.18.0-553.22.1.lve.1.el8.x86_64 #1 SMP Tue Oct 8 15:52:54 UTC 2024 x86_64 User : puertode ( 1767) PHP Version : 8.2.27 Disable Function : NONE MySQL : OFF | cURL : ON | WGET : ON | Perl : ON | Python : ON | Sudo : ON | Pkexec : ON Directory : /usr/share/locale/cs/LC_MESSAGES/ |
Upload File : |
����������
������%���
������P������Q��1��>��:��p�������V������g��� ��h���q��|������(��W��E���
�������
��
��e
��R��s �������!��t���`"��I���"��~��� $�������$��,��\%�� ���&�����'��m���(������
+�������+��/��~,��
���-������/��.���1��b���3����K5�����c6������7������:�����2<������=������?��7��/A�����gC�������D��T���E�����9G������H������J��S���JL��P����L�����L��N����O��N���OO��U����O��G����O��]���<P��O����P��k����P��R���VQ��q����Q��f���R��V����R��F����R��K��� S��V���lS��S����S��j���T��B����T��T����T��^���U������yU�����;V��t����W�����;X��Z���Y��?���5]��Z���u]������]��Y����`��U���`��6��3c�����jd��C���f�����=i��#���k��X����n��
��;o����Ip����Zq����mr�� ���s��
���t��
���u��z����v������"w�������w������wx������y�������y������z��3����z��e���0{��_����{��e����{��f���\|��
����|�������|�������}������y~������Q�����
���I��܁������&�������������dž�����K���b����������H���\���܊��b���9���\�������+�������c���%���7�������<����������������������
�������
�������:���̍��*���������2������B���/���S���:�������8�������T�������5���L���4�������x�������t���0���y�������T��� ���7���t���m�������a������U���|���e���Ғ��f���8���N�������g������:���V����������E�������N������F���8���I������7���ɕ��6������c���8���'�������p���Ė��+���5���G���a���G�������u����������g���f������h���h���l���љ��j���>���h�������8������!���K������m������}���4�������.�����������,���
������9���?���U���0�������1���Ɯ��]�������2���V���K�������2���՝��]������c���f������ʞ��,���ڞ��������d������N���������Ο���������_�������]������E���a���-����������ա��4������!���#���'���E���$���m��� �������_�������R������O���f���9�������:������
���+�������I������դ�����������������B���a���A�������^������s���E��������������P�������$���3��$���f��X���O������X������b���h���b���˴��t���.���8������t��ܶ������Q���D�����z��^�������ټ��w���u���J�����w���8�����������
��p���#������C�����������������������������2��^���?������������[���������B���=����������������������i������)����������������m���������
���������q��������� �����������������P�������M�������O��&���[���v���Z�������f���-���M�������_�������T���B���Y�������W�������o���I���^�������U������C���n���A�������^�������\���S���|�������<���-���\���j���O���������������������t��������������������F���b���_��������� ���b���
�����p��K������a�m���t��r �����
�k�����������
��5���R���m���|���������������)����������������J�����������i�6���a
�z����
�d���
�n���x
�j����
�!���R
�����t
�����@ �����# ������ �5���!����#����'������(�w���)����J+�b����,�����>-�\����-�b���6.�\����.�+����.�e���"/�;����/�B����/�����0�����0�����0�����0�D����0�B���%1����h1����y1�,����1�B����1�@����1�d���<2�>����2�7����2�����3������3�����54�`����4�6���5�i���Q5�[����5�g���6�����6�����7�k����7�l���8�H���{8�����8�N����8�O���#9�P���s9�N����9�C���:�A���W:�i����:�.���;�|���2;�*����;�R����;�R���-<������<�����=�p����=�k���9>�m����>�y���?�s����?�=���@�$���?@����d@����t@�D����@�:����@����A�M���
A�#���jA�I����A�(����A�/���B�[���1B�0����B�H����B�0���C�z���8C�t����C����(D�9���8D����rD�{����D�f���E�
���hE������E�i���}F�c����F�H���KG�)����G�
����G�6����G�'���H�)���;H�-���eH� ����H�c����H�X���I�U���pI�L����I�B���J�"���VJ�����yJ�(��K�
���-N�����JN�J���O�J���\O�i����O�l���P�����~P��������������������Y���1�����������"�������#���m���������������}�����������3�������c�������
���[���-�������������������0���|�������u�������������������F���z���������������V�����������j�����������9�����������������������������������4���e���
���o��������������r���\���w���C��������������/����������������������k���!���M�������;�������2���B���&��������������d�������������������������t���W������������������y�������:���������������L�����������a���_���*�����������P�������5����������������������������������N������(���f�������U������������������K������$���`�����������R����������H���Q��������������������������=���)�������������������D������������������ �������%���O�������,�����������A���
�����������T����������{�������l�����������������������i�������I���������������J����������S�������.�����������
�������n���������������7���~���x��� ����������8�������E���+���s���g���^���������������Z�����������������������������������������������@���������������6��������������
���X���������������������������������������h���G��������������?�����������������������
���'���q����������� ��������������<�������b���
����������]����������������������>���v�����������p����
dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it.
�
SELinux denied access requested by $SOURCE. It is not
expected that this access is required by $SOURCE and this access
may signal an intrusion attempt. It is also possible that the specific
version or configuration of the application is causing it to require
additional access.
�
SELinux denied access requested by $SOURCE. The current boolean
settings do not allow this access. If you have not setup $SOURCE to
require this access this may signal an intrusion attempt. If you do intend
this access you need to change the booleans on this system to allow
the access.
�
SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH.
$TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not
happen. All Character and/or Block Devices should have a label.
You can attempt to change the label of the file using
restorecon -v '$TARGET_PATH'.
If this device remains labeled device_t, then this is a bug in SELinux policy.
Please file a bug report.
If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH,
you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing
semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
If the restorecon changes the context, this indicates that the application that created the device, created it without
using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application.
�
Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH'
�
Changing the "$BOOLEAN" boolean to true will allow this access:
"setsebool -P $BOOLEAN=1"
�
Changing the "$BOOLEAN" boolean to true will allow this access:
"setsebool -P $BOOLEAN=1."
�
Changing the "allow_ftpd_use_nfs" boolean to true will allow this access:
"setsebool -P allow_ftpd_use_nfs=1."
�
Changing the file_context to mnt_t will allow mount to mount the file system:
"chcon -t mnt_t '$TARGET_PATH'."
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'"
�
Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this
AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug.
�
Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off
access as needed.
�
If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux
man page for further information:
"setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t <path>"
You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t <path>"
�
If you trust $TARGET_PATH to run correctly, you can change the
file context to textrel_shlib_t. "chcon -t textrel_shlib_t
'$TARGET_PATH'"
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'"
�
If you want $SOURCE to continue, you must turn on the
$BOOLEAN boolean. Note: This boolean will affect all applications
on the system.
�
If you want httpd to send mail you need to turn on the
$BOOLEAN boolean: "setsebool -P
$BOOLEAN=1"
�
If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.
If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1.
�
If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute
# sandbox -X -t sandbox_net_t $SOURCE
�
If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.
�
If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'".
�
SELinux denied $SOURCE access to $TARGET_PATH.
If this is a swapfile, it has to have a file context label of
swapfile_t. If you did not intend to use
$TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt.
�
SELinux denied RSYNC access to $TARGET_PATH.
If this is an RSYNC repository, it has to have a file context label of
rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository,
this message could indicate either a bug or an intrusion attempt.
�
SELinux denied access requested by $SOURCE. $SOURCE_PATH may
be mislabeled. $SOURCE_PATH default SELinux type is
<B>%s</B>, but its current type is <B>$SOURCE_TYPE</B>. Changing
this file back to the default type may fix your problem.
<p>
This file could have been mislabeled either by user error, or if an normally confined application
was run under the wrong domain.
<p>
However, this might also indicate a bug in SELinux because the file should not have been labeled
with this type.
<p>
If you believe this is a bug, please file a bug report against this package.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. openvpn is allowed to read content in home directory if it
is labeled correctly.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. sshd is allowed to read content in /root/.ssh directory if it
is labeled correctly.
�
SELinux denied access requested by $SOURCE. It is not
expected that this access is required by $SOURCE and this access
may signal an intrusion attempt. It is also possible that the specific
version or configuration of the application is causing it to require
additional access.
�
SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages.
�
SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages.
�
SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc.
�
SELinux denied access to $TARGET_PATH requested by $SOURCE.
$TARGET_PATH has a context used for sharing by a different program. If you
would like to share $TARGET_PATH from $SOURCE also, you need to
change its file context to public_content_t. If you did not intend to
allow this access, this could signal an intrusion attempt.
�
SELinux denied cvs access to $TARGET_PATH.
If this is a CVS repository it needs to have a file context label of
cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository
it could indicate either a bug or it could signal an intrusion attempt.
�
SELinux denied samba access to $TARGET_PATH.
If you want to share this directory with samba it has to have a file context label of
samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository,
this message could indicate either a bug or an intrusion attempt.
Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux.
�
SELinux denied xen access to $TARGET_PATH.
If this is a XEN image, it has to have a file context label of
xen_image_t. The system is setup to label image files in directory /var/lib/xen/images
correctly. We recommend that you copy your image file to /var/lib/xen/images.
If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this
new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen
image it could indicate either a bug or an intrusion attempt.
�
SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it.
If $SOURCE should be allowed to connect on $PORT_NUMBER, use the <i>semanage</i> command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s).
If $SOURCE is not supposed
to connect to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox.
If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t.
# sandbox -X -t sandbox_net_t $SOURCE
If $SOURCE is not supposed
to connect to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied the $SOURCE access to potentially
mislabeled files $TARGET_PATH. This means that SELinux will not
allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s.
Many third party apps install html files
in directories that SELinux policy cannot predict. These directories
have to be labeled with a file context which httpd can access.
�
SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it.
If $SOURCE should be allowed to listen on $PORT_NUMBER, use the <i>semanage</i> command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s).
If $SOURCE is not supposed
to bind to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied the $SOURCE the ability to mmap low area of the kernel
address space. The ability to mmap a low area of the address space is
configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings
helps protect against exploiting null deref bugs in the kernel. All
applications that need this access should have already had policy written
for them. If a compromised application tries to modify the kernel, this AVC
would be generated. This is a serious issue. Your system may very well be
compromised.
�
SELinux has denied the $SOURCE_PATH from executing potentially
mislabeled files $TARGET_PATH. Automounter can be setup to execute
configuration files. If $TARGET_PATH is an automount executable
configuration file it needs to have a file label of bin_t.
If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt.
�
SELinux has denied the http daemon from sending mail. An
httpd script is trying to connect to a mail port or execute the
sendmail command. If you did not setup httpd to sendmail, this could
signal an intrusion attempt.
�
SELinux has prevented $SOURCE from loading a kernel module.
All confined programs that need to load kernel modules should have already had policy
written for them. If a compromised application
tries to modify the kernel this AVC will be generated. This is a serious
issue. Your system may very well be compromised.
�
SELinux has prevented $SOURCE from modifying $TARGET. This denial
indicates $SOURCE was trying to modify the selinux policy configuration.
All applications that need this access should have already had policy
written for them. If a compromised application tries to modify the SELinux
policy this AVC will be generated. This is a serious issue. Your system
may very well be compromised.
�
SELinux has prevented $SOURCE from modifying $TARGET. This denial
indicates $SOURCE was trying to modify the way the kernel runs or to
actually insert code into the kernel. All applications that need this
access should have already had policy written for them. If a compromised
application tries to modify the kernel this AVC will be generated. This is a
serious issue. Your system may very well be compromised.
�
SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux.
Files under /sys/fs/selinux control the way SELinux is configured.
All programs that need to write to files under /sys/fs/selinux should have already had policy
written for them. If a compromised application tries to turn off SELinux
this AVC will be generated. This is a serious issue. Your system may very
well be compromised.
�
SELinux has prevented vbetool from performing an unsafe memory operation.
�
SELinux has prevented wine from performing an unsafe memory operation.
�
SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem.
Usually this happens when you ask the cp command to maintain the context of a file when
copying between file systems, "cp -a" for example. Not all file contexts should be maintained
between the file systems. For example, a read-only file type like iso9660_t should not be placed
on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context
for the destination.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor.
�
SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER.
�
SELinux is preventing $SOURCE_PATH from changing the access
protection of memory on the heap.
�
SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER.
�
SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem.
�
SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation.
�
SELinux is preventing $SOURCE_PATH from making the program stack executable.
�
SELinux is preventing $SOURCE_PATH the "$ACCESS" capability.
�
SELinux is preventing $SOURCE_PATH the "sys_resource" capability.
�
SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH.
�
SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH
�
SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH.
�
SELinux is preventing the http daemon from sending mail.
�
SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH.
�
SELinux policy is preventing an httpd script from writing to a public
directory.
�
SELinux policy is preventing an httpd script from writing to a public
directory. If httpd is not setup to write to public directories, this
could signal an intrusion attempt.
�
SELinux prevented $SOURCE from mounting a filesystem on the file
or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default
SELinux limits the mounting of filesystems to only some files or
directories (those with types that have the mountpoint attribute). The
type "$TARGET_TYPE" does not have this attribute. You can change the
label of the file or directory.
�
SELinux prevented $SOURCE from mounting on the file or directory
"$TARGET_PATH" (type "$TARGET_TYPE").
�
SELinux prevented httpd $ACCESS access to $TARGET_PATH.
httpd scripts are not allowed to write to content without explicit
labeling of all files. If $TARGET_PATH is writable content. it needs
to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux.
�
SELinux prevented httpd $ACCESS access to http files.
Ordinarily httpd is allowed full access to all files labeled with http file
context. This machine has a tightened security policy with the $BOOLEAN
turned off, this requires explicit labeling of all files. If a file is
a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order
to be executed. If it is read only content, it needs to be labeled
httpd_TYPE_content_t. If it is writable content, it needs to be labeled
httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the
chcon command to change these context. Please refer to the man page
"man httpd_selinux" or
<a href="http://fedora.redhat.com/docs/selinux-apache-fc3">FAQ</a>
"TYPE" refers to one of "sys", "user" or "staff" or potentially other
script types.
�
SELinux prevented httpd $ACCESS access to http files.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem.
CIFS (Comment Internet File System) is a network filesystem similar to
SMB (<a href="http://www.microsoft.com/mind/1196/cifs.asp">http://www.microsoft.com/mind/1196/cifs.asp</a>)
The ftp daemon attempted to read one or more files or directories from
a mounted filesystem of this type. As CIFS filesystems do not support
fine-grained SELinux labeling, all files and directories in the
filesystem will have the same security context.
If you have not configured the ftp daemon to read files from a CIFS filesystem
this access attempt could signal an intrusion attempt.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem.
NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux
systems.
The ftp daemon attempted to read one or more files or directories from
a mounted filesystem of this type. As NFS filesystems do not support
fine-grained SELinux labeling, all files and directories in the
filesystem will have the same security context.
If you have not configured the ftp daemon to read files from a NFS filesystem
this access attempt could signal an intrusion attempt.
�
Sometimes a library is accidentally marked with the execstack flag,
if you find a library with this flag you can clear it with the
execstack -c LIBRARY_PATH. Then retry your application. If the
app continues to not work, you can turn the flag back on with
execstack -s LIBRARY_PATH.
�
The $SOURCE application attempted to change the access protection of memory on
the heap (e.g., allocated using malloc). This is a potential security
problem. Applications should not be doing this. Applications are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. If $SOURCE does not work and
you need it to work, you can configure SELinux temporarily to allow
this access until the application is fixed. Please file a bug
report against this package.
�
The $SOURCE application attempted to load $TARGET_PATH which
requires text relocation. This is a potential security problem.
Most libraries do not need this permission. Libraries are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. You can configure
SELinux temporarily to allow $TARGET_PATH to use relocation as a
workaround, until the library is fixed. Please file a bug report.
�
The $SOURCE application attempted to load $TARGET_PATH which
requires text relocation. This is a potential security problem.
Most libraries should not need this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">
SELinux Memory Protection Tests</a>
web page explains this check. This tool examined the library and it looks
like it was built correctly. So setroubleshoot can not determine if this
application is compromised or not. This could be a serious issue. Your
system may very well be compromised.
Contact your security administrator and report this issue.
�
The $SOURCE application attempted to make its stack
executable. This is a potential security problem. This should
never ever be necessary. Stack memory is not executable on most
OSes these days and this will not change. Executable stack memory
is one of the biggest security problems. An execstack error might
in fact be most likely raised by malicious code. Applications are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. If $SOURCE does not
work and you need it to work, you can configure SELinux
temporarily to allow this access until the application is fixed. Please
file a bug report.
�
Use a command like "cp -p" to preserve all permissions except SELinux context.
�
You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'"
�
You can execute the following command as root to relabel your
computer system: "touch /.autorelabel; reboot"
�
You can generate a local policy module to allow this
access - see <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
Please file a bug report.
�
You can generate a local policy module to allow this
access - see <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
�
You can restore the default system context to this file by executing the
restorecon command.
# restorecon -R /root/.ssh
�
You can restore the default system context to this file by executing the
restorecon command.
# restorecon -R /root/.ssh
�
You can restore the default system context to this file by executing the
restorecon command. restorecon '$SOURCE_PATH'.
�
You can restore the default system context to this file by executing the
restorecon command. restorecon '$TARGET_PATH', if this file is a directory,
you can recursively restore using restorecon -R '$TARGET_PATH'.
�
Your system may be seriously compromised!
�
Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory.
�
Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module.
�
Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement.
�
Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration.
�
Disable IPV6 properly.
�
Either remove the mozplluger package by executing 'yum remove mozplugger'
Or turn off enforcement of SELinux over the Firefox plugins.
setsebool -P unconfined_mozilla_plugin_transition 0
�
Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0
�
Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0
�
If you decide to continue to run the program in question you will need
to allow this operation. This can be done on the command line by
executing:
# setsebool -P mmap_low_allowed 1
�
SELinux denied an operation requested by $SOURCE, a program used
to alter video hardware state. This program is known to use
an unsafe operation on system memory but so are a number of
malware/exploit programs which masquerade as vbetool. This tool is used to
reset video state when a machine resumes from a suspend. If your machine
is not resuming properly your only choice is to allow this
operation and reduce your system security against such malware.
�
SELinux denied an operation requested by wine-preloader, a program used
to run Windows applications under Linux. This program is known to use
an unsafe operation on system memory but so are a number of
malware/exploit programs which masquerade as wine. If you were
attempting to run a Windows program your only choices are to allow this
operation and reduce your system security against such malware or to
refrain from running Windows applications under Linux. If you were not
attempting to run a Windows application this indicates you are likely
being attacked by some for of malware or program trying to exploit your
system for nefarious purposes.
Please refer to
http://wiki.winehq.org/PreloaderPageZeroProblem
Which outlines the other problems wine encounters due to its unsafe use
of memory and solutions to those problems.
�
Turn on full auditing
# auditctl -w /etc/shadow -p w
Try to recreate AVC. Then execute
# ausearch -m avc -ts recent
If you see PATH record check ownership/permissions on file, and fix it,
otherwise report as a bugzilla.�
You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command.
seinfo -afile_type -x
� Changing the "$BOOLEAN" and
"$WRITE_BOOLEAN" booleans to true will allow this access:
"setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1".
warning: setting the "$WRITE_BOOLEAN" boolean to true will
allow the ftp daemon to write to all public content (files and
directories with type public_content_t) in addition to writing to
files and directories on CIFS filesystems. � Changing the "allow_ftpd_use_nfs" and
"ftpd_anon_write" booleans to true will allow this access:
"setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1".
warning: setting the "ftpd_anon_write" boolean to true will
allow the ftp daemon to write to all public content (files and
directories with type public_content_t) in addition to writing to
files and directories on NFS filesystems. �# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE
# semodule -X 300 -i my-$SOURCE.pp�# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH'
where FILE_TYPE is one of the following: %s.
Then execute:
restorecon -v '$FIX_TARGET_PATH'
�# semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s'
# restorecon %s -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage port -a -t %s -p %s $PORT_NUMBER�# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.�A process might be attempting to hack into your system.�Add
net.ipv6.conf.all.disable_ipv6 = 1
to /etc/sysctl.conf
�Allow this access for now by executing:
# ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME
# semodule -X 300 -i my-$MODULE_NAME.pp�Change file context.�Change label�Change label on the library.�Contact your security administrator and report this issue.�Disable SELinux controls on Chrome plugins�Enable booleans�Enable booleans.�If $TARGET_BASE_PATH is a virtualization target�If $TARGET_BASE_PATH should be shared via the RSYNC daemon�If $TARGET_BASE_PATH should be shared via the cvs daemon�If you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH files�If you believe $SOURCE_PATH tried to disable SELinux.�If you believe that
%s
should not require execstack�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.�If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.�If you did not directly cause this AVC through testing.�If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.�If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modules�If you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.�If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.�If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.�If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.�If you do not want processes to require capabilities to use up all the system resources on your system;�If you think this is caused by a badly mislabeled machine.�If you want to %s�If you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.�If you want to allow $SOURCE_PATH to be able to write to shared public content�If you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBER�If you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBER�If you want to allow ftpd to write to cifs file systems�If you want to allow ftpd to write to nfs file systems�If you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.�If you want to allow httpd to send mail�If you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.�If you want to disable IPV6 on this machine�If you want to fix the label.
$SOURCE_PATH default label should be %s.�If you want to fix the label.
$TARGET_PATH default label should be %s.�If you want to help identify if domain needs this access or you have a file with the wrong permissions on your system�If you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.�If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.�If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.�If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on it�If you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS access�If you want to to continue using SELinux Firefox plugin containment rather then using mozplugger package�If you want to treat $TARGET_BASE_PATH as public content�If you want to use the %s package�Restore
Context�Restore Context�SELinux is preventing $SOURCE_PATH "$ACCESS" access.�This is caused by a newly created file system.�Turn off memory protection�You can read '%s' man page for more details.�You might have been hacked.�You must tell SELinux about this by enabling the '%s' boolean.
�You need to change the label on $FIX_TARGET_PATH�You need to change the label on $TARGET_BASE_PATH�You need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.�You need to change the label on $TARGET_BASE_PATH'�You need to change the label on $TARGET_PATH to a type of a similar device.�You need to change the label on '$FIX_TARGET_PATH'�You should report this as a bug.
You can generate a local policy module to allow this access.�You should report this as a bug.
You can generate a local policy module to dontaudit this access.�execstack -c %s�if you think that you might have been hacked�setsebool -P %s %s�turn on full auditing to get path information about the offending file and generate the error again.�use a command like "cp -p" to preserve all permissions except SELinux context.�you can run restorecon.�you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.�you may be under attack by a hacker, since confined applications should never need this access.�you may be under attack by a hacker, since confined applications should not need this access.�you may be under attack by a hacker, this is a very dangerous access.�you must change the labeling on $TARGET_PATH.�you must fix the labels.�you must move the cert file to the ~/.cert directory�you must pick a valid file label.�you must remove the mozplugger package.�you must setup SELinux to allow this�you must tell SELinux about this�you must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleans�you must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.�you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.�you must turn off SELinux controls on the Chrome plugins.�you must turn off SELinux controls on the Firefox plugins.�you need to add labels to it.�you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.�you need to diagnose why your system is running out of system resources and fix the problem.
According to /usr/include/linux/capability.h, sys_resource is required to:
/* Override resource limits. Set resource limits. */
/* Override quota limits. */
/* Override reserved space on ext2 filesystem */
/* Modify data journaling mode on ext3 filesystem (uses journaling
resources) */
/* NOTE: ext2 honors fsuid when checking for resource overrides, so
you can override using fsuid too */
/* Override size restrictions on IPC message queues */
/* Allow more than 64hz interrupts from the real-time clock */
/* Override max number of consoles on console allocation */
/* Override max number of keymaps */
�you need to fully relabel.�you need to modify the sandbox type. sandbox_web_t or sandbox_net_t.
For example:
sandbox -X -t sandbox_net_t $SOURCE_PATH
Please read 'sandbox' man page for more details.
�you need to report a bug.
This is a potentially dangerous access.�you need to report a bug. This is a potentially dangerous access.�you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'�you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.�you should clear the execstack flag and see if $SOURCE_PATH works correctly.
Report this as a bug on %s.
You can clear the exestack flag by executing:�Project-Id-Version: PACKAGE VERSION
Report-Msgid-Bugs-To:
POT-Creation-Date: 2021-09-07 17:26+0200
PO-Revision-Date: 2018-08-03 09:51-0400
Last-Translator: Vit Mojzis <vmojzis@redhat.com>
Language-Team: Czech (http://www.transifex.com/projects/p/fedora/language/cs/)
Language: cs
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Plural-Forms: nplurals=3; plural=(n==1) ? 0 : (n>=2 && n<=4) ? 1 : 2;
X-Generator: Zanata 4.6.2
�
Schopnosti dac_override a dac_read_search obvykle znamenají, že kořenový proces nemá přístup k souboru na základě příznaku povolení. To obvykle znamená, že máte nějaký soubor s nesprávným nastavením vlastnictví / oprávnění.
�
SELinux zabránil v přístupu požadovaném programem $SOURCE.
Neočekává se, že by měl $SOURCE tento přístup požadovat, může to
tedy být známkou pokusu o vniknutí. Je také možné, že požadavek
o přístup má na svědomí konkrétní verze či konfigurace aplikace.
�
SELinux zabránil v přístupu programu $SOURCE. Aktuální booleovská
nastavení takový přístup nedovolují. Pokud jste sami $SOURCE nenastavili,
aby tento přístup vyžadoval, může to značit pokus o vniknutí. Chcete-li tento
přístup povolit, musíte v systému změnit booleovské hodnoty, aby přístup
umožňovaly.
�
SELinux zakázal $SOURCE "$ACCESS" v přístupu na zařízení $TARGET_PATH.
$TARGET_PATH je chybně značen, toto zařízení má výchozí značku /dev directory, což by se nemělo
stát. Všechny charaktery nebo bloková zařízení by měla mít značení.
Můžete se pokusit o změnu značky souboru pomocí
restorecon -v '$TARGET_PATH'.
Pokud toto zařízení zůstane značené jako device_t, pak se jedná o chybu v politice SELinuxu.
Nahlašte prosím záznam o chybě.
Pokud se díváte po podobných značkách zařízení, použijte ls -lZ /dev/SIMILAR a najděte typ, který bude fungovat pro $TARGET_PATH,
lze použít chcon -t SIMILAR_TYPE '$TARGET_PATH' a pokud to opraví problém, lze to nastavit permanentně spuštěním
semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
Pokud restorecon mění kontext, znamená to, že aplikace, která vytvořila zařízení, ho vytvořila bez
použití API SELinuxu. Pokud lze určit, která aplikace vytvořila zařízení, podejte hlášení o chybě proti této aplikaci.
�
Pokus o restorecon -v '$TARGET_PATH' nebo chcon -t SIMILAR_TYPE '$TARGET_PATH'
�
Změna "$BOOLEAN" boolean to true tento přístup povolí:
"setsebool -P $BOOLEAN=1"
�
Změna "$BOOLEAN" boolean na true tento přístup povolí:
"setsebool -P $BOOLEAN=1"
�
Změnou "allow_ftpd_use_nfs" boolean na true povolíte přístup:
"setsebool -P allow_ftpd_use_nfs=1."
�
Změna kontextu souboru na mnt_t umožni příkazu mount připojit souborový systém:
"chcon -t mnt_t '$TARGET_PATH'."
Musíte též změnit výchozí soubory kontextu souboru na systému, abyste je uchovali i při úplném
přeznačení. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'"
�
Omezené domény by neměly vyžadovat "sys_resource". To obvykle znamená, že váš systém spotřeboval některý systémový zdroj, např. prostor na disku, paměť, kvótu, atd. Prosíme, vyčistěte disk a tato
zpráva AVC by se již neměla objevovat. Bude-li se však po vyčištění disku objevovat i nadále, prosíme, nahlaste toto jako chybu.
�
Omezované procesy mohou podle svého nastavení za běhu vyžadovat různé přístupy; SELinux poskytuje booleovské hodnoty, abyste
mohli dle potřeby přístup zapínat a vypínat.
�
Má-li být dovoleno, aby skripty httpd zapisovaly do veřejných adresářů, je nutné zapnout booleovskou hodnotu $BOOLEAN a nastavit souborový kontext veřejného adresáře na public_content_rw_t. Pro více informací si
přečtěte manuálovou stránku httpd_selinux:
„setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t <path>“
Musíte také v systému změnit soubory s výchozím značením souborů, aby se zachovalo značení veřejných adresářů i po kompletním přeznačení. „semanage fcontext -a -t public_content_rw_t <path>“
�
Pokud důvěřujete, že bude $TARGET_PATH běžet správně, můžete změnit
souborový kontext na textrel_shlib_t. „chcon -t textrel_shlib_t
'$TARGET_PATH'“
Musíte také změnit soubory s výchozím souborovým kontextem, aby zůstaly zachovány i po kompletním přeznačkování. „semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'“
�
Pokud chcete, aby $SOURCE pokračoval, musíte změnit
$BOOLEAN boolean. Poznámka: Tento boolean ovlivní všechny aplikace
v systému.
�
Pokud chcete, aby httpd zasílal maily, je třeba zapnout
$BOOLEAN boolean: "setsebool -P
$BOOLEAN=1"
�
Chcete-li povolit $SOURCE , aby se vázal k portu $PORT_NUMBER, spusťte
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
kde PORT_TYPE je jeden z následujících: %s.
Pokud tento systém běží jako NIS klient, zapnutí booleanu allow_ypbind může problém vyřešit. setsebool -P allow_ypbind=1.
�
Pokud chcete povolit $SOURCE se připojit k $PORT_NUMBER, spusťte
# sandbox -X -t sandbox_net_t $SOURCE
�
Chcete-li programu $SOURCE povolit připojení k $PORT_NUMBER, proveďte
# semanage port -a -t TYP_PORTU -p %s $PORT_NUMBER
kde TYP_PORTU je jeden z následujících: %s.
�
Chcete-li změnit kontext souboru $TARGET_PATH tak, aby automounter ho mohl spouštět, spusťte "chcon -t bin_t $TARGET_PATH". Chcete-li, aby to přežilo přeznačení, je třeba trvale změnit kontext souboru: spusťte "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'".
�
SELinux zakázal $SOURCE přístup k $TARGET_PATH.
Pokud se jedná o swap soubor, je třeba mít značku kontextového souboru
swapfile_t. Pokud jste neměli v úmyslu použít
$TARGET_PATH jako swap soubor, může tato zpráva indikovat chybu nebo pokus o vniknutí.
�
SELinux zakázal RSYNC přístup k $TARGET_PATH.
Pokud se jedná o repozitář RSYNC, je třeba mít značku kontextového souboru
rsync_data_t. Pokud jste neměli v úmyslu použít $TARGET_PATH jako RSYNC repozitář,
mohlo by se jednat buď o chybu nebo by to mohlo signalizovat pokus o vniknutí.
�
SELinux zakázal přístup požadovaný $SOURCE. $TARGET_PATH může
být chybně označen. Výchozí typ SELinuxu pro $TARGET_PATH je
<B>%s</B>, avšak jeho současný typ je <B>$TARGET_TYPE</B>. Svůj problém
možná odstraníte, pokud změníte typ tohoto souboru na typ výchozí.
<p>
Tento soubor může být chybně označen z důvodu chyby uživatele, nebo pokud obvykle omezená aplikace
byla spuštěna pod chybnou doménou.
<p>
Ačkoliv toto může rovněž poukazovat na chybu v SELinuxu, neboť by soubor neměl být označen
tímto typem.
<p>
Jste-li přesvědčeni, že se jedná o chybu, prosíme, zašlete proti tomuto balíčku hlášení o chybě.
�
SELinux odepřel přístup požadován $SOURCE. $TARGET_PATH může mít
chybně označen štítky. openvpn má právo číst obsah v domovském adresáři,
pokud je správně označen.
�
SELinux odepřel přístup požadován $SOURCE. $TARGET_PATH může mít
chybně označen štítky. sshd má právo číst obsah v adresáři /root/.ssh,
pokud je správně označen.
�
SELinux zabránil v přístupu požadovaném programem $SOURCE.
Neočekává se, že by měl $SOURCE tento přístup požadovat, může to
tedy být známkou pokusu o vniknutí. Je také možné, že požadavek
o přístup má na svědomí konkrétní verze či konfigurace aplikace.
�
SELinux zabránil v přístupu požadovaném programem $SOURCE. Neočekává se, že by měl $SOURCE tento přístup požadovat, může to tedy být známkou pokusu o vniknutí. Je také možné, že požadavek o přístup má na svědomí konkrétní verze či konfigurace aplikace. mozplugger a spice-xpi spouští aplikace v rámci zásuvných modulů Mozilly, které vyžadují přístup na desktop, což jim uzamčení zásuvných modulů Mozilly nedovolí, takže buď je třeba vypnout uzamčení zásuvných modulů Mozilly nebo tyto balíčky nepoužívat.
�
SELinux zabránil v přístupu požadovaném programem $SOURCE. Neočekává se, že by měl $SOURCE tento přístup požadovat, může to tedy být známkou pokusu o vniknutí. Je také možné, že požadavek o přístup má na svědomí konkrétní verze či konfigurace aplikace. spice-xpi spouští aplikace v rámci pluginů Mozilly, které vyžadují přístup na desktop, což jim uzamčení pluginů Mozilly nedovolí, takže buď je třeba vypnout uzamčení pluginů Mozilly nebo tyto balíčky nepoužívat.
�
SELinux odmítl přístup požadovaný příkazem $SOURCE. Zdá se, že se jedná o uniklý deskriptor nebo byl výstup $SOURCE přesměrován do souboru, ke kterému nemá přístup. Úniky lze obvykle ignorovat, neboť SELinux únik právě zavírá a podává zprávu o chybě. Aplikace deskriptor nepoužívá a poběží v pořádku. Jedná-li se o přesměrování, nezískáte výstup v $TARGET_PATH. Měli byste vygenerovat hlášení o chybě na politiku selinuxu (selinux-policy) v systému bugzilla, ta pak bude směrována do příslušného balíčku. Ignorovat tuto avc je bezpečné.�
SELinux zamítl přístup k $TARGET_PATH, jejž požaduje $SOURCE.
$TARGET_PATH má kontext sloužící ke sdílení jiným programem. Pokud
si přejete sdílet $TARGET_PATH také z $SOURCE, musíte k tomu
změnit jeho souborový kontext na public_content_t. Nemáte-li v úmyslu
tento přístup povolit, může toto upozornění naznačovat pokus o vniknutí.
�
SELinux zakázal cvs přístup k $TARGET_PATH.
Pokud se jedná o repozitář CVS, je třeba mít značku kontextového souboru
cvs_data_t. Pokud jste neměli v úmyslu použít $TARGET_PATH jako CVS repozitář
mohlo by to naznačovat buď chybu nebo by to mohlo signalizovat pokus o vniknutí.
�
SELinux zakázal Sambě přístup k $TARGET_PATH.
Pokud chcete tento adresář sdílet se Sambou, je třeba mít značku
kontextového souboru samba_share_t. Pokud jste neměli v úmyslu použít
$TARGET_PATH jako Samba repozitář, mohlo by se jednat buď o chybu
nebo pokus o vniknutí.
Více informací o nastavení Samby a SELinuxu najdete v 'man samba_selinux'.
�
SELinux odmítl přístup xenu k $TARGET_PATH.
Jedná-li se o obraz XEN, musí mít znak souborového kontextu
xen_image_t. Systém je nastaven, aby označil soubory obrazu v adresáři /var/lib/xen/images
bezchybně. Doporučujeme, abyste zkopírovali soubor obrazu do /var/lib/xen/images.
Chcete-li skutečně mít soubory obrazu pro xen v současném adresáři, lze přeznačit $TARGET_PATH na xen_image_t pomocí chcon. Je rovněž nutné provést semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH', aby se tato
nová cesta přidala do výchozích hodnot systému. Nezamýšlíte-li používat $TARGET_PATH jako obraz
pro xen, může to naznačovat jak chybu, tak pokus o průnik.
�
SELinux odmítl programu $SOURCE připojení k síťovému portu $PORT_NUMBER, s nímž není asociován žádný SELinuxový typ.
Má-li mít $SOURCE dovoleno připojit se na $PORT_NUMBER, přiřaďte příkazem <i>semanage</i> k portu $PORT_NUMBER typ portu, na nějž se $SOURCE_TYPE může připojit (%s).
Jestliže neočekáváte, že by se měl $SOURCE
připojovat k $PORT_NUMBER, může to značit pokus o vniknutí.
�
SELinux odmítl $SOURCE se připojit na síťový port $PORT_NUMBER uvnitř sandboxu.
Pokud by mělo být $SOURCE umožněno se připojit k portu $PORT_NUMBER, je nutné použít jiný typ sandboxu, jako např. sandbox_web_t nebo sendbox_net_t.
# sandbox -X -t sandbox_net_t $SOURCE
Nepředpokládá-li se, že by se $SOURCE
měl připojovat k portu $PORT_NUMBER, může se jednat o pokus o vniknutí.
�
SELinux odepřel programu $SOURCE přístup k potenciálně chybně
označkovaným souborům $TARGET_PATH. SELinux tedy nedovolí, aby
httpd tyto soubory používal. Má-li mít http povoleno k nim takto přistupovat, měli byste změnit souborový kontext na jeden z následujících, %s.
Mnohé aplikace od třetích stran instalují soubory HTML
do adresářů, jaké nemohou pravidla SELinuxu předvídat. Takové adresáře
je nutné označkovat souborovým kontextem přístupným pro httpd.
�
SELinux odmítl programu $SOURCE vázat se k síťovému portu $PORT_NUMBER, s nímž není asociován žádný SELinuxový typ.
Má-li mít $SOURCE dovoleno vázat se na $PORT_NUMBER, přiřaďte příkazem <i>semanage</i> k portu $PORT_NUMBER typ portu, na nějž se $SOURCE_TYPE může vázat (%s).
Jestliže neočekáváte, že by se měl $SOURCE
vázat k $PORT_NUMBER, může to značit pokus o vniknutí.
�
SELinux odmítl $SOURCE schopnost mmap nízké úrovně paměti jádra.
Schopnost mmap nízké rovně adresního prostoru, jak je nastaveno
v /proc/sys/kernel/mmap_min_addr. Bránění těmto mapováním pomáhá
chránit před využíváním chyb v dereferenci na nulový ukazatel (null deref)
v jádře. Všechny aplikace, které potřebují tento přístup, by měly mít politiku
pro sebe již napsanou. Pokusí-li se kompromitovaná aplikace změnit jádro,
měla by se tato AVC vygenerovat. Jedná se o vážný problém. Váš systém
může být velmi dobře zkompromitován.
�
SELinux zakázal $SOURCE_PATH spuštění potenciálně
chybně značených souborů $TARGET_PATH. Automounter může být nastaven ke spouštění
konfuguračních souborů. pokud je $TARGET_PATH spouštěcí konfigurační soubor
automountu, je třeba mít značku souboru bin_t.
Pokud se automounter pokouší spouštět něco, co by neměl, může to naznačovat pokus o vniknutí.
�
SELinux zakázal démonu http v odesílání mailu.
httpd skript se pokouší připojit k poštovnímu portu nebo spustit
příkaz sendmail. Pokud jste nenastavili httpd, aby spouštěl sendmail,
mohlo by to naznačovat pokus o vniknutí.
�
SELinux zabránil $SOURCE před nahráním modulu jádra.
Všechny omezené programy, které potřebují nahrát moduly jádra, by už pro sebe měly mít
politiku napsanou. Pokud se kompromitovaná aplikace
pokusí modifikovat jádro, tento AVC bude vygenerován. Jedná se o seriózní
problém. Váš systém může být vážně ohrožen.
�
SELinux bránil $SOURCE před úpravou $TARGET. Tento zákaz
označuje, že se $SOURCE snaží změnit konfiguraci politiky SELinux.
Všechny aplikace, které potřebují tento přístup, by už měly mít pro
sebe napsanou politiku. Pokud se napadená aplikace pokusí o
modifikaci politiky SELinuxu, bude tento AVC generován. Jedná se o
závažný problém. Váš systém může být velmi dobře napaden.
�
SELinux bránil $SOURCE před úpravou $TARGET. Tento zákaz
označuje, že se $SOURCE snaží změnit způsob, jakým běží jádro nebo
ve skutečnosti vložit kód do jádra. Všechny aplikace, které potřebují tento
přístup, by už měly mít pro sebe napsanou politiku. Pokud se napadená
aplikace pokusí o modifikaci jádra, bude tento AVC generován. Jedná se o
závažný problém. Váš systém může být velmi dobře napaden.
�
SELinux zabránil $SOURCE před zápisem do souboru v /sys/fs/selinux.
Soubory v /sys/fs/selinux kontrolují způsob, jakým je SELinux nastaven.
Všechny programy, které potřebují zapisovat do souboru v /sys/fs/selinux, by už pro sebe měly mít
politiku napsanou. Pokud se kompromitovaná aplikace pokusí vypnout SELinux,
tento AVC bude vygenerován. Jedná se o vážný problém. Váš systém může být
vážně ohrožen.
�
SELinux zabránil vbetool v provedení nebezpečné operace v paměti.
�
SELinux zabránil wine v provedení nebezpečné operace v paměti.
�
SELinux brání $SOURCE ve vytváření souboru s kontextem $SOURCE_TYPE v souborovém systému.
Obvykle se to stane, když se tážete příkazem cp na zachování kontextu souboru pří
kopírování mezi souborovými systémy, na příklad "cp -a". Ne všechny kontexty souboru by měly být
udržovány mezi těmito systémy souborů. Na příklad, souborový typ pro čtení jako je iso9660_t by
neměl být umístěn na systém s možností zápisu. "cp -p" může být lepší řešení, neboť přijme
kontext výchozího souboru pro místo určení.
�
SELinux brání programu $SOURCE_PATH „$ACCESS“ v přístupu na $TARGET_PATH.
�
SELinux brání programu $SOURCE_PATH „$ACCESS“ v přístupu k $TARGET_PATH.
�
SELinux brání programu $SOURCE_PATH „$ACCESS“ v přístupu k zařízení $TARGET_PATH.
�
SELinux brání $SOURCE_PATH "$ACCESS" v přístupu k $TARGET_PATH.
�
SELinux brání $SOURCE_PATH v přístupu na uniklý popisovač souboru $TARGET_PATH.
�
SELinux brání programu $SOURCE_PATH, aby se vázal na port $PORT_NUMBER.
�
SELinux brání $SOURCE_PATH změnit ochranu přístupu
paměti na haldě.
�
SELinux brání programu $SOURCE_PATH, aby se připojil na port $PORT_NUMBER.
�
SELinux brání $SOURCE_PATH ve vytváření souboru s kontextem $SOURCE_TYPE v souborovém systému.
�
SELinux brání $SOURCE_PATH načtení $TARGET_PATH, která vyžaduje přesun textu.
�
SELinux brání $SOURCE_PATH, aby se zásobník programu stal spustitelný.
�
SELinux brání $SOURCE_PATH před schopností "$ACCESS".
�
SELinux brání $SOURCE_PATH schopnosti "sys_resource".
�
SELinux brání programu Samba ($SOURCE_PATH) "$ACCESS" v přístupu k $TARGET_PATH.
�
SELinux brání programu cvs ($SOURCE_PATH) "$ACCESS" v přístupu k $TARGET_PATH.
�
SELinux brání programu $SOURCE_PATH ve spuštění potenciálně špatně označkovaných souborů $TARGET_PATH.
�
SELinux brání démonu http v odesílání mailu.
�
SELinux brání programu xen ($SOURCE_PATH) "$ACCESS" v přístupu k $TARGET_PATH.
�
SELinux zabránil httpd skriptu zapsat do veřejného
adresáře.
�
SELinux policy is preventing an httpd script from writing to a public
directory. Pokud httpd není nastaven, aby mohl zapisovat do veřejného adresáře,
pak by toto mohl být pokus o průnik.
�
SELinux zabránil $SOURCE v připojení souborového systému do souboru
nebo adresáře "$TARGET_PATH" typu "$TARGET_TYPE". Ve výchozím nastavení
omezuje SELinux připojování souborových systémů pouze do některých souborů
či adresářů (jejichž typ má atribut přípojného bodu). Typ "$TARGET_TYPE"
takový atribut nemá. Lze změnit označení souboru nebo adresáře.
�
SELinux zabránil $SOURCE v připojení do souboru či adresáře
"$TARGET_PATH" (typ "$TARGET_TYPE").
�
SELinux bránil httpd $ACCESS v přístupu k $TARGET_PATH.
Skriptům httpd není dovoleno zapisovat do obsahu bez výslovného
značení všech souborů. Pokud je $TARGET_PATH zapisovatelný kontext, potřebuje
značení httpd_sys_rw_content_t nebo pokud vše, co potřebujete, je připojit jej, lze jen značit httpd_sys_ra_content_t. Obraťte se prosím na 'man httpd_selinux' pro více informací o nastavení httpd a SELinuxu.
�
SELinux bránil httpd $ACCESS v přístupu k souborům http.
Obvykle je httpd povolen plný přístup ke všem souborům s značkou kontextu
http soubor. Tento stroj má zpřísněnou bezpečnostní politiku s vypnutým
$BOOLEAN. To vyžaduje výslovné značení všech souborů. Pokud je soubor
cgi skript, je potřeba značení httpd_TYPE_script_exec_t, aby mohl být
spuštěn. Pokud se jedná o obsah určený ke čtení, potřebuje značení
httpd_TYPE_content_t. Pokud se jedná o obsah k zápisu, potřebuje značení
httpd_TYPE_script_rw_t nebo httpd_TYPE_script_ra_t. Lze použít příkaz
chcon pro změnu kontextu. Podívejte se prosím do manuálových stránek
"man httpd_selinux" nebo
<a href="http://fedora.redhat.com/docs/selinux-apache-fc3">FAQ</a>
"TYPE" odkazuje na jeden z "sys", "user" nebo "staff" nebo potenciálně
jiné typy skriptů..
�
SELinux bránil httpd $ACCESS v přístupu k souborům http.
�
SELinux zabránil démonu ftp k souborům $ACCESS uloženým na souborovém systému CIFS.
�
SELinux zabránil službě ftp od $ACCESS souboru uloženému na souborovém systému CIFS.
CIFS (Comment Internet File System) je síťový souborový systém podobný jako
SMB (<a href="http://www.microsoft.com/mind/1196/cifs.asp">http://www.microsoft.com/mind/1196/cifs.asp</a>)
Služba ftp se pokusila přečíst jeden nebo více souborů nebo adresářů z
připojeného souborového systému tohoto typu. Souborový systém CIFS nepodporuje
značkování systému SELinux, všechny soubory a adresáře v souborovém systému
mají stejný bezpečnostní context.
Pokud jste nenastavili službu ftp tak, aby mohla číst soubory ze souborového systému CIFS,
pak toto může znamenat pokus o útok na Váš systém.
�
SELinux zabránil démonu ftp k souborům $ACCESS uloženým na souborovém systému NFS.
�
SELinux zabránil službě ftp od $ACCESS souboru uloženému na souborovém systému NFS.
NFS (Network Filesystem) je síťový souborový systém běžně používaný na platformě Unix / Linux
Služba ftp se pokusila přečíst jeden nebo více souborů nebo adresářů z
připojeného souborového systému tohoto typu. Souborový systém NFS nepodporuje
značkování systému SELinux, všechny soubory a adresáře v souborovém systému
mají stejný bezpečnostní context.
Pokud jste nenastavili službu ftp tak, aby mohla číst soubory ze souborového systému NFS,
pak toto může znamenat pokus o útok na Váš systém.
�
Někdy je knihovna náhodně označena příznakem execstack,
pokud najdete knihovnu s tímto parametrem můžete ho vymazat pomocí
execstack -c CESTA_KE_KNIHOVNĚ. Poté zkuste svou aplikaci. Pokud
aplikace stále nefunguje, můžete příznak vrátit zpět příkazem
execstack -s CESTA_KE_KNIHOVNĚ.
�
Aplikace $SOURCE se pokusila změnit ochranu přístupu
paměti na haldě (např., přidělit pomocí malloc). Je to možný bezpečnostní
problém. Aplikace by to neměla dělat. Aplikace někdy jsou
špatně naprogramované a požadují tento přístup.
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Testy Paměťové Ochrany</a>
tato stránka vysvětluje jak odstranit tento požadavek. Pokud $SOURCE nefunguje
, a Vy ho potřebujete zprovoznit, můžete nastavit SELinux dočasně tak, aby
tento přístup povolil dokud nebude aplikace opravena. Prosím pošlete
chybové hlášení o této aplikaci.
�
Aplikace $SOURCE se pokusila načíst $TARGET_PATH, která
vyžaduje přesun textu. Je to možný bezpečnostní problém.
Většina knihoven tato oprávnění nepotřebují. Knihovny jsou
někdy špatně naprogramované a požadují tato oprávnění.
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Testy Paměťové Ochrany</a>
tato stránka vysvětluje jak odstranit tento požadavek. Můžete nastavit
SELinux dočasně tak, aby umožnil $TARGET_PATH přesun textu,
dokud nebude knihovna opravena. Prosím pošlete chybové hlášení o této aplikaci.
�
Aplikace $SOURCE se pokusila načíst $TARGET_PATH.
To, ale vyžaduje přesun textu. Je to možný bezpečnostní problém.
Většina knihoven tato oprávnění nepotřebují.
<a href="http://people.redhat.com/drepper/selinux-mem.html">
SELinux Testy Paměťové Ochrany</a>
vysvětluje tuto kontrolu. Knihovna byla otestována a vypadá to, že
byla sestavena správně. Setroubleshoot nemůže určit, zda byla apliakce
napadena, či nikoliv Toto může být vážný problém Váš
sytém by mohl být napaden.
Spojte se prosím se svým bezpečnostním administrátorem.
�
Aplikace $SOURCE se pokusila, aby se zásobník programu stal spustitelný.
Je to možný bezpečnostní problém. To by nikdy
nemělo být nutné. Paměť zásobníku není spustitelná na většině
dnešních operačních systémů a jen tak se to nezmění. Executable stack memory
(spustitelný zásobník ) je jedním z nejzávažnějších bezpečnostních problémů.
Chyba execstack je nejpravděpodobněji vyvolána škodlivým kódem
Aplikace jsou někdy špatně naprogramované a požadují tento přístup.
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Testy Paměťové Ochrany</a>
tato stránka vysvětluje jak odstranit tento požadavek. Pokud $SOURCE nefunguje
, a Vy ho potřebujete zprovoznit, můžete nastavit SELinux dočasně tak, aby
tento přístup povolil dokud nebude aplikace opravena. Prosím pošlete
chybové hlášení o této aplikaci.
�
Použijte příkaz jako "cp -p" pro zachování všech oprávnění s výjimkou kontextu SELinux.
�
Kontext souboru můžete změnit spuštěním chcon -R -t cvs_data_t '$TARGET_PATH'
Je nutné také změnit výchozí kontext souborů na systému s cílem jejich uchování i při plném přeznačení. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'"
�
Kontext souboru můžete změnit spuštěním chcon -R -t rsync_data_t '$TARGET_PATH'
Je nutné také změnit výchozí kontext souborů na systému s cílem jejich uchování i při plném přeznačení. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'"
�
Kontext souboru můžete změnit spuštěním chcon -R -t samba_share_t '$TARGET_PATH'
Je nutné také změnit výchozí kontext souborů na systému s cílem jejich uchování i při plném přeznačení. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'"
�
Kontext souboru můžete změnit spuštěním chcon -t public_content_t '$TARGET_PATH'
Je nutné také změnit výchozí kontext souborů na systému s cílem jejich uchování i při plném přeznačení. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'"
�
Kontext souboru můžete změnit spuštěním chcon -t swapfile_t '$TARGET_PATH'
Je nutné také změnit výchozí kontext souborů na systému s cílem jejich uchování i při plném přeznačení. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'"
�
Kontext souboru můžete změnit spuštěním chcon -t virt_image_t '$TARGET_PATH'
Je nutné také změnit výchozí kontext souborů na systému s cílem jejich uchování i při plném přeznačení. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'"
�
Kontext souboru můžete změnit spuštěním chcon -t xen_image_t '$TARGET_PATH'
Je nutné také změnit výchozí kontext souborů na systému s cílem jejich uchování i při plném přeznačení. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'"
�
Můžete spustit následující příkaz jako root, abyste přeznačkovali váš
počítač: "touch /.autorelabel; reboot"
�
Pro povolení tohoto přístupu lze vygenerovat lokální modul
politiky - viz <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">Časté dotazy</a>
Vyplňte prosím chybové hlášení.
�
Pro povolení tohoto přístupu lze vygenerovat lokální modul
politiky - viz <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">Časté dotazy</a>
�
Můžete obnovit výchozí systémový kontext k tomuto souboru spuštěním
restorecon příkazu.
# restorecon -R /root/.ssh
�
Můžete obnovit výchozí systémový kontext k tomuto souboru spuštěním
restorecon příkazu.
# restorecon -R /root/.ssh
�
Můžete obnovit výchozí systémový kontext k tomuto souboru spuštěním
restorecon příkazu. restorecon '$SOURCE_PATH'.
�
Můžete obnovit výchozí systémový kontext k tomuto souboru spuštěním
restorecon příkazu. restorecon '$TARGET_PATH', pokud je tento soubor adresářem,
můžete rekurzivně obnovit pomocí restorecon -R '$TARGET_PATH'.
�
Váš systém může být vážně ohrožen!
�
Váš systém může být vážně ohrožen! $SOURCE_PATH se pokusil o mmap
nízké úrovně paměti jádra.
�
Váš systém může být vážně ohrožen! $SOURCE_PATH se pokusil nahrát modul jádra.
�
Váš systém může být vážně ohrožen! $SOURCE_PATH se snažil změnit prosazování SELinuxu.
�
Váš systém může být vážně ohrožen! $SOURCE_PATH se snažil změnit konfiguraci jádra.
�
Správné zakázání IPV6.
�
Buď odstraňte balíček mozplugger spuštěním 'dnf remove mozplugger'
nebo vypněte prosazování SELinuxu nad zásuvnými moduly Firefoxu.
setsebool -P unconfined_mozilla_plugin_transition 0
�
Buď odstraňte balíček mozplugger nebo spice-xpi spuštěním 'dnf remove mozplugger spice-xpi' nebo vypněte prosazování SELinuxu nad zásuvnými moduly Firefoxu. setsebool -P unconfined_mozilla_plugin_transition 0
�
Buď odstraňte balíček mozplugger nebo spice-xpi spuštěním 'dnf remove mozplugger spice-xpi' nebo vypněte prosazování SELinuxu přes pluginy Chrome. setsebool -P unconfined_chrome_sandbox_transition 0
�
Rozhodnete-li se dál spouštět zmíněný program, musíte
tuto operaci povolit. To se dá zařídit v příkazové řádce
provedením:
# setsebool -P mmap_low_allowed 1
�
SELinux zamitl operaci požadovanou $SOURCE, program použitý
ke změně stavu video hardwaru. Tento program je znám pro používání
nebezpečných operací na systémové paměti, obdobně jako několik
zákeřných/zneužívacích programů, které se maskují jako vbetool. Tento nástroj se používá k
opětovnému nastavení stavu videa, když se přístroj obnoví ze spánku. Neobnoví-li se váš přístroj
korektně, vaší jedinou volbou je povolit tuto operaci a snížit bezpečnost vašeho systému vůči takovému zákeřnému softwaru.
�
SELinux odmítl operaci požadovanou wine-předzavaděčem (wine-preloader), program
používaný ke spouštění aplikací pro Windows pod Linuxem. Tento program je znám pro
používání nebezpečných operací na systémové paměti, stejně jako několik
zákeřných/zneužívacích programů, které se maskují jako wine. Pokoušeli-li jste se
spustit program pro Windows, vaší jedinou volbou je povolit tuto operaci a snížit
bezpečnost svého systému proti takovému zákeřnému softwaru, a nebo rezignovat
na spouštění aplikací pro Windows pod Linuxem. Nepokoušeli-li jste se spustit
aplikaci pro Windows, může to naznačovat, že jste pravděpodobně pod útokem
některého zákeřného softwaru nebo programu, který se snaží zneužít váš systém
pro nekalé účely.
Prosíme, obraťte se na
http://wiki.winehq.org/PreloaderPageZeroProblem
Kde nabízí přehled dalších problémů, se kterými se wine potýká díky svému nebezpečnému
používání paměti, a jejich řešení.
�
Zapněte plný audit
# auditctl -w /etc/shadow -p w
Pokuste se znovu vytvořit AVC. Pak spusťte
# ausearch -m avc -ts recent
Pokud vidíte záznam CESTA zkontrolujte vlastnictví / oprávnění k souboru a opravte ho,
v opačném případě nahlašte problém do bugzilly.�
Pokusili jste se umístit typ na %s, který není typem souboru. To není povoleno, je třeba přiřadit typ souboru. Můžete vylistovat všechny typy souborů pomocí příkazu seinfo.
seinfo -afile_type -x
� Změnou "$BOOLEAN" a
"$WRITE_BOOLEAN" boolean na true povolíte tento přístup:
"setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1".
varování: nastavení "$WRITE_BOOLEAN" boolean na true
umožní službě ftp zapisovat do veřejného obsahu (soubory a
adresáře typu public_content_t) a navíc zápis
souborů a adresářů souborového systému CIFS. � Změnou "allow_ftpd_use_nfs" a
"ftpd_anon_write" booleans na true povolíte tento přístup:
"setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1".
varování: nastavením "ftpd_anon_write" boolean na true
umožní službě ftp zapisovat do veřejného obsahu (soubory a
adresáře typu public_content_t) a navíc zápis
souborů a adresářů souborového systému NFS. �# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE
# semodule -X 300 -i my-$SOURCE.pp�# semanage fcontext -a -t TYP_SOUBORU '$FIX_TARGET_PATH'
kde TYP_SOUBORU je jeden z následujících: %s.
Pak proveďte:
restorecon -v '$FIX_TARGET_PATH'
�# semanage fcontext -a -t PODOBNÝ_TYP '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s'
# restorecon %s -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage port -a -t %s -p %s $PORT_NUMBER�# semanage port -a -t TYP_PORTU -p %s $PORT_NUMBER
kde TYP_PORTU je jedno z následujících: %s.�Proces by se mohl pokoušel proniknout do vašeho systému.�Přidejte
net.ipv6.conf.all.disable_ipv6 = 1
do /etc/sysctl.conf
�Prozatím tento přístup povolíte příkazy:
# ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME
# semodule -X 300 -i my-$MODULE_NAME.pp�Změnit kontext souboru.�Změnit značku�Změnit značku knihovny.�Kontaktujte bezpečnostního správce a nahlašte mu tento problém.�Vypnout kontrolu SELinuxu vůči pluginům v prohlížeči Chrome.�Povolit booleany�Povolit booleany.�Pokud je $TARGET_BASE_PATH cíl virtualizace�Pokud by měl být $TARGET_BASE_PATH sdílen pomocí RSYNC démona�Pokud by měl být $TARGET_BASE_PATH sdílen pomocí cvs démona�Pokud věříte, že by $SOURCE_BASE_PATH mělo být umožněno vytvářet soubory $TARGET_BASE_PATH�Pokud věříte, že se $SOURCE_PATH pokusil zakázat SELinux.�Pokud věříte, že
%s
by nemělo vyžadovat execstack�Pokud jste přesvědčeni, že má $SOURCE_BASE_PATH mít ve výchozím stavu přístup $ACCESS na objekt typu $TARGET_CLASS se štítkem $TARGET_TYPE.�Pokud jste přesvědčeni, že má $SOURCE_BASE_PATH mít ve výchozím stavu přístup $ACCESS na procesy se značkou $TARGET_TYPE.�Pokud jste přesvědčeni, že má $SOURCE_BASE_PATH mít ve výchozím stavu přístup $ACCESS na $TARGET_BASE_PATH $TARGET_CLASS.�Pokud jste přesvědčeni, že má $SOURCE_BASE_PATH mít ve výchozím stavu schopnost $ACCESS.�Pokud toto AVC nebylo přímo způsobeno testováním.�Pokud nevěříte, že by se $SOURCE_PATH měl pokoušet o modifikaci jádra nahráváním modulu jádra.�Pokud nevěříte, že by $SOURCE_PATH měl modifikovat jádro nahráváním modulů jádra�Pokud si nemyslíte, že by se $SOURCE_BASE_PATH měl snažit o $ACCESS přístup na $TARGET_BASE_PATH.�Pokud nemáte za to, že by $SOURCE_PATH měl mít potřebu mapovat zásobník paměti (heap), který je zapisovatelný i spustitelný zároveň.�Pokud nemáte za to, že by $SOURCE_PATH měl potřebovat mapovat zásobník paměti (stack), který je zapisovatelný i spustitelný zároveň.�Pokud nemáte za to, že by měl $SOURCE_PATH potřebovat spouštět mmap v nízké úrovni paměti jádra.�Pokud nechcete, aby procesy vyžadovaly schopnosti vyčerpat všechny systémové prostředky v počítači;�Pokud si myslíte, že to je způsobeno chybně značeným počítačem.�Pokud chcete %s�Pokud chcete povolit, aby se $SOURCE_BASE_PATH připojil do $TARGET_BASE_PATH.�Pokud chcete programu $SOURCE_PATH povolit zápis do kontextu sdílené paměti�Pokud chcete povolit provázání $SOURCE_PATH se síťovým portem $PORT_NUMBER�Pokud chcete povolit připojení $SOURCE_PATH k síťovému portu $PORT_NUMBER�Pokud chcete pro ftpd povolit zápis do souborového systému cifs.�Pokud chcete pro ftpd povolit zápis do souborového systému NFS�Pokud chcete povolit httpd spouštění CGI skriptů a sjednotit manipulaci HTTPD všech souborů obsahu.�Pokud chcete povolit httpd, aby posílal maily�Pokud se pokoušíte změnit značku $TARGET_PATH na %s, není vám to dovoleno, protože se nejedná o platný typ souboru.�Pokud na tomto stroji chcete zakázat IPV6�Pokud chcete opravit značku.
Výchozí značka pro $SOURCE_PATH by měla být %s.�Pokud chcete opravit značku.
Výchozí značka pro $TARGET_PATH by měla být %s.�Pokud chcete pomoct identifikovat, zda-li doména potřebuje tento přístup nebo zda-li máte ve svém souborovém systému soubor s chybnými právy�Pokud chcete ignorovat, že se $SOURCE_BASE_PATH pokouší o přistup $ACCESS k $TARGET_CLASS v $TARGET_BASE_PATH, neboť věříte, že by nemělo tento přístup potřebovat.�Pokud tento AVC chcete ignorovat, protože je to nebezpečné a zdá se, že váš počítač funguje správně.�Pokud tento AVC chcete ignorovat, protože je to nebezpečné a vaše aplikace pod wine fungují správně.�Pokud chcete upravit značku na $TARGET_BASE_PATH, aby k němu $SOURCE_BASE_PATH mohlo mít přístup $ACCESS�Pokud chcete přesunout $TARGET_BASE_PATH do standardního umístění, aby mohl mít $SOURCE_BASE_PATH přístup $ACCESS�Pokud si i nadále přejete pro omezení vlivu používat zásuvný modul SELinux Firefox než balíček mozplugger�Pokud chcete-li brát $TARGET_BASE_PATH jako veřejný obsah.�Pokud chcete používat balíček %s�Obnovit
Kontext�Obnovit kontext�SELinux zabraňuje programu $SOURCE_PATH v přístupu „$ACCESS“.�To je způsobeno nově vytvořeným souborovým systémem.�Vypnout ochranu paměti�Pro další podrobnosti si můžete přečíst manuálovou stránku „%s“.�Pravděpodobně jste byli napadeni.�Musíte o tomto SELinuxu říct povolením booleovské hodnoty „%s“.
�Musíte změnit značku $FIX_TARGET_PATH�Je potřeba změnit značku v $TARGET_BASE_PATH�Je potřeba změnit značku v $TARGET_BASE_PATH na public_content_t or public_content_rw_t.�Je potřeba změnit značku v $TARGET_BASE_PATH'�Je nutné změnit značku na $TARGET_PATH na typ podobného zařízení.�Je potřeba změnit značku v '$FIX_TARGET_PATH'�Měli byste tento problém nahlásit jako chybu.
Abyste přístup povolili, můžete vygenerovat lokální modul pravidel.�Toto byste měli nahlásit jako chybu.
Abyste přístup neauditovali, můžete vygenerovat lokální modul pravidel.�execstack -c %s�pokud si myslíte, že pravděpodobně došlo k napadení�setsebool -P %s %s�chcete pomoci určit, zda doména potřebuje tento přístup nebo zda máte v systému soubor s nesprávnými oprávněním�použijte příkaz jako "cp -p" pro zachování všech oprávnění s výjimkou kontextu SELinux.
�je možné spustit restorecon.�Je možné spustit restorecon. Pokus o přístup byl pravděpodobně zastaven kvůli nedostatečným právům pro přístup do nadřazeného adresáře. V takovém případě se pokuste odpovídajícím způsobem změnit následující příkaz.�můžete být pod útokem hackera, neboť omezené aplikace by nikdy neměly potřebovat tento přístup.�můžete být pod útokem hackera, neboť omezené aplikace by neměly potřebovat tento přístup.�můžete být pod útokem hackera, toto je velmi nebezpečný přístup.�musíte změnit značení u $TARGET_PATH.�Je nutné opravit označení.�je nutné přesunout soubor cert do adresáře ~/.cert�musíte zvolit platnou značku souboru.�Je nutné odstranit balíček mozplugger.�musíte nastavit SELinux pro jeho umožnění�o tomto musíte SELinuxu říct�musíte o tomto SELinuxu říct povolením booleovských hodnot 'httpd_unified' a 'http_enable_cgi'�Musíte o tomto SELinuxu říct povolením booleovské hodnoty vbetool_mmap_zero_ignore.�Musíte o tomto SELinuxu říct povolením booleovské hodnoty wine_mmap_zero_ignore.�je nutné vypnout kontrolu SELinuxu vůči pluginům v prohlížeči Chrome.�musíte vypnout kontroly SELinuxu nad zásuvnými moduly Firefoxu.�je třeba k němu přidat značky.�musíte změnit značku $TARGET_PATH na public_content_rw_t a případně i zapnout booleovskou hodnotu allow_httpd_sys_script_anon_write.�potřebujete zjistit proč váš systém nemá dostatek systémových zdrojů a odstranit tento probém.
Dle /usr/include/linux/capability.h, sys_resource se vyžaduje k:
/* Potlačení meze zdrojů. Nastavení meze zdrojů. */
/* Potlačení mezí kvóty. */
/* Potlačení vymezeného prostor na souborovém systému ext2 */
/* Úpravě datového režimu protokolu na souborovém systému ext3 (používá protokolovací
zdroje) */
/* POZNÁMKA: ext2 ctí fsuid při kontrole potlačování zdrojů, tedy
fsuid lze použít rovněž */
/* Potlačení omezení velikosti na frontách zpráv IPC */
/* Povolení přerušení větších než 64 hz z reálných hodin */
/* Potlačení maximálního počtu konzolí na konzolové alokaci */
/* Potlačení maximálního počtu rozvržení kláves */
�je třeba plně přeznačit.�potřebujete upravit typ sandboxu. sandbox_web_t nebo sandbox_net_t.
Například:
sandbox -X -t sandbox_net_t $SOURCE_PATH
Pro podrobnosti si prosím přečtěte manuálovou stránku „sandbox“.
�měli byste nahlásit chybu.
Toto je potenciálně nebezpečný přístup.�měli byste nahlásit chybu. Toto je potenciálně nebezpečný přístup.�je potřeba nastavit /proc/sys/net/ipv6/conf/all/disable_ipv6 na hodnotu 1 a nedávat modul na blacklist'�je třeba použít jiný příkaz. Není dovoleno zachovat kontext SELinuxu na cílovém systému souborů.�měli byste vymazat příznak execstack a zjistit zda-li $SOURCE_PATH funguje správně.
Nahlašte to jako chybu na %s.
Můžete vyčistit příznak exestack spuštěním:�