| Server IP : 184.154.167.98 / Your IP : 3.142.195.139 Web Server : Apache System : Linux pink.dnsnetservice.com 4.18.0-553.22.1.lve.1.el8.x86_64 #1 SMP Tue Oct 8 15:52:54 UTC 2024 x86_64 User : puertode ( 1767) PHP Version : 8.2.27 Disable Function : NONE MySQL : OFF | cURL : ON | WGET : ON | Perl : ON | Python : ON | Sudo : ON | Pkexec : ON Directory : /usr/share/locale/pl/LC_MESSAGES/ |
Upload File : |
����������
���4��3��L��������������1����:��8����s��V���z��g������h���9��|������(��
��E��H
�������
��
��- ��R��;!�������"��t���(#��I���#��~����$������f%��,��$&�� ��Q'����[(��m��w)������+�������1������k2��/��
3��
��M4�����Z6��.��X8��b���:�����;�����=������>�����QA�����JC������E������G�����I������J��7���L������N������QP��T��BQ������R�����9T������U��S����W��P����W����MX��N���^Z��N����Z��U����Z��G���R[��]����[��O����[��k���H\��R����\��q���]��f���y]��V����]��F���7^��K���~^��V����^��E���!_��S���g_��j����_��B���&`��T���i`��T���`��^���c������rc�����4d��t����e�����4f��Z���g��?���.k��Z���nk������k��Y���|n��U���n��6��,q�����cr��C���t�����6w��#���y��X����|��
��4}����B~����S����f��� ��|���
������
������z������������������Յ������p�����������������������
���3�������e���)���_�������e������f���U���
�����������ي��������������r�������J���������I��Տ������ ���������������������D���b���ޗ������A���\�����b���2���\�������+������c���
���7�������<����������������������
�������
�������%���ś��:������*���&������Q������a���/���r���:�������8���ݜ��T������5���k���4�������x���֝��t���O���y���Ğ��T���>���7�������m���˟��a���9���U�������e������f���W���N�������g���
���:���u����������E���¢��N������F���W���I�������7������6��� ���c���W���'�������p������+���T���G�������G���ȥ��u��������������f��� ���h�������l������j���]���h���Ȩ��8���1���!���j���/�����������������̩��4���ܩ��$������.���6������e������{���,����������ê��?���ߪ��0��� ���1���P���]�������2������K������2���_���]�������c���������T���,���d����������d�������N��� ������X�������p���_���-���]�������E������-���1������_���4���x���!�������'���ϰ��$������� ���
���_���=���R�������O������9���@���:���z���
�����������Ӳ�����_������#�������>���B������A���.���^���p���s���Ϸ������C�����ڸ������ߺ�� ��Ļ�� ��μ��z��ؽ��p���S���������������E�����������C��]���e�������������6���������
�����������x���;���j��������� �����������O��T���������������}������Z��:���������������b�����.������=������%���S������a��S����������������%��N���%��t��������������������������
������
���v��������e�����
���u���������������Y�����2�c�����`���^�]����M���
�R���k�b�����E���!�f���g�R�����j���! �^���� �w���� �n���c
�b����
�G���5
�L���}
�Z����
�I���%
�R���o
�|����
�F���?
�T����
�����
�d������������������������������E�����o�������^�n���o
�����
�a��� �����!�v���$����'����)�~���Z-�&���-�%���/�'��&0�+��N1�
��z2�$���3� ���4������5�����}6�����Z7�����8������8�����"9������9�5����:�w����:�j���K;�v����;�q���-<�+����<������<������=������>�����w?�/��,@����\B�I��=F������G����bH����
J�b����K�����QL�[���M�b���^M�\����M�+���
N�Z���JN�(����N�>����N�����
O� ����O�����O�)����O�&���P�T���BP�<����P�#����P�$����P�1���
Q�N���OQ�L����Q�W����Q�7���CR�3���{R�n����R�j���
S�b����S�G����S�L���4T�Y����T�M����T�V���)U�`����U�j����U�Y���LV�k����V�I���W����\W�C���cW�P����W�L����W�I���EX�;����X�:����X�l���Y�)���sY�u����Y�&���Z�N���:Z�N����Z�n����Z�����G[�p����[�y���H\�j����\�����-]�g����]�7���^����O^�Q���e^�����^�����^�8����^�'��� _�8���H_�
����_�
����_�B����_�����`�O���
`�+���l`�,����`�Y����`�-��� a�E���Ma�1����a�h����a�g���.b�����b�����b�����b�o����b�p���@c�%����c������c�l����d�f���e�H���e�,����e�����e�8���f�-���Jf�#���xf�.����f�$����f�o����f�^���`g�[����g�=���h�@���Yh�!����h������h�W��Ri�6����l������l�A����m�@����m�f���"n������n�����o��������8���
�����������)���
�������w���
�������G���������������D���^���$���������������o�������������������.��������������
������������������5���%�������z������;�����������:���T���������������@�����������p�����������R�������t�����������������������!�������u�������6���C�������3���x���0���W�����������������������`�������������������������������_�������~�������+��������������'���h�����������J���I���
���������������e�����������g�������B�����������������������|���Y���*���c�������i�����������������������������������������,������������������y���������������r�����������������������H�������}���N���������A�����������2�������1������s���q��� ���9������&���������������������������k�������S�������������������������������������7���������������[�������V��������������������������������������-���M���U������������������L���������������������������������� �����������(�������F���E�������������������K���<���v�����������
�����������"�������f�������X���>���4���]�������n�������j���������������m���
��������������������������������������=���������������#��� �������/���{���\�������������������?�������������������d�������P��������������l���a�����������������������O���������������b�����������Q���������������Z��������
dac_override and dac_read_search capabilities usually indicates that the root process does not have access to a file based on the permission flags. This usually mean you have some file with the wrong ownership/permissions on it.
�
SELinux denied access requested by $SOURCE. It is not
expected that this access is required by $SOURCE and this access
may signal an intrusion attempt. It is also possible that the specific
version or configuration of the application is causing it to require
additional access.
�
SELinux denied access requested by $SOURCE. The current boolean
settings do not allow this access. If you have not setup $SOURCE to
require this access this may signal an intrusion attempt. If you do intend
this access you need to change the booleans on this system to allow
the access.
�
SELinux has denied $SOURCE "$ACCESS" access to device $TARGET_PATH.
$TARGET_PATH is mislabeled, this device has the default label of the /dev directory, which should not
happen. All Character and/or Block Devices should have a label.
You can attempt to change the label of the file using
restorecon -v '$TARGET_PATH'.
If this device remains labeled device_t, then this is a bug in SELinux policy.
Please file a bug report.
If you look at the other similar devices labels, ls -lZ /dev/SIMILAR, and find a type that would work for $TARGET_PATH,
you can use chcon -t SIMILAR_TYPE '$TARGET_PATH', If this fixes the problem, you can make this permanent by executing
semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
If the restorecon changes the context, this indicates that the application that created the device, created it without
using SELinux APIs. If you can figure out which application created the device, please file a bug report against this application.
�
Attempt restorecon -v '$TARGET_PATH' or chcon -t SIMILAR_TYPE '$TARGET_PATH'
�
Changing the "$BOOLEAN" boolean to true will allow this access:
"setsebool -P $BOOLEAN=1"
�
Changing the "$BOOLEAN" boolean to true will allow this access:
"setsebool -P $BOOLEAN=1."
�
Changing the "allow_ftpd_use_nfs" boolean to true will allow this access:
"setsebool -P allow_ftpd_use_nfs=1."
�
Changing the file_context to mnt_t will allow mount to mount the file system:
"chcon -t mnt_t '$TARGET_PATH'."
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t mnt_t '$FIX_TARGET_PATH'"
�
Confined domains should not require "sys_resource". This usually means that your system is running out some system resource like disk space, memory, quota etc. Please clear up the disk and this
AVC message should go away. If this AVC continues after you clear up the disk space, please report this as a bug.
�
Confined processes can be configured to run requiring different access, SELinux provides booleans to allow you to turn on/off
access as needed.
�
If httpd scripts should be allowed to write to public directories you need to turn on the $BOOLEAN boolean and change the file context of the public directory to public_content_rw_t. Read the httpd_selinux
man page for further information:
"setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t <path>"
You must also change the default file context labeling files on the system in order to preserve public directory labeling even on a full relabel. "semanage fcontext -a -t public_content_rw_t <path>"
�
If you trust $TARGET_PATH to run correctly, you can change the
file context to textrel_shlib_t. "chcon -t textrel_shlib_t
'$TARGET_PATH'"
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t textrel_shlib_t '$FIX_TARGET_PATH'"
�
If you want $SOURCE to continue, you must turn on the
$BOOLEAN boolean. Note: This boolean will affect all applications
on the system.
�
If you want httpd to send mail you need to turn on the
$BOOLEAN boolean: "setsebool -P
$BOOLEAN=1"
�
If you want to allow $SOURCE to bind to port $PORT_NUMBER, you can execute
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.
If this system is running as an NIS Client, turning on the allow_ypbind boolean may fix the problem. setsebool -P allow_ypbind=1.
�
If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute
# sandbox -X -t sandbox_net_t $SOURCE
�
If you want to allow $SOURCE to connect to $PORT_NUMBER, you can execute
# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.
�
If you want to change the file context of $TARGET_PATH so that the automounter can execute it you can execute "chcon -t bin_t $TARGET_PATH". If you want this to survive a relabel, you need to permanently change the file context: execute "semanage fcontext -a -t bin_t '$FIX_TARGET_PATH'".
�
SELinux denied $SOURCE access to $TARGET_PATH.
If this is a swapfile, it has to have a file context label of
swapfile_t. If you did not intend to use
$TARGET_PATH as a swapfile, this message could indicate either a bug or an intrusion attempt.
�
SELinux denied RSYNC access to $TARGET_PATH.
If this is an RSYNC repository, it has to have a file context label of
rsync_data_t. If you did not intend to use $TARGET_PATH as an RSYNC repository,
this message could indicate either a bug or an intrusion attempt.
�
SELinux denied access requested by $SOURCE. $SOURCE_PATH may
be mislabeled. $SOURCE_PATH default SELinux type is
<B>%s</B>, but its current type is <B>$SOURCE_TYPE</B>. Changing
this file back to the default type may fix your problem.
<p>
This file could have been mislabeled either by user error, or if an normally confined application
was run under the wrong domain.
<p>
However, this might also indicate a bug in SELinux because the file should not have been labeled
with this type.
<p>
If you believe this is a bug, please file a bug report against this package.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. $TARGET_PATH default SELinux type is
<B>%s</B>, but its current type is <B>$TARGET_TYPE</B>. Changing
this file back to the default type may fix your problem.
<p>
File contexts can be assigned to a file in the following ways.
<ul>
<li>Files created in a directory receive the file context of the parent directory by default.
<li>The SELinux policy might override the default label inherited from the parent directory by
specifying a process running in context A which creates a file in a directory labeled B
will instead create the file with label C. An example of this would be the dhcp client running
with the dhcpc_t type and creating a file in the directory /etc. This file would normally
receive the etc_t type due to parental inheritance but instead the file
is labeled with the net_conf_t type because the SELinux policy specifies this.
<li>Users can change the file context on a file using tools such as chcon, or restorecon.
</ul>
This file could have been mislabeled either by user error, or if an normally confined application
was run under the wrong domain.
<p>
However, this might also indicate a bug in SELinux because the file should not have been labeled
with this type.
<p>
If you believe this is a bug, please file a bug report against this package.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. openvpn is allowed to read content in home directory if it
is labeled correctly.
�
SELinux denied access requested by $SOURCE. $TARGET_PATH may
be mislabeled. sshd is allowed to read content in /root/.ssh directory if it
is labeled correctly.
�
SELinux denied access requested by $SOURCE. It is not
expected that this access is required by $SOURCE and this access
may signal an intrusion attempt. It is also possible that the specific
version or configuration of the application is causing it to require
additional access.
�
SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. mozplugger and spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages.
�
SELinux denied access requested by $SOURCE. It is not expected that this access is required by $SOURCE and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access. spice-xpi run applications within mozilla-plugins that require access to the desktop, that the mozilla_plugin lockdown will not allow, so either you need to turn off the mozilla_plugin lockdown or not use these packages.
�
SELinux denied access requested by the $SOURCE command. It looks like this is either a leaked descriptor or $SOURCE output was redirected to a file it is not allowed to access. Leaks usually can be ignored since SELinux is just closing the leak and reporting the error. The application does not use the descriptor, so it will run properly. If this is a redirection, you will not get output in the $TARGET_PATH. You should generate a bugzilla on selinux-policy, and it will get routed to the appropriate package. You can safely ignore this avc.
�
SELinux denied access to $TARGET_PATH requested by $SOURCE.
$TARGET_PATH has a context used for sharing by a different program. If you
would like to share $TARGET_PATH from $SOURCE also, you need to
change its file context to public_content_t. If you did not intend to
allow this access, this could signal an intrusion attempt.
�
SELinux denied cvs access to $TARGET_PATH.
If this is a CVS repository it needs to have a file context label of
cvs_data_t. If you did not intend to use $TARGET_PATH as a CVS repository
it could indicate either a bug or it could signal an intrusion attempt.
�
SELinux denied samba access to $TARGET_PATH.
If you want to share this directory with samba it has to have a file context label of
samba_share_t. If you did not intend to use $TARGET_PATH as a samba repository,
this message could indicate either a bug or an intrusion attempt.
Please refer to 'man samba_selinux' for more information on setting up Samba and SELinux.
�
SELinux denied svirt access to $TARGET_PATH.
If this is a virtualization image, it has to have a file context label of
virt_image_t. The system is setup to label image files in directory./var/lib/libvirt/images
correctly. We recommend that you copy your image file to /var/lib/libvirt/images.
If you really want to have your image files in the current directory, you can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this
new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization
image it could indicate either a bug or an intrusion attempt.
�
SELinux denied svirt access to the block device $TARGET_PATH.
If this is a virtualization image, it needs to be labeled with a virtualization file context (virt_image_t). You can relabel $TARGET_PATH to be virt_image_t using chcon. You also need to execute semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH' to add this
new path to the system defaults. If you did not intend to use $TARGET_PATH as a virtualization
image it could indicate either a bug or an intrusion attempt.
�
SELinux denied xen access to $TARGET_PATH.
If this is a XEN image, it has to have a file context label of
xen_image_t. The system is setup to label image files in directory /var/lib/xen/images
correctly. We recommend that you copy your image file to /var/lib/xen/images.
If you really want to have your xen image files in the current directory, you can relabel $TARGET_PATH to be xen_image_t using chcon. You also need to execute semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH' to add this
new path to the system defaults. If you did not intend to use $TARGET_PATH as a xen
image it could indicate either a bug or an intrusion attempt.
�
SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER which does not have an SELinux type associated with it.
If $SOURCE should be allowed to connect on $PORT_NUMBER, use the <i>semanage</i> command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can connect to (%s).
If $SOURCE is not supposed
to connect to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied $SOURCE from connecting to a network port $PORT_NUMBER within a sandbox.
If $SOURCE should be allowed to connect on $PORT_NUMBER, you need to use a different sandbox type like sandbox_web_t or sandbox_net_t.
# sandbox -X -t sandbox_net_t $SOURCE
If $SOURCE is not supposed
to connect to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied the $SOURCE access to potentially
mislabeled files $TARGET_PATH. This means that SELinux will not
allow httpd to use these files. If httpd should be allowed this access to these files you should change the file context to one of the following types, %s.
Many third party apps install html files
in directories that SELinux policy cannot predict. These directories
have to be labeled with a file context which httpd can access.
�
SELinux has denied the $SOURCE from binding to a network port $PORT_NUMBER which does not have an SELinux type associated with it.
If $SOURCE should be allowed to listen on $PORT_NUMBER, use the <i>semanage</i> command to assign $PORT_NUMBER to a port type that $SOURCE_TYPE can bind to (%s).
If $SOURCE is not supposed
to bind to $PORT_NUMBER, this could signal an intrusion attempt.
�
SELinux has denied the $SOURCE the ability to mmap low area of the kernel
address space. The ability to mmap a low area of the address space is
configured by /proc/sys/kernel/mmap_min_addr. Preventing such mappings
helps protect against exploiting null deref bugs in the kernel. All
applications that need this access should have already had policy written
for them. If a compromised application tries to modify the kernel, this AVC
would be generated. This is a serious issue. Your system may very well be
compromised.
�
SELinux has denied the $SOURCE_PATH from executing potentially
mislabeled files $TARGET_PATH. Automounter can be setup to execute
configuration files. If $TARGET_PATH is an automount executable
configuration file it needs to have a file label of bin_t.
If automounter is trying to execute something that it is not supposed to, this could indicate an intrusion attempt.
�
SELinux has denied the http daemon from sending mail. An
httpd script is trying to connect to a mail port or execute the
sendmail command. If you did not setup httpd to sendmail, this could
signal an intrusion attempt.
�
SELinux has prevented $SOURCE from loading a kernel module.
All confined programs that need to load kernel modules should have already had policy
written for them. If a compromised application
tries to modify the kernel this AVC will be generated. This is a serious
issue. Your system may very well be compromised.
�
SELinux has prevented $SOURCE from modifying $TARGET. This denial
indicates $SOURCE was trying to modify the selinux policy configuration.
All applications that need this access should have already had policy
written for them. If a compromised application tries to modify the SELinux
policy this AVC will be generated. This is a serious issue. Your system
may very well be compromised.
�
SELinux has prevented $SOURCE from modifying $TARGET. This denial
indicates $SOURCE was trying to modify the way the kernel runs or to
actually insert code into the kernel. All applications that need this
access should have already had policy written for them. If a compromised
application tries to modify the kernel this AVC will be generated. This is a
serious issue. Your system may very well be compromised.
�
SELinux has prevented $SOURCE from writing to a file under /sys/fs/selinux.
Files under /sys/fs/selinux control the way SELinux is configured.
All programs that need to write to files under /sys/fs/selinux should have already had policy
written for them. If a compromised application tries to turn off SELinux
this AVC will be generated. This is a serious issue. Your system may very
well be compromised.
�
SELinux has prevented vbetool from performing an unsafe memory operation.
�
SELinux has prevented wine from performing an unsafe memory operation.
�
SELinux is preventing $SOURCE from creating a file with a context of $SOURCE_TYPE on a filesystem.
Usually this happens when you ask the cp command to maintain the context of a file when
copying between file systems, "cp -a" for example. Not all file contexts should be maintained
between the file systems. For example, a read-only file type like iso9660_t should not be placed
on a r/w system. "cp -p" might be a better solution, as this will adopt the default file context
for the destination.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access on $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access to $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" access to device $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH "$ACCESS" to $TARGET_PATH.
�
SELinux is preventing $SOURCE_PATH access to a leaked $TARGET_PATH file descriptor.
�
SELinux is preventing $SOURCE_PATH from binding to port $PORT_NUMBER.
�
SELinux is preventing $SOURCE_PATH from changing the access
protection of memory on the heap.
�
SELinux is preventing $SOURCE_PATH from connecting to port $PORT_NUMBER.
�
SELinux is preventing $SOURCE_PATH from creating a file with a context of $SOURCE_TYPE on a filesystem.
�
SELinux is preventing $SOURCE_PATH from loading $TARGET_PATH which requires text relocation.
�
SELinux is preventing $SOURCE_PATH from making the program stack executable.
�
SELinux is preventing $SOURCE_PATH the "$ACCESS" capability.
�
SELinux is preventing $SOURCE_PATH the "sys_resource" capability.
�
SELinux is preventing Samba ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH.
�
SELinux is preventing access to a file labeled unlabeled_t.
�
SELinux is preventing cvs ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH
�
SELinux is preventing the $SOURCE_PATH from executing potentially mislabeled files $TARGET_PATH.
�
SELinux is preventing the http daemon from sending mail.
�
SELinux is preventing xen ($SOURCE_PATH) "$ACCESS" access to $TARGET_PATH.
�
SELinux permission checks on files labeled unlabeled_t are being
denied. unlabeled_t is a context the SELinux kernel gives to files
that do not have a label. This indicates a serious labeling
problem. No files on an SELinux box should ever be labeled unlabeled_t.
If you have just added a disk drive to the system, you can
relabel it using the restorecon command. For example if you saved the
home directory from a previous installation that did not use SELinux, 'restorecon -R -v /home' will fix the labels. Otherwise you should
relabel the entire file system.
�
SELinux policy is preventing an httpd script from writing to a public
directory.
�
SELinux policy is preventing an httpd script from writing to a public
directory. If httpd is not setup to write to public directories, this
could signal an intrusion attempt.
�
SELinux prevented $SOURCE from mounting a filesystem on the file
or directory "$TARGET_PATH" of type "$TARGET_TYPE". By default
SELinux limits the mounting of filesystems to only some files or
directories (those with types that have the mountpoint attribute). The
type "$TARGET_TYPE" does not have this attribute. You can change the
label of the file or directory.
�
SELinux prevented $SOURCE from mounting on the file or directory
"$TARGET_PATH" (type "$TARGET_TYPE").
�
SELinux prevented httpd $ACCESS access to $TARGET_PATH.
httpd scripts are not allowed to write to content without explicit
labeling of all files. If $TARGET_PATH is writable content. it needs
to be labeled httpd_sys_rw_content_t or if all you need is append you can label it httpd_sys_ra_content_t. Please refer to 'man httpd_selinux' for more information on setting up httpd and selinux.
�
SELinux prevented httpd $ACCESS access to http files.
Ordinarily httpd is allowed full access to all files labeled with http file
context. This machine has a tightened security policy with the $BOOLEAN
turned off, this requires explicit labeling of all files. If a file is
a cgi script it needs to be labeled with httpd_TYPE_script_exec_t in order
to be executed. If it is read only content, it needs to be labeled
httpd_TYPE_content_t. If it is writable content, it needs to be labeled
httpd_TYPE_script_rw_t or httpd_TYPE_script_ra_t. You can use the
chcon command to change these context. Please refer to the man page
"man httpd_selinux" or
<a href="http://fedora.redhat.com/docs/selinux-apache-fc3">FAQ</a>
"TYPE" refers to one of "sys", "user" or "staff" or potentially other
script types.
�
SELinux prevented httpd $ACCESS access to http files.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a CIFS filesystem.
CIFS (Comment Internet File System) is a network filesystem similar to
SMB (<a href="http://www.microsoft.com/mind/1196/cifs.asp">http://www.microsoft.com/mind/1196/cifs.asp</a>)
The ftp daemon attempted to read one or more files or directories from
a mounted filesystem of this type. As CIFS filesystems do not support
fine-grained SELinux labeling, all files and directories in the
filesystem will have the same security context.
If you have not configured the ftp daemon to read files from a CIFS filesystem
this access attempt could signal an intrusion attempt.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem.
�
SELinux prevented the ftp daemon from $ACCESS files stored on a NFS filesystem.
NFS (Network Filesystem) is a network filesystem commonly used on Unix / Linux
systems.
The ftp daemon attempted to read one or more files or directories from
a mounted filesystem of this type. As NFS filesystems do not support
fine-grained SELinux labeling, all files and directories in the
filesystem will have the same security context.
If you have not configured the ftp daemon to read files from a NFS filesystem
this access attempt could signal an intrusion attempt.
�
Sometimes a library is accidentally marked with the execstack flag,
if you find a library with this flag you can clear it with the
execstack -c LIBRARY_PATH. Then retry your application. If the
app continues to not work, you can turn the flag back on with
execstack -s LIBRARY_PATH.
�
The $SOURCE application attempted to change the access protection of memory on
the heap (e.g., allocated using malloc). This is a potential security
problem. Applications should not be doing this. Applications are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. If $SOURCE does not work and
you need it to work, you can configure SELinux temporarily to allow
this access until the application is fixed. Please file a bug
report against this package.
�
The $SOURCE application attempted to load $TARGET_PATH which
requires text relocation. This is a potential security problem.
Most libraries do not need this permission. Libraries are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. You can configure
SELinux temporarily to allow $TARGET_PATH to use relocation as a
workaround, until the library is fixed. Please file a bug report.
�
The $SOURCE application attempted to load $TARGET_PATH which
requires text relocation. This is a potential security problem.
Most libraries should not need this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">
SELinux Memory Protection Tests</a>
web page explains this check. This tool examined the library and it looks
like it was built correctly. So setroubleshoot can not determine if this
application is compromised or not. This could be a serious issue. Your
system may very well be compromised.
Contact your security administrator and report this issue.
�
The $SOURCE application attempted to make its stack
executable. This is a potential security problem. This should
never ever be necessary. Stack memory is not executable on most
OSes these days and this will not change. Executable stack memory
is one of the biggest security problems. An execstack error might
in fact be most likely raised by malicious code. Applications are
sometimes coded incorrectly and request this permission. The
<a href="http://people.redhat.com/drepper/selinux-mem.html">SELinux Memory Protection Tests</a>
web page explains how to remove this requirement. If $SOURCE does not
work and you need it to work, you can configure SELinux
temporarily to allow this access until the application is fixed. Please
file a bug report.
�
Use a command like "cp -p" to preserve all permissions except SELinux context.
�
You can alter the file context by executing chcon -R -t cvs_data_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t cvs_data_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -R -t rsync_data_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t rsync_data_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -R -t samba_share_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t public_content_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t swapfile_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t swapfile_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t virt_image_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'"
�
You can alter the file context by executing chcon -t xen_image_t '$TARGET_PATH'
You must also change the default file context files on the system in order to preserve them even on a full relabel. "semanage fcontext -a -t xen_image_t '$FIX_TARGET_PATH'"
�
You can execute the following command as root to relabel your
computer system: "touch /.autorelabel; reboot"
�
You can generate a local policy module to allow this
access - see <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
Please file a bug report.
�
You can generate a local policy module to allow this
access - see <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
�
You can restore the default system context to this file by executing the
restorecon command.
# restorecon -R /root/.ssh
�
You can restore the default system context to this file by executing the
restorecon command.
# restorecon -R /root/.ssh
�
You can restore the default system context to this file by executing the
restorecon command. restorecon '$SOURCE_PATH'.
�
You can restore the default system context to this file by executing the
restorecon command. restorecon '$TARGET_PATH', if this file is a directory,
you can recursively restore using restorecon -R '$TARGET_PATH'.
�
Your system may be seriously compromised!
�
Your system may be seriously compromised! $SOURCE_PATH attempted to mmap low kernel memory.
�
Your system may be seriously compromised! $SOURCE_PATH tried to load a kernel module.
�
Your system may be seriously compromised! $SOURCE_PATH tried to modify SELinux enforcement.
�
Your system may be seriously compromised! $SOURCE_PATH tried to modify kernel configuration.
�
Disable IPV6 properly.
�
Either remove the mozplluger package by executing 'yum remove mozplugger'
Or turn off enforcement of SELinux over the Firefox plugins.
setsebool -P unconfined_mozilla_plugin_transition 0
�
Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi' or turn off enforcement of SELinux over the Firefox plugins. setsebool -P unconfined_mozilla_plugin_transition 0
�
Either remove the mozplugger or spice-xpi package by executing 'yum remove mozplugger spice-xpi', or turn off enforcement of SELinux over the Chrome plugins. setsebool -P unconfined_chrome_sandbox_transition 0
�
If you decide to continue to run the program in question you will need
to allow this operation. This can be done on the command line by
executing:
# setsebool -P mmap_low_allowed 1
�
SELinux denied an operation requested by $SOURCE, a program used
to alter video hardware state. This program is known to use
an unsafe operation on system memory but so are a number of
malware/exploit programs which masquerade as vbetool. This tool is used to
reset video state when a machine resumes from a suspend. If your machine
is not resuming properly your only choice is to allow this
operation and reduce your system security against such malware.
�
SELinux denied an operation requested by wine-preloader, a program used
to run Windows applications under Linux. This program is known to use
an unsafe operation on system memory but so are a number of
malware/exploit programs which masquerade as wine. If you were
attempting to run a Windows program your only choices are to allow this
operation and reduce your system security against such malware or to
refrain from running Windows applications under Linux. If you were not
attempting to run a Windows application this indicates you are likely
being attacked by some for of malware or program trying to exploit your
system for nefarious purposes.
Please refer to
http://wiki.winehq.org/PreloaderPageZeroProblem
Which outlines the other problems wine encounters due to its unsafe use
of memory and solutions to those problems.
�
Turn on full auditing
# auditctl -w /etc/shadow -p w
Try to recreate AVC. Then execute
# ausearch -m avc -ts recent
If you see PATH record check ownership/permissions on file, and fix it,
otherwise report as a bugzilla.�
You tried to place a type on a %s that is not a file type. This is not allowed, you must assigne a file type. You can list all file types using the seinfo command.
seinfo -afile_type -x
� Changing the "$BOOLEAN" and
"$WRITE_BOOLEAN" booleans to true will allow this access:
"setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1".
warning: setting the "$WRITE_BOOLEAN" boolean to true will
allow the ftp daemon to write to all public content (files and
directories with type public_content_t) in addition to writing to
files and directories on CIFS filesystems. � Changing the "allow_ftpd_use_nfs" and
"ftpd_anon_write" booleans to true will allow this access:
"setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1".
warning: setting the "ftpd_anon_write" boolean to true will
allow the ftp daemon to write to all public content (files and
directories with type public_content_t) in addition to writing to
files and directories on NFS filesystems. �# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE
# semodule -X 300 -i my-$SOURCE.pp�# semanage fcontext -a -t FILE_TYPE '$FIX_TARGET_PATH'
where FILE_TYPE is one of the following: %s.
Then execute:
restorecon -v '$FIX_TARGET_PATH'
�# semanage fcontext -a -t SIMILAR_TYPE '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s'
# restorecon %s -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage port -a -t %s -p %s $PORT_NUMBER�# semanage port -a -t PORT_TYPE -p %s $PORT_NUMBER
where PORT_TYPE is one of the following: %s.�A process might be attempting to hack into your system.�Add
net.ipv6.conf.all.disable_ipv6 = 1
to /etc/sysctl.conf
�Allow this access for now by executing:
# ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME
# semodule -X 300 -i my-$MODULE_NAME.pp�Change file context.�Change label�Change label on the library.�Change the file label to xen_image_t.�Contact your security administrator and report this issue.�Disable SELinux controls on Chrome plugins�Enable booleans�Enable booleans.�If $TARGET_BASE_PATH is a virtualization target�If $TARGET_BASE_PATH should be shared via the RSYNC daemon�If $TARGET_BASE_PATH should be shared via the cvs daemon�If you believe $SOURCE_BASE_PATH should be allowed to create $TARGET_BASE_PATH files�If you believe $SOURCE_PATH tried to disable SELinux.�If you believe that
%s
should not require execstack�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on $TARGET_CLASS labeled $TARGET_TYPE by default.�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on processes labeled $TARGET_TYPE by default.�If you believe that $SOURCE_BASE_PATH should be allowed $ACCESS access on the $TARGET_BASE_PATH $TARGET_CLASS by default.�If you believe that $SOURCE_BASE_PATH should have the $ACCESS capability by default.�If you did not directly cause this AVC through testing.�If you do not believe that $SOURCE_PATH should be attempting to modify the kernel by loading a kernel module.�If you do not believe your $SOURCE_PATH should be modifying the kernel, by loading kernel modules�If you do not think $SOURCE_BASE_PATH should try $ACCESS access on $TARGET_BASE_PATH.�If you do not think $SOURCE_PATH should need to map heap memory that is both writable and executable.�If you do not think $SOURCE_PATH should need to map stack memory that is both writable and executable.�If you do not think $SOURCE_PATH should need to mmap low memory in the kernel.�If you do not want processes to require capabilities to use up all the system resources on your system;�If you think this is caused by a badly mislabeled machine.�If you want to %s�If you want to allow $SOURCE_BASE_PATH to mount on $TARGET_BASE_PATH.�If you want to allow $SOURCE_PATH to be able to write to shared public content�If you want to allow $SOURCE_PATH to bind to network port $PORT_NUMBER�If you want to allow $SOURCE_PATH to connect to network port $PORT_NUMBER�If you want to allow ftpd to write to cifs file systems�If you want to allow ftpd to write to nfs file systems�If you want to allow httpd to execute cgi scripts and to unify HTTPD handling of all content files.�If you want to allow httpd to send mail�If you want to change the label of $TARGET_PATH to %s, you are not allowed to since it is not a valid file type.�If you want to disable IPV6 on this machine�If you want to fix the label.
$SOURCE_PATH default label should be %s.�If you want to fix the label.
$TARGET_PATH default label should be %s.�If you want to help identify if domain needs this access or you have a file with the wrong permissions on your system�If you want to ignore $SOURCE_BASE_PATH trying to $ACCESS access the $TARGET_BASE_PATH $TARGET_CLASS, because you believe it should not need this access.�If you want to ignore this AVC because it is dangerous and your machine seems to be working correctly.�If you want to ignore this AVC because it is dangerous and your wine applications are working correctly.�If you want to modify the label on $TARGET_BASE_PATH so that $SOURCE_BASE_PATH can have $ACCESS access on it�If you want to mv $TARGET_BASE_PATH to standard location so that $SOURCE_BASE_PATH can have $ACCESS access�If you want to to continue using SELinux Firefox plugin containment rather then using mozplugger package�If you want to treat $TARGET_BASE_PATH as public content�If you want to use the %s package�Relabel the whole file system. Includes reboot!�Restore
Context�Restore Context�SELinux is preventing $SOURCE_PATH "$ACCESS" access.�Set the image label to virt_image_t.�This is caused by a newly created file system.�Try to fix the label.�Turn off memory protection�You can read '%s' man page for more details.�You might have been hacked.�You must tell SELinux about this by enabling the '%s' boolean.
�You need to change the label on $FIX_TARGET_PATH�You need to change the label on $TARGET_BASE_PATH�You need to change the label on $TARGET_BASE_PATH to public_content_t or public_content_rw_t.�You need to change the label on $TARGET_BASE_PATH'�You need to change the label on $TARGET_PATH to a type of a similar device.�You need to change the label on '$FIX_TARGET_PATH'�You should report this as a bug.
You can generate a local policy module to allow this access.�You should report this as a bug.
You can generate a local policy module to dontaudit this access.�execstack -c %s�if you think that you might have been hacked�setsebool -P %s %s�turn on full auditing to get path information about the offending file and generate the error again.�use a command like "cp -p" to preserve all permissions except SELinux context.�you can run restorecon.�you can run restorecon. The access attempt may have been stopped due to insufficient permissions to access a parent directory in which case try to change the following command accordingly.�you may be under attack by a hacker, since confined applications should never need this access.�you may be under attack by a hacker, since confined applications should not need this access.�you may be under attack by a hacker, this is a very dangerous access.�you must change the labeling on $TARGET_PATH.�you must fix the labels.�you must move the cert file to the ~/.cert directory�you must pick a valid file label.�you must remove the mozplugger package.�you must setup SELinux to allow this�you must tell SELinux about this�you must tell SELinux about this by enabling the 'httpd_unified' and 'http_enable_cgi' booleans�you must tell SELinux about this by enabling the vbetool_mmap_zero_ignore boolean.�you must tell SELinux about this by enabling the wine_mmap_zero_ignore boolean.�you must turn off SELinux controls on the Chrome plugins.�you must turn off SELinux controls on the Firefox plugins.�you need to add labels to it.�you need to change the label on $TARGET_PATH to public_content_rw_t, and potentially turn on the allow_httpd_sys_script_anon_write boolean.�you need to diagnose why your system is running out of system resources and fix the problem.
According to /usr/include/linux/capability.h, sys_resource is required to:
/* Override resource limits. Set resource limits. */
/* Override quota limits. */
/* Override reserved space on ext2 filesystem */
/* Modify data journaling mode on ext3 filesystem (uses journaling
resources) */
/* NOTE: ext2 honors fsuid when checking for resource overrides, so
you can override using fsuid too */
/* Override size restrictions on IPC message queues */
/* Allow more than 64hz interrupts from the real-time clock */
/* Override max number of consoles on console allocation */
/* Override max number of keymaps */
�you need to fully relabel.�you need to modify the sandbox type. sandbox_web_t or sandbox_net_t.
For example:
sandbox -X -t sandbox_net_t $SOURCE_PATH
Please read 'sandbox' man page for more details.
�you need to report a bug.
This is a potentially dangerous access.�you need to report a bug. This is a potentially dangerous access.�you need to set /proc/sys/net/ipv6/conf/all/disable_ipv6 to 1 and do not blacklist the module'�you need to use a different command. You are not allowed to preserve the SELinux context on the target file system.�you should clear the execstack flag and see if $SOURCE_PATH works correctly.
Report this as a bug on %s.
You can clear the exestack flag by executing:�Project-Id-Version: PACKAGE VERSION
Report-Msgid-Bugs-To:
POT-Creation-Date: 2021-09-07 17:26+0200
PO-Revision-Date: 2020-09-05 09:05+0000
Last-Translator: Piotr Drąg <piotrdrag@gmail.com>
Language-Team: Polish <https://translate.fedoraproject.org/projects/setroubleshoot/plugins/pl/>
Language: pl
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Plural-Forms: nplurals=3; plural=n==1 ? 0 : n%10>=2 && n%10<=4 && (n%100<10 || n%100>=20) ? 1 : 2;
X-Generator: Weblate 4.2.2
�
Możliwości dac_override i dac_read_search zwykle wskazują, że proces roota nie posiada dostępu do pliku na podstawie flagi uprawnień. Zwykle oznacza to, że istnieje plik z błędnym właścicielem/uprawnieniami.
�
SELinux odmówił $SOURCE żądania dostępu. Ten dostęp nie jest konieczny
dla $SOURCE i może wskazywać na próbę włamania. Jest także możliwe, że
określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona
tego dostępu.
�
SELinux odmówił $SOURCE żądania dostępu. Ten dostęp nie jest konieczny
dla $SOURCE i może wskazywać na próbę włamania. Jest także możliwe, że
określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona
tego dostępu.
�
SELinux odmówił $SOURCE „$ACCESS” dostęp do urządzenia $TARGET_PATH.
$TARGET_PATH posiada niewłaściwą etykietę, to urządzenie posiada
domyślą etykietę katalogu /dev, co nie powinno mieć miejsca.
Wszystkie urządzenia znakowe i/lub blokowe powinny posiadać etykietę.
Można spróbować zmienić etykietę pliku używając
restorecon -v "$TARGET_PATH".
Jeśli to urządzenie nadal posiada etykietę device_t, jest to błąd w
polityce SELinuksa.
Proszę zgłosić raport błędu.
Jeśli spojrzano na inne, podobne etykiety urządzeń, ls -lZ
/dev/PODOBNE, i znaleziono typ, który powinien działać dla
$TARGET_PATH, można użyć chcon -t PODOBNY_TYP "$TARGET_PATH". Jeśli
to naprawi problem, można utrwalić to wykonując
semanage fcontext -a -t PODOBNY_TYP "$FIX_TARGET_PATH"
Jeśli restorecon zmieni kontekst, to wskazuje na to, że aplikacja,
która utworzyła urządzenie, zrobiła to bez używania API SELinuksa.
Jeśli można stwierdzić, która aplikacja utworzyła to urządzenie, proszę
zgłosić raport błędu w tej aplikacji.
�
Proszę spróbować polecenie restorecon -v "$TARGET_PATH" lub chcon -t
PODOBNY_TYP "$TARGET_PATH"
�
Zmienianie wartości logicznej „$BOOLEAN” na prawdę zezwoli na ten
dostęp:
„setsebool -P $BOOLEAN=1”
�
Zmienianie wartości logicznej „$BOOLEAN” na prawdę zezwoli na ten
dostęp:
„setsebool -P $BOOLEAN=1.”
�
Zmienienie wartości logicznej „allow_ftpd_use_nfs” na prawdę pozwoli
na ten dostęp:
„setsebool -P allow_ftpd_use_nfs=1.”
�
Zmienianie file_context na mnt_t pozwoli mount na montowanie systemu
plików:
„chcon -t mnt_t '$TARGET_PATH'.”
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t
mnt_t '$FIX_TARGET_PATH'”
�
Ograniczane domeny nie powinny wymagać „sys_resource”. Zwykle oznacza to, że systemowi kończą się pewne zasoby, takie jak miejsce na dysku, pamięć, przydział itp. Proszę wyczyścić dysk, a ten
komunikat AVC powinien zniknąć. Jeśli to AVC nadal pojawia się po wyczyszczeniu miejsca na dysku, proszę zgłosić to jako błąd.
�
Ograniczone procesy mogą być skonfigurowane tak, aby wymagały różnego
dostępu, SELinux dostarcza zmienne logiczne, aby można było
włączyć/wyłączyć dostęp w razie potrzeby.
�
Jeśli skrypty httpd powinny mieć pozwolenie na zapisanie w tym
katalogu, należy włączyć zmienną logiczną $BOOLEAN i zmienić kontekst
publicznego katalogu na public_content_rw_t. Proszę przeczytać stronę
podręcznika httpd_selinux, aby dowiedzieć się więcej:
„setsebool -P $BOOLEAN=1; chcon -t public_content_rw_t <ścieżka>”
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t public_content_rw_t <ścieżka>”
�
Jeśli $TARGET_PATH ma zaufanie, że będzie poprawne się uruchomiał,
można zmienić kontekst pliku na textrel_shlib_t. „chcon -t
textrel_shlib_t '$TARGET_PATH'”
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t
textrel_shlib_t '$FIX_TARGET_PATH'”
�
Jeśli $SOURCE ma kontynuować, należy włączyć zmienną logiczną $BOOLEAN.
Uwaga: ta zmiana odniesie efekt we wszystkich aplikacjach
w systemie.
�
Aby httpd wysyłał pocztę, należy włączyć zmienną logiczną $BOOLEAN:
„setsebool -P $BOOLEAN=1”
�
Aby pozwolić $SOURCE na dowiązywanie do portu $PORT_NUMBER, można
wykonać
# semanage port -a -t TYP_PORTU -p %s $PORT_NUMBER</b>
gdzie TYP_PORTU jest jednym z poniższych: %s.
Jeśli system jest uruchomiony jako klient NIS, włączenie zmiennej logicznej allow_ypbind może naprawić problem. setsebool -P allow_ypbind=1.
�
Aby pozwolić $SOURCE na łączenie się z $PORT_NUMBER, można wykonać
# sandbox -X -t sandbox_net_t $SOURCE
�
Aby pozwolić $SOURCE na łączenie się z $PORT_NUMBER, można wykonać
# semanage port -a -t TYP_PORTU -p %s $PORT_NUMBER,
gdzie TYP_PORTU jest jednym z: %s.
�
Aby zmienić kontekst pliku $TARGET_PATH tak, aby automounter mógł go
wykonać, można wykonać „chcon -t bin_t $TARGET_PATH”. Aby to
ustawienie zachowało się po ponownym nadaniu kontekstu plikom, należy
trwale zmienić kontekst pliku: wykonać „semanage fcontext -a -t bin_t
'$FIX_TARGET_PATH'”.
�
SELinux odmówił $SOURCE dostęp do $TARGET_PATH.
Jeśli jest to plik wymiany, musi posiadać etykietę pliku swapfile_t.
Jeśli $TARGET_PATH nie miał zostać użyty jako plik wymiany,
to może to wskazywać na błąd lub próbę włamania.
�
SELinux odmówił rsync dostępu do $TARGET_PATH.
Jeśli jest to repozytorium RSync, musi mieć kontekst pliku
rsync_data_t. Jeśli $TARGET_PATH nie miało zostać użyte jako
repozytorium RSync, może to wskazywać na błąd lub próbę włamania.
�
SELinux odmówił dostępu żądanego przez $SOURCE. $SOURCE_PATH może
mieć błędną etykietę. Domyślny typ SELinuksa $SOURCE_PATH to
<B>%s</B>, ale bieżący typ to <B>$SOURCE_TYPE</B>. Zmiana
tego pliku na domyślny typ może naprawić problem.
<p>
Ten plik mógł mieć nadaną błędną etykietę przez błąd użytkownika lub
przez uruchomienie normalnie ograniczanej aplikacji w błędnej domenie.
<p>
Jednakże może to wskazywać na błąd w SELinuksie, ponieważ plik nie
powinien mieć etykiety tego typu.
<p>
Jeśli to błąd, proszę go zgłosić w tym pakiecie.
�
SELinux odmówił dostępu żądanego przez $SOURCE. $TARGET_PATH może
posiadać błędną etykietę. Domyślny typ SELinuksa $TARGET_PATH to
<B>%s</B>, podczas gdy obecny typ to <B>$TARGET_TYPE</B>.
Zmienienie tego pliku z powrotem do domyślnego typu może naprawić ten
problem.
<p>
Konteksty plików mogą być przydzielane do plików w następujące sposoby.
<ul>
<li>Pliki utworzone w katalogu domyślnie otrzymują kontekst
katalogu nadrzędnego.
<li>Polityka SELinuksa może zastąpić domyślną etykietę przydzieloną
z katalogu nadrzędnego przez określenie procesu uruchomionego
w kontekście A, który tworzy plik w katalogu o etykiecie B, utworzy
zamiast tego plik o etykiecie C. Przykładem może być klient DHCP
uruchomiony za pomocą typu dhcpc_t tworzący plik w katalogu
/etc. Ten plik normalnie powinien otrzymać typ etc_t z powodu
nadrzędności, ale zamiast tego posiada etykietę typu net_conf_t,
ponieważ polityka SELinuksa tak to określa.
<li>Użytkownicy mogą zmieniać kontekst pliku za pomocą narzędzi
takich jak chcon lub restorecon.
</ul>
Ten plik mógł dostać błędną etykietę z powodu błędu użytkownika lub
z powodu normalnie ograniczonej aplikacji, która została uruchomiona
w błędnej domenie.
<p>
Oczywiście może to wskazywać także na błąd w SELinuksie, jako że plik
nie powinien dostać tego typu etykiety.
<p>
Jeśli to błąd, proszę zgłosić raport błędu o tym pakiecie.
�
SELinux odmówił dostępu żądanego przez $SOURCE. $TARGET_PATH może mieć
błędną etykietę. openvpn może odczytywać zawartość katalogu domowego,
jeśli ma poprawną etykietę.
�
SELinux odmówił dostępu żądanego przez $SOURCE. $TARGET_PATH może mieć
błędną etykietę. sshd może odczytywać zawartość katalogu /root/.ssh,
jeśli ma poprawną etykietę.
�
SELinux odmówił $SOURCE żądania dostępu. Ten dostęp nie jest konieczny
dla $SOURCE i może wskazywać na próbę włamania. Jest także możliwe, że
określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona
dodatkowego dostępu.
�
SELinux odmówił dostęp żądany przez $SOURCE. $SOURCE nie powinno wymagać tego dostępu, więc może to wskazywać na próbę włamania. Możliwe też, że konkretna wersja lub konfiguracja aplikacji powoduje, że dostęp jest potrzebny. Aplikacje uruchamiane przez mozplugger i spice-xpi z mozilla-plugins wymagają dostępu do pulpitu, których blokowanie mozilla_plugin nie zezwoli, więc należy wyłączyć blokowanie mozilla_plugin lub nie używać tych pakietów.
�
SELinux odmówił dostęp żądany przez $SOURCE. $SOURCE nie powinno wymagać tego dostępu, więc może to wskazywać na próbę włamania. Możliwe też, że konkretna wersja lub konfiguracja aplikacji powoduje, że dostęp jest potrzebny. Aplikacje uruchamiane przez spice-xpi z mozilla-plugins wymagają dostępu do pulpitu, których blokowanie mozilla_plugin nie zezwoli, więc należy wyłączyć blokowanie mozilla_plugin lub nie używać tych pakietów.
�
SELinux odmówił dostęp żądany przez polecenie $SOURCE. Wygląda na to, że wyciekł deskryptor lub wyjście $SOURCE zostało przekierowane do pliku, do którego nie ma dostępu. Wycieki zwykle mogą być ignorowane, ponieważ SELinux po prostu zamyka wyciek i zgłasza błąd. Aplikacja nie używa deskryptora, więc będzie działała poprawnie. Jeśli jest to przekierowanie, wyjście nie zostanie uzyskane w $TARGET_PATH. Powinno się utworzyć raport na Bugzilli o selinux-policy, a zostanie on przekierowany do właściwego pakietu. Można bezpiecznie zignorować to AVC.
�
SELinux odmówił dostępu do $TARGET_PATH, żądanego przez $SOURCE.
$TARGET_PATH posiada kontekst używany do współdzielenia z innym
programem. Aby współdzielić także $TARGET_PATH z $SOURCE,należy zmienić
jego kontekst na public_content_t. Aby nie pozwolono na ten dostęp,
może to wskazywać na próbę włamania.
�
SELinux odmówił CVS dostępu do $TARGET_PATH. Jeśli jest to repozytorium
CVS, musi posiadać kontekst pliku cvs_data_t. Jeśli nie chciano użyć
$TARGET_PATH jako repozytorium CVS, może to wskazywać na błąd lub próbę
włamania.
�
SELinux odmówił Sambie dostęp do $TARGET_PATH.
Aby współdzielić ten katalog za pomocą Samby, musi on mieć etykietę
pliku samba_share_t. Jeśli $TARGET_PATH nie miało zostać użyte jako
repozytorium Samby, może to wskazywać na błąd lub próbę włamania.
Proszę zobaczyć „man samba_selinux”, aby dowiedzieć się więcej
o ustawianiu Samby i SELinuksa.
�
SELinux odmówił sVirt dostęp do $TARGET_PATH.
Jeśli jest to obraz wirtualizacji, musi posiadać kontekst pliku
virt_image_t. System został ustawiony tak, aby pliki obrazów w katalogu
/var/lib/libvirt/images posiadały poprawne etykiety. Zalecane jest, aby
skopiować pliki obrazów do tego katalogu. Jeśli na pewno pliki obrazów
mają znajdować się w tym katalogu, można zmienić etykietę
$TARGET_PATH na virt_image_t za pomocą chcon. Jeśli to zostanie
zrobione, powinno się także wykonać polecenie semanage fcontext -a -t
virt_image_t "$FIX_TARGET_PATH", aby dodać tę nową ścieżkę do
domyślnych systemu. Jeśli $TARGET_PATH nie miało zostać użyte jako
obraz wirtualizacji, może wskazywać to na błąd lub próbę włamania.
�
SELinux odmówił sVirt dostęp do urządzenia blokowego $TARGET_PATH.
Jeśli jest to obraz wirtualizacji, musi posiadać etykietę z kontekstem
pliku wirtualizacji (virt_image_t). Można zmienić etykietę $TARGET_PATH
na virt_image_t za pomocą chcon. Należy wykonać także semanage fcontext
-a -t virt_image_t "$FIX_TARGET_PATH", aby dodać tę nową ścieżkę do
domyślnych systemu. Jeśli $TARGET_PATH nie miało być używane jako obraz
wirtualizacji, może wskazywać to na błąd lub próbę włamania.
�
SELinux odmówił Xenowi dostęp do $TARGET_PATH.
Jeśli jest to obraz Xena, musi posiadać kontekst pliku xen_image_t.
System został ustawiony tak, aby pliki obrazów w /var/lib/xen/images
posiadały poprawne etykiety. Zalecane jest, aby skopiować pliki obrazów
do tego katalogu. Jeśli pliki obrazów na pewno mają znajdować się w tym
katalogu, można zmienić etykietę pliku/katalogu $TARGET_PATH na
xen_image_t za pomocą polecenia chcon. Jeśli zostanie to zrobione,
powinno się także wykonać polecenie semanage fcontext -a -t xen_image_t
"$FIX_TARGET_PATH", aby dodać tę nową ścieżkę do domyślnych systemu.
Jeśli nie chciano użyć $TARGET_PATH jako obrazu Xena, może wskazywać to
na błąd lub próbę włamania.
�
SELinux odmówił $SOURCE łączenia do portu sieciowego $PORT_NUMBER,
który nie posiada powiązanego ze sobą typu SELinuksa. Jeśli $SOURCE
powinien łączyć się na porcie $PORT_NUMBER, należy użyć polecenia
<i>semanage</i>, aby przydzielić $PORT_NUMBER do typów portów, do
jakich $SOURCE_TYPE może się łączyć (%s).
Jeśli $SOURCE nie powinien łączyć się z $PORT_NUMBER, może to
wskazywać na próbę włamania.
�
SELinux odmówił $SOURCE łączenia z portem sieciowym $PORT_NUMBER w piaskownicy.
Jeśli $SOURCE powinno móc łączyć się z $PORT_NUMBER, należy użyć innego typu piaskownicy, takiego jak sandbox_web_t lub sandbox_net_t.
# sandbox -X -t sandbox_net_t $SOURCE
Jeśli $SOURCE nie powinno
łączyć się z $PORT_NUMBER, może to wskazywać na próbę włamania.
�
SELinux odmówił $SOURCE dostępu do plików z potencjalnie błędnymi
etykietami $TARGET_PATH. Oznacza to, że SELinux nie pozwoli httpd na
używanie tych plików. Jeśli httpd powinien mieć dostęp do tych plików,
powinno się zmienić kontekst plików na jeden z poniższych typów, %s.
Wiele aplikacji firm trzecich instaluje pliki HTML w katalogach,
których polityka SELinuksa nie może przewidzieć. Te katalogi muszą mieć
kontekst, do którego httpd ma dostęp.
�
SELinux odmówił $SOURCE dowiązywania do portu sieciowego
$PORT_NUMBER, który nie posiada powiązanego ze sobą typu SELinuksa.
Jeśli $SOURCE powinien nasłuchiwać na $PORT_NUMBER, należy użyć
polecenia <i>semanage</i>, które przydzieli $PORT_NUMBER do typu
portów, do których $SOURCE_TYPE może dowiązywać (%s).
Jeśli $SOURCE nie powinien dowiązywać do $PORT_NUMBER, może to
wskazywać na próbę włamania.
�
SELinux odmówił $SOURCE możliwości wykonania mmap na niskim obszarze
przestrzeni adresowej jądra. Możliwość wykonania mmap na niskim
obszarze przestrzeni adresowej jest konfigurowana przez
/proc/sys/kernel/mmap_min_addr. Unikanie takiego mapowania chroni przed
wykorzystaniem błędów typu „null deref” w jądrze. Wszystkie
aplikacje, które wymagają tego dostępu powinny mieć napisaną dla siebie
politykę. Jeśli zagrożona aplikacja próbuje zmodyfikować jądro,
tworzone jest to AVC. Jest to poważne zagrożenie. System mógł zostać
w dużym stopniu zagrożony.
�
SELinux odmówił $SOURCE_PATH wykonywania plików z potencjalnie błędnymi
etykietami $TARGET_PATH. Automounter może być ustawiony tak, aby
wykonywał pliki konfiguracyjne. Jeśli $TARGET_PATH jest wykonywalnym
plikiem konfiguracyjnym automount, który wymaga etykiety pliku bin_t.
Jeśli automounter próbuje wykonać coś, czego nie powinien, może to
wskazywać na próbę włamania.
�
SELinux odmówił usłudze httpd wysyłania poczty. Skrypt httpd próbuje
połączyć się z portem poczty lub wykonać polecenie sendmail. Jeśli nie
ustawiono usługi httpd tak, aby wykonywała sendmail, może to wskazywać na próbę
włamania.
�
SELinux powstrzymał $SOURCE przed wczytaniem modułu jądra. Wszystkie
ograniczane aplikacje, które wymagają wczytania modułów jądra powinny
mieć napisaną dla siebie politykę. Jeśli zagrożona aplikacja próbuje
zmodyfikować jądro, tworzone jest to AVC. Jest to poważne zagrożenie.
System mógł zostać w dużym stopniu zagrożony.
�
SELinux powstrzymał $SOURCE przed zmodyfikowaniem $TARGET. Ten dostęp
wskazuje, że $SOURCE próbował zmodyfikować konfigurację polityki
SELinuksa. Wszystkie aplikacje, które wymagają tego dostępu powinny
mieć napisaną dla siebie politykę. Jeśli zagrożona aplikacja próbuje
zmodyfikować politykę SELinuksa, tworzone jest to AVC. Jest to poważne
zagrożenie. System mógł zostać w dużym stopniu zagrożony.
�
SELinux powstrzymał $SOURCE przed zmodyfikowaniem $TARGET. Ten dostęp
wskazuje, że $SOURCE próbował zmodyfikować sposób działania jądra lub
nawet umieścić kod w jądrze. Wszystkie aplikacje, które wymagają tego
dostępu powinny mieć napisaną dla siebie politykę. Jeśli zagrożona
aplikacja próbuje zmodyfikować jądro, tworzone jest to AVC. Jest to
poważne zagrożenie. System mógł zostać w dużym stopniu zagrożony.
�
SELinux powstrzymał $SOURCE przed zapisaniem do pliku w /sys/fs/selinux. Pliki
w /sys/fs/selinux kontrolują konfigurację SELinuksa. Wszystkie programy, które
wymagają zapisywania do plików w /sys/fs/selinux powinny mieć napisaną dla
siebie politykę. Jeśli zagrożona aplikacja próbuje wyłączyć SELinuksa,
tworzone jest to AVC. Jest to poważne zagrożenie. System mógł zostać
w dużym stopniu zagrożony.
�
SELinux powstrzymał vbetool przed wykonaniem niebezpiecznego działania
na pamięci.
�
SELinux powstrzymał Wine przed wykonaniem niebezpiecznego działania na
pamięci.
�
SELinux powstrzymuje $SOURCE przed utworzeniem pliku z kontekstem
$SOURCE_TYPE w systemie plików. Zwykle zdarza się to, gdy polecenie cp
ma zarządzać kontekstem pliku podczas kopiowania między systemami
plików, na przykład „cp -a”. Nie wszystkie konteksty plików powinny
być zarządzane między systemami plików. Na przykład typ pliku tylko do
odczytu, taki jak iso9660_t nie powinien być umieszczany w systemie do
odczytu/zapisu. „cp -p” może być lepszym rozwiązaniem, jako że używa
domyślnych kontekstów plików dla miejsca docelowego.
�
SELinux powstrzymuje $SOURCE „$ACCESS” dostęp do $TARGET_PATH.
�
SELinux powstrzymuje $SOURCE_PATH „$ACCESS” dostęp do $TARGET_PATH.
�
SELinux powstrzymuje $SOURCE_PATH „$ACCESS” dostęp do urządzenia
$TARGET_PATH.
�
SELinux powstrzymuje $SOURCE „$ACCESS” od $TARGET_PATH.
�
SELinux powstrzymuje $SOURCE dostęp do deskryptora pliku $TARGET_PATH,
który wyciekł.
�
SELinux powstrzymuje $SOURCE przed dowiązywaniem do portu $PORT_NUMBER.
�
SELinux powstrzymuje $SOURCE_PATH przed zmienianiem ochrony dostępu do
pamięci na stercie.
�
SELinux powstrzymuje $SOURCE_PATH przed łączeniem się z portem
$PORT_NUMBER.
�
SELinux powstrzymuje $SOURCE_PATH przed utworzeniem pliku z kontekstem
$SOURCE_TYPE w systemie plików.
�
SELinux powstrzymuje $SOURCE_PATH przed wczytaniem $TARGET_PATH, który
wymaga relokacji tekstu.
�
SELinux powstrzymuje $SOURCE_PATH przed ustawieniem stosu programu jako
wykonywalny.
�
SELinux powstrzymuje możliwości $SOURCE_PATH „$ACCESS”.
�
SELinux powstrzymuje możliwości „sys_resource” $SOURCE_PATH.
�
SELinux powstrzymuje Sambie ($SOURCE) „$ACCESS” dostęp do
$TARGET_PATH.
�
SELinux powstrzymuje dostęp do pliku z etykietą unlabeled_t.
�
SELinux powstrzymuje CVS ($SOURCE) „$ACCESS” dostęp do $TARGET_PATH
�
SELinux powstrzymuje $SOURCE_PATH przed używaniem plików z potencjalnie
błędnymi etykietami $TARGET_PATH.
�
SELinux powstrzymuje usługę httpd przed wysłaniem poczty.
�
SELinux powstrzymuje Xena ($SOURCE) „$ACCESS” dostęp do $TARGET_PATH.
�
Sprawdzanie uprawnień SELinuksa na plikach z etykietą unlabeled_t jest
zabronione. unlabeled_t jest etykietą, jaką jądro SELinuksa daje plikom
nieposiadającym etykiety. Wskazuje to na poważny błąd nadawania
etykiet. Żadne pliki w systemie SELinux nigdy nie powinny posiadać
etykiety unlabeled_t. Jeśli właśnie dodano nowy napęd dyskowy do systemu,
można ponownie nadać kontekst plikom za pomocą polecenia restorecon. Na
przykład, jeśli zapisano katalog domowy z poprzedniej instalacji, która
nie używała SELinuksa, polecenie „restorecon -R -v /home” naprawi
etykiety. W innym wypadku powinno się ponownie nadać etykiety całemu
systemowi plików.
�
Polityka SELinuksa powstrzymuje skrypt httpd przed zapisaniem do
publicznego katalogu.
�
Polityka SELinuksa powstrzymuje skrypt httpd przed zapisaniem do
publicznego katalogu. Jeśli httpd nie jest ustawiony tak, aby zapisywał
do katalogów publicznych, może to wskazywać na próbę włamania.
�
SELinux powstrzymał $SOURCE przed zamontowaniem na pliku lub katalogu
„$TARGET_PATH” typu „$TARGET_TYPE”. Domyślnie SELinux ogranicza
możliwość montowania systemów plików do niektórych plików i katalogów
(tych typu posiadających atrybuty punktu montowania). Typ
„$TARGET_TYPE” nie posiada tego atrybutu. Można zmienić etykietę
pliku lub katalogu.
�
SELinux powstrzymał $SOURCE przed zamontowaniem na pliku lub katalogu
„$TARGET_PATH” (typu „$TARGET_TYPE”).
�
SELinux powstrzymał httpd $ACCESS dostęp do $TARGET_PATH.
Skrypty httpd nie mają zezwolenia na zapisywanie do zawartości bez
bezpośredniego nadania etykiet wszystkim plikom. Jeśli $TARGET_PATH
jest zapisywalną zawartością, wymaga etykiety httpd_sys_rw_content_t lub można nadać etykietę httpd_sys_ra_content_t. Proszę zobaczyć „man httpd_selinux”, aby dowiedzieć się, jak ustawić httpd i SELinuksa.
�
SELinux powstrzymał httpd $ACCESS dostęp do plików http.
Zwykle httpd posiada zezwolenie na pełny dostęp do wszystkich plików
posiadających etykietę kontekstu pliku http. Ten komputer posiada
zwiększoną politykę bezpieczeństwa za pomocą wyłączenia zmiennej
$BOOLEAN, co wymaga nadania etykiet wszystkim plikom. Jeśli plik jest
skryptem CGI, który wymaga etykiety httpd_TYP_script_exec_t, aby go
wykonać. Jeśli jest treścią tylko do odczytu, musi posiadać etykietę
httpd_TYP_content_t. Jeśli jest treścią zapisywalną, musi posiadać
etykietę httpd_TYP_script_rw_t lub httpd_TYP_script_ra_t. Można użyć
polecenia chcon, aby zmienić te konteksty. Proszę zobaczyć stronę
podręcznika „man httpd_selinux” lub
<a href="http://fedora.redhat.com/docs/selinux-apache-fc3">FAQ</a>
„TYP” odnosi się do jednego z „sys”, „user” lub „staff” lub
potencjalnie innych typów skryptów.
�
SELinux powstrzymał httpd $ACCESS dostęp do plików http.
�
SELinux powstrzymał usługę FTP przed $ACCESS plików przechowywanych na
systemie plików CIFS.
�
SELinux powstrzymał usługę FTP przed $ACCESS plików przechowywanych na
systemie plików CIFS. CIFS (Wspólny, internetowy system plików) jest
sieciowym systemem plików podobnym do SMB (<a href="http://www.microsoft.com/mind/1196/cifs.asp">http://www.microsoft.com/mind/1196/cifs.asp</a>).
Usługa FTP próbowała odczytać jeden lub więcej plików lub katalogów
z zamontowanego systemu plików tego typu. Jako że system plików CIFS
nie obsługuje dokładnych etykiet SELinuksa, wszystkie pliki i katalogi
na tym systemie plików będą posiadały ten sam kontekst bezpieczeństwa.
Jeśli nie skonfigurowano usługi FTP tak, aby odczytywała pliki
z systemu plików CIFS, ta próba dostępu może wskazywać na próbę włamania.
�
SELinux powstrzymał usługę FTP przed $ACCESS plików przechowywanych na
systemie plików NFS.
�
SELinux powstrzymał usługę FTP przed $ACCESS plików przechowywanych na
systemie plików NFS. NFS (Sieciowy system plików) jest sieciowym
systemem plików powszechnie używanym na systemach UNIX/Linux.
Usługa FTP próbowała odczytać jeden lub więcej plików lub katalogów
z zamontowanego systemu plików tego typu. Jako że system plików NFS nie
obsługuje dokładnych etykiet SELinuksa, wszystkie pliki i katalogi na
tym systemie plików będą posiadały ten sam kontekst bezpieczeństwa.
Jeśli nie skonfigurowano usługi FTP tak, aby odczytywała pliki
z systemu plików NFS, ta próba dostępu może wskazywać na próbę włamania.
�
Czasami biblioteka jest przypadkowo oznaczona flagą wykonywalności
stosu, jeśli taka biblioteka zostanie znaleziona, można ją wyczyścić za
pomocą execstack -c LIBRARY_PATH. Wtedy należy ponownie uruchomić
aplikację. Jeśli dalej nie chce działać, można ponownie dodać flagę za
pomocą execstack -s LIBRARY_PATH.
�
Aplikacja $SOURCE próbowała zmienić ochronę dostępu do pamięci na
stercie (np. przydzielonej przez malloc). Jest to potencjalny problem
z bezpieczeństwem. Aplikacje nie powinny tego robić. Mogą one czasem
być niepoprawnie napisane i żądać tego pozwolenia. Strona WWW <a
href="http://people.redhat.com/drepper/selinux-mem.html">Testy
ochrony pamięci SELinuksa</a> wyjaśnia, jak usunąć to wymaganie. Jeśli
$SOURCE nie działa, a jest wymagana, można tak tymczasowo skonfigurować
SELinuksa, aby pozwalał na ten dostęp, dopóki aplikacja nie zostanie
naprawiona. Proszę zgłosić raport błędu w tym pakiecie.
�
Aplikacja $SOURCE próbowała wczytać $TARGET_PATH, który wymaga
relokacji tekstu. Jest to potencjalny problem z bezpieczeństwem.
Większość bibliotek nie musi mieć tego pozwolenia. Mogą one czasem być
niepoprawnie napisane i żądać tego pozwolenia. Strona WWW
<a href="http://people.redhat.com/drepper/selinux-mem.html">Testy
ochrony pamięci SELinuksa</a> wyjaśnia, jak usunąć to wymaganie. Można
tymczasowo skonfigurować obejście SELinuksa, aby pozwalał $TARGET_PATH
na użycie relokacji, dopóki biblioteka nie zostanie naprawiona. Proszę
zgłosić raport błędu.
�
Aplikacja $SOURCE próbowała wczytać $TARGET_PATH, który wymaga
relokacji tekstu. Jest to potencjalny problem z bezpieczeństwem.
Większość bibliotek nie musi mieć tego pozwolenia. Strona WWW
<a href="http://people.redhat.com/drepper/selinux-mem.html">Testy
ochrony pamięci SELinuksa</a> wyjaśnia ten test. To narzędzie
sprawdziło bibliotekę i wygląda na to, że została poprawnie zbudowana.
Program setroubleshoot nie może określić, czy aplikacja została
zagrożona. Może to być poważny problem. System mógł zostać w dużym
stopniu zagrożony.
Proszę skontaktować się z administratorem bezpieczeństwa i zgłosić ten
problem.
�
Aplikacja $SOURCE próbowała ustawić swój stos jako wykonywalny. Jest to
potencjalny problem z bezpieczeństwem. Nigdy nie powinno to być
konieczne. W dzisiejszych czasach pamięć stosu nie jest wykonywalna na
większości systemów, i to się nie zmieni. Wykonywalna pamięć stosu jest
jednym z największych problemów z bezpieczeństwem. Taki błąd jest
najczęściej powodowany przez złośliwy kod. Aplikacje mogą czasem być
niepoprawnie napisane i żądać tego pozwolenia. Strona WWW
<a href="http://people.redhat.com/drepper/selinux-mem.html">Testy
ochrony pamięci SELinuksa</a> wyjaśnia, jak usunąć to wymaganie. Jeśli
$SOURCE nie działa, a jest wymagana, można tak tymczasowo skonfigurować
SELinuksa, aby pozwalał na ten dostęp, dopóki aplikacja nie zostanie
naprawiona. Proszę zgłosić raport błędu.
�
Należy użyć polecenia takiego jak „cp -p”, aby zachować wszystkie
uprawnienia poza kontekstem SELinuksa.
�
Można zmienić kontekst pliku wykonując chcon -R -t cvs_data_t
„$TARGET_PATH”
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t
cvs_data_t '$FIX_TARGET_PATH'”
�
Można zmienić kontekst pliku wykonując chcon -R -t rsync_data_t
"$TARGET_PATH"
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t
rsync_data_t '$FIX_TARGET_PATH'”
�
Można zmienić kontekst pliku wykonując chcon -R -t samba_share_t
"$TARGET_PATH"
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t
samba_share_t '$FIX_TARGET_PATH'”
�
Można zmienić kontekst pliku wykonując chcon -t public_content_t
„$TARGET_PATH”. Należy także zmienić domyślny kontekst plików
w systemie, aby zachować go nawet po pełnym ponownym nadaniu etykiet.
„semanage fcontext -a -t public_content_t '$FIX_TARGET_PATH'”
�
Można zmienić kontekst pliku wykonując chcon -t swapfile_t
"$TARGET_PATH"
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t
swapfile_t '$FIX_TARGET_PATH'”
�
Można zmienić kontekst pliku wykonując chcon -t virt_image_t
„$TARGET_PATH”. Należy także zmienić domyślny kontekst plików
w systemie, aby zachować go nawet po pełnym ponownym nadaniu etykiet.
„semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'”
�
Można zmienić kontekst pliku wykonując chcon -t xen_image_t
"$TARGET_PATH"
Należy także zmienić domyślny kontekst plików w systemie, aby zachować
go nawet po pełnym ponownym nadaniu etykiet. „semanage fcontext -a -t
xen_image_t '$FIX_TARGET_PATH'”
�
Można wykonać jako root następujące polecenie, aby ponownie nadać
kontekst plikom w systemie komputera: „touch /.autorelabel; reboot”
�
Można utworzyć moduł polityki lokalnej, aby umożliwić ten dostęp —
proszę zobaczyć <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
Proszę zgłosić raport błędu.
�
Można utworzyć moduł polityki lokalnej, aby umożliwić ten dostęp —
proszę zobaczyć <a href="http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385">FAQ</a>
�
Można przywrócić domyślny kontekst systemu tego pliku wykonując
polecenie restorecon.
# restorecon -R /root/.ssh
�
Można przywrócić domyślny kontekst systemu tego pliku wykonując
polecenie restorecon.
# restorecon -R /root/.ssh
�
Można przywrócić domyślny kontekst systemu tego pliku wykonując
polecenie restorecon. restorecon "$SOURCE_PATH".
�
Można przywrócić domyślny kontekst systemu tego pliku wykonując
polecenie restorecon. restorecon "$TARGET_PATH", jeśli ten plik jest
katalogiem, można rekursywnie przywrócić za pomocą restorecon -R
"$TARGET_PATH".
�
System mógł zostać poważnie zagrożony.
�
System mógł zostać poważnie zagrożony. $SOURCE próbowało wykonać mmap
na niskiej pamięci jądra.
�
System mógł zostać poważnie zagrożony. $SOURCE_PATH próbowało wczytać
moduł jądra.
�
System mógł zostać poważnie zagrożony. $SOURCE_PATH próbowało
zmodyfikować wymuszanie SELinuksa.
�
System mógł zostać poważnie zagrożony. $SOURCE próbowało zmodyfikować
konfigurację jądra.
�
Należy właściwie wyłączyć IPv6.
�
Należy usunąć pakiet mozplugger wykonujące polecenie „yum remove mozplugger”
lub wyłączyć wymuszanie SELinuksa nad wtyczkami Firefoksa.
setsebool -P unconfined_mozilla_plugin_transition 0
�
Należy usunąć pakiet mozplugger lub spice-xpi wykonując polecenie „yum remove mozplugger spice-xpi” lub wyłączyć wymuszanie SELinuksa nad wtyczkami przeglądarki Firefox. setsebool -P unconfined_mozilla_plugin_transition 0
�
Należy usunąć pakiet mozplugger lub spice-xpi wykonując polecenie „yum remove mozplugger spice-xpi” lub wyłączyć wymuszanie SELinuksa nad wtyczkami przeglądarki Chrome. setsebool -P unconfined_chrome_sandbox_transition 0
�
Aby kontynuować wykonywanie wątpliwego programu, wymagane jest pozwolenie
na to działanie. Można to zrobić wykonując w wierszu poleceń:
# setsebool -P mmap_low_allowed 1
�
SELinux odmówił działania żądanego przez $SOURCE, program używany do
zmieniania stanu sprzętu graficznego. Ten program wykonuje niebezpieczne
działanie na pamięci systemu, ale robi tak także wiele złośliwych
programów/exploitów, które podają się za program vbetool. To narzędzie jest
używane do przywracania stanu obrazu, kiedy komputer wychodzi
z wstrzymania. Jeśli komputer nie jest poprawnie wznawiany, jedynym
wyjściem jest zezwolenie na to działanie i zmniejszenie bezpieczeństwa
systemu przed złośliwym oprogramowaniem.
�
SELinux odmówił działania żądanego przez wine-preloader, program używany do
uruchamiania aplikacji systemu Windows w systemie Linux. Ten program używa
niebezpiecznych działań na pamięci systemowej, ale jest także wiele
złośliwych programów/exploitów, które udają Wine. Jeśli przeprowadzana była
próba uruchomienia programu systemu Windows, jedyną możliwością jest
pozwolenie na to działanie i zmniejszenie bezpieczeństwa systemu względem
takiego złośliwego oprogramowania lub powstrzymanie się od uruchamiania
aplikacji systemu Windows w systemie Linux. Jeśli taka próba nie była
przeprowadzana, wskazuje to na prawdopodobny atak złośliwego oprogramowania
lub programu próbującego wykorzystać system w niecnych celach.
Proszę zobaczyć stronę
http://wiki.winehq.org/PreloaderPageZeroProblem
Wyjaśnia ona inne problemy, jakie mogą wystąpić w programie Wine z powodu
niebezpiecznego używania pamięci i rozwiązania tych problemów.
�
Włączenie pełnego audytu
# auditctl -w /etc/shadow -p w
Próba ponownego utworzenia AVC. Następnie wykonanie polecenia
# ausearch -m avc -ts recent
Jeśli widoczny jest wpis ŚCIEŻKI, należy sprawdzić właściciela/uprawnienia pliku,
a następnie je naprawić. W przeciwnym wypadku należy zgłosić błąd w Bugzilli.�
Próbowano umieścić typ na %s, który nie jest typem pliku. Nie jest to dozwolone, należy przydzielić typ pliku. Można wyświetlić wszystkie typy plików za pomocą polecenia seinfo.
seinfo -afile_type -x
� Zmienienie wartości logicznych „$BOOLEAN” i „$WRITE_BOOLEAN” na prawdę
pozwoli na ten dostęp:
„setsebool -P $BOOLEAN=1 $WRITE_BOOLEAN=1”.
ostrzeżenie: ustawienie wartości logicznej „$WRITE_BOOLEAN” na prawdę
pozwoli usłudze FTP na zapisanie całej zawartości publicznej (plików
i katalogów typu public_content_t), a także zapisywanie do plików
i katalogów na systemach plików CIFS. � Zmienienie wartości logicznych „allow_ftpd_use_nfs” i „ftpd_anon_write”
na prawdę pozwoli na ten dostęp:
„setsebool -P allow_ftpd_use_nfs=1 ftpd_anon_write=1”.
ostrzeżenie: ustawienie wartości logicznej „ftpd_anon_write” na prawdę
pozwoli usłudze FTP na zapisanie całej zawartości publicznej (plików
i katalogów typu public_content_t), a także zapisywanie do plików
i katalogów na systemach plików NFS. �# ausearch -x $SOURCE_PATH --raw | audit2allow -D -M my-$SOURCE
# semodule -X 300 -i my-$SOURCE.pp�# semanage fcontext -a -t TYP_PLIKU '$FIX_TARGET_PATH',
gdzie TYP_PLIKU jest jednym z poniższych: %s.
Następnie należy wykonać polecenie:
restorecon -v '$FIX_TARGET_PATH'
�# semanage fcontext -a -t PODOBNY_TYP '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t samba_share_t '$FIX_TARGET_PATH%s'
# restorecon %s -v '$FIX_TARGET_PATH'�# semanage fcontext -a -t virt_image_t '$FIX_TARGET_PATH'
# restorecon -v '$FIX_TARGET_PATH'�# semanage port -a -t %s -p %s $PORT_NUMBER�# semanage port -a -t TYP_PORTU -p %s $PORT_NUMBER,
gdzie TYP_PORTU jest jednym z: %s.�Proces może próbować hakować system.�Dodać
net.ipv6.conf.all.disable_ipv6 = 1
do /etc/sysctl.conf
�Można tymczasowo zezwolić na ten dostęp wykonując polecenia:
# ausearch -c '$SOURCE' --raw | audit2allow -M my-$MODULE_NAME
# semodule -X 300 -i my-$MODULE_NAME.pp�Należy zmienić kontekst pliku.�Należy zmienić etykietę�Należy zmienić etykietę na bibliotece.�Zmień etykietę pliku na xen_image_t.�Proszę skontaktować się administratorem bezpieczeństwa i zgłosić ten problem.�Należy wyłączyć kontrolę SELinuksa nad wtyczkami Chrome�Należy włączyć zmienne logiczne�Należy włączyć zmienne logiczne.�Jeśli $TARGET_BASE_PATH jest celem wirtualizacji�Jeśli $TARGET_BASE_PATH nie powinno być współdzielone przez usługę rsync�Jeśli $TARGET_BASE_PATH nie powinno być współdzielone przez usługę CVS�Jeśli $SOURCE_BASE_PATH powinno mieć możliwość tworzenia plików $TARGET_BASE_PATH�Jeśli $SOURCE_PATH spróbowało wyłączyć SELinuksa.�Jeśli
%s
nie powinno wymagać stosu wykonywalnego�Jeśli $SOURCE_BASE_PATH powinno mieć domyślnie $ACCESS dostęp do $TARGET_CLASS z etykietami $TARGET_TYPE.�Jeśli $SOURCE_BASE_PATH powinno mieć domyślnie $ACCESS dostęp do procesów z etykietami $TARGET_TYPE.�Aby $SOURCE_BASE_PATH powinno mieć domyślnie $ACCESS dostęp do $TARGET_BASE_PATH $TARGET_CLASS.�Jeśli $SOURCE_BASE_PATH powinno mieć domyślnie możliwość $ACCESS.�Jeśli nie spowodowano bezpośrednio wystąpienia tego AVC przez testowanie.�Jeśli $SOURCE_PATH nie powinno próbować zmodyfikować jądra wczytując moduł jądra.�Jeśli $SOURCE_PATH nie powinno modyfikować jądra wczytując moduły jądra�Jeśli $SOURCE_BASE_PATH nie powinno próbować $ACCESS dostępu do $TARGET_BASE_PATH.�Jeśli $SOURCE_PATH nie powinno wymagać mapowania pamięci sterty zapisywalnej i wykonywalnej.�Jeśli $SOURCE_PATH nie powinno wymagać mapowania pamięci stosu, który jest zapisywalny i wykonywalny.�Jeśli $SOURCE_PATH nie powinno wymagać wykonywania mmap na niskiej pamięci w jądrze.�Jeśli procesy nie powinny wymagać możliwości, aby użyć wszystkich zasobów systemowych na komputerze;�Jeśli jest to spowodowane przez błędnie nadane etykiety w komputerze.�Aby %s�Aby zezwolić $SOURCE_BASE_PATH na montowanie w $TARGET_BASE_PATH.�Aby zezwolić $SOURCE_PATH na zapisywanie do współdzielonej treści publicznej�Aby zezwolić $SOURCE_PATH na dowiązywanie do portu sieciowego $PORT_NUMBER�Aby zezwolić $SOURCE_PATH na łączenie z portem sieciowym $PORT_NUMBER�Aby zezwolić ftpd na zapisywanie do systemów plików CIFS�Aby zezwolić ftpd na zapisywanie do systemów plików NFS�Aby zezwolić httpd na wykonywanie skryptów CGI i ujednolicić obsługę httpd wszystkich plików treści.�Aby zezwolić httpd na wysyłanie poczty,�Aby zmienić etykietę $TARGET_PATH na %s. Nie można tego zrobić, ponieważ nie jest to prawidłowa etykieta pliku.�Aby wyłączyć IPv6 na tym komputerze�Aby naprawić etykietę.
domyślna etykieta $SOURCE_PATH powinna wynosić %s.�Aby naprawić etykietę.
domyślna etykieta $TARGET_PATH powinna wynosić %s.�Aby pomóc ustalić, czy domena wymaga tego dostępu lub w systemie istnieje plik z błędnymi uprawnieniami�Aby zignorować próbę dostępu $SOURCE_BASE_PATH $ACCESS do $TARGET_BASE_PATH $TARGET_CLASS, ponieważ nie powinno to wymagać tego dostępu.�Jeśli te komunikaty AVC powinny być ignorowane, ponieważ jest to niebezpieczne i komputer działa poprawnie.�Jeśli te komunikaty AVC powinny być ignorowane, ponieważ jest to niebezpieczne i aplikacje wine działają poprawnie.�Aby zmodyfikować etykietę $TARGET_BASE_PATH, aby $SOURCE_BASE_PATH mogło mieć $ACCESS dostęp do niego�Aby zezwolić na przeniesienie $TARGET_BASE_PATH do standardowego położenia, aby $SOURCE_BASE_PATH mogło mieć $ACCESS dostęp�Aby kontynuować używanie ograniczania wtyczek Firefoksa SELinuksa zamiast używać pakietu mozplugger�Aby traktować $TARGET_BASE_PATH jako treść publiczna�Aby użyć pakietu %s�Ponownie nadaj etykiety całemu systemowi plików. Obejmuje ponowne uruchomienie.�Przywrócenie
kontekstu�Przywrócenie kontekstu�SELinux powstrzymuje $SOURCE_PATH „$ACCESS” dostęp.�Ustaw etykietę obrazu na virt_image_t.�Jest to spowodowane przez nowo utworzony system plików.�Spróbuj naprawić etykietę.�Wyłączenie ochrony pamięci�Na stronie podręcznika „%s” znajduje się więcej informacji.�Być może nastąpił atak.�Należy powiadomić o tym SELinuksa włączając zmienną logiczną „%s”.
�Należy zmienić etykietę $FIX_TARGET_PATH�Należy zmienić etykietę $TARGET_BASE_PATH�Należy zmienić etykietę $TARGET_BASE_PATH na public_content_t lub public_content_rw_t.�Należy zmienić etykietę $TARGET_BASE_PATH'�Należy zmienić etykietę $TARGET_PATH na typ podobnego urządzenia.�Należy zmienić etykietę „$FIX_TARGET_PATH”�Proszę to zgłosić jako błąd.
Można utworzyć lokalny moduł polityki, aby umożliwić ten dostęp.�Należy zgłosić to jako błąd.
Można utworzyć lokalny moduł polityki, aby zabronić ten dostęp.�execstack -c %s�jeśli nastąpił atak�setsebool -P %s %s�należy włączyć audyt, aby uzyskać informacje o ścieżce problemowego pliku i ponownie utworzyć błąd.�należy użyć polecenia takiego jak „cp -p”, aby zachować wszystkie uprawnienia poza kontekstem SELinuksa.�można wykonać polecenie restorecon.�można wykonać polecenie restorecon. Próba dostępu mogła zostać zatrzymana z powodu niewystarczających uprawnień dostępu do katalogu nadrzędnego, więc należy odpowiednio zmienić poniższe polecenie.�być może nastąpił atak hakera, ponieważ ograniczane aplikacje nigdy nie powinny wymagać tego dostępu.�być może nastąpił atak hakera, ponieważ ograniczone aplikacje nie powinny wymagać tego dostępu.�być może nastąpił atak hakera, to jest bardzo niebezpieczny dostęp.�należy zmienić etykietowanie $TARGET_PATH.�należy naprawić etykiety.�należy przenieść plik certyfikatu do katalogu ~/.cert�należy wybrać prawidłową etykietę pliku.�należy usunąć pakiet mozplugger.�należy ustawić SELinuksa na zezwalanie na to�należy powiadomić o tym SELinuksa�należy powiadomić o tym SELinuksa włączając zmienne logiczne „httpd_unified” i „http_enable_cgi”�należy powiadomić o tym SELinuksa włączając zmienną logiczną vbetool_mmap_zero_ignore.�należy powiadomić o tym SELinuksa włączając zmienną logiczną wine_mmap_zero_ignore.�należy wyłączyć kontrolę SELinuksa nad wtyczkami Chrome.�należy wyłączyć kontrolę SELinuksa nad wtyczkami Firefoksa.�należy dodać do niego etykiety.�należy zmienić etykietę $TARGET_PATH na public_content_rw_t, a być może także włączyć zmienną logiczną allow_httpd_sys_script_anon_write.�należy zdiagnozować, dlaczego systemowi brakuje zasobów systemowych i naprawić problem.
Zgodnie z /usr/include/linux/capability.h, sys_resource jest wymagane do:
/* Zastąpienie ograniczeń zasobów. Ustawienie ograniczeń zasobów. */
/* Zastąpienie ograniczeń przydziałów. */
/* Zastąpienie zastrzeżonego miejsca na systemie plików ext2 */
/* Modyfikacja trybu księgowania danych na systemie plików ext3 (używa zasobów
księgowania) */
/* UWAGA: ext2 uwzględnia fsuid podczas sprawdzania zastąpień zasobów, więc
można zastąpić także za pomocą fsuid */
/* Zastąpienie ograniczeń rozmiaru kolejek komunikatów IPC */
/* Zezwolenie na więcej niż 64 Hz przerwań z zegara czasu rzeczywistego */
/* Zastąpienie maksymalnej liczby konsol przy przydzielaniu konsol */
/* Zastąpienie maksymalnej liczby map klawiszy */
�należy przeprowadzić pełne ponowne nadanie etykiet.�należy zmodyfikować typ piaskownicy. sandbox_web_t lub sandbox_net_t.
Na przykład:
sandbox -X -t sandbox_net_t $SOURCE_PATH
Strona podręcznika „sandbox” zawiera więcej informacji.
�należy zgłosić błąd.
To potencjalnie niebezpieczny dostęp.�należy zgłosić błąd. To potencjalnie niebezpieczny dostęp.�należy ustawić /proc/sys/net/ipv6/conf/all/disable_ipv6 na 1 i usunąć z listy blokowania moduł"�należy użyć innego polecenia. Użytkownik nie posiada zezwolenia na zachowanie kontekstu SELinuksa w docelowym systemie plików.�należy usunąć flagę execstack i zobaczyć, czy $SOURCE_PATH działa poprawnie.
Proszę zgłosić to jako błąd w %s.
Można usunąć flagę exestack wykonując polecenie:�