17 Sie 2010
SELinux powstrzymuje prelink dostęp do deskryptora pliku /root, który wyciekł
Kategorie: Open Source i GNU | 09:57:08Od kilku dni właśnie taki komunikat mi wyskakuje w losowych momentach. System nie zachowuje się dziwnie, nie zauważyłem żadnych zmian, zwiech czy jakichkolwiek innych problemów, które mogłyby mnie na cokolwiek nakierować. W dodatku wydaje się, że jestem jedyną osobą z takim problemem, albowiem Google nie zwraca żadnych wyników na moje błagania o pomoc. Próbowałem coś pokombinować, ale nie jestem w stanie określić w czym tak naprawdę jest problem i o co temu SELinuksowi chodzi. Miałem nadzieję, że po kilku update systemu będzie w porządku. Ten jednak dalej swoje.
Pełen komunikat błędu znajduje się tutaj. Wydaje mi się, że rozwiązanie jest banalne, ja jednak nie jestem w stanie sobie pomóc. Będę wdzięczny jak jakiś Joggerowiec w wolnej chwili rzuci okiem i podpowie jak się błędu pozbyć.
17 Sie 2010 o 09:59:08
przeskocz na angielską wersję językową, poczekaj na błąd i wklep jego angielską wersję w googla - bardziej prawdopodobne że coś znajdziesz, a to pewnie i tak wina plam na słońcu.
17 Sie 2010 o 10:00:19
Próbowałem to jakoś chałupniczo tłumaczyć czy rzucać takie frazy jak prelink+/root selinux problem i tak dalej, ale nic ciekawego nie wyguglałem niestety.
17 Sie 2010 o 10:00:46
to może się poddaj i idź na kawę?
17 Sie 2010 o 10:01:39
No właśnie jogger jest moją ostatnią deską ratunku, jak tu pomocy nie znajdę to będę po prostu parę razy dziennie klikał "ignoruj", a potem "usuń". Nie jest to dużo pracy, ale chętnie dowiedziałbym się o co chodzi
17 Sie 2010 o 10:03:40
o wiem, a w pięknych logach systemu nie masz nic ciekawego poprzedzającego te błędy?
17 Sie 2010 o 10:05:22
Przeglądałem tylko logi z secure w nazwie, ale nic tam ciekawego nie ma
17 Sie 2010 o 10:06:04
a inne? to nie musi byc nic niebezpieczoego
17 Sie 2010 o 10:13:34
No niby coś z cronem, ale w logach crona wszystkie procesy przebiegają prawidłowo
17 Sie 2010 o 10:14:48
wiesz co? miej jaja, zainstaluj windowsa. Każdy potrafi walczyć z błędami w systemach gdzie ma logi, i dostęp do praktycznie każdej opcji systemu. to na OSach MS jest wesoło :P
17 Sie 2010 o 10:16:14
No właśnie było mi tak wesoło, że zainstalowałem Fedorę. Po jakiejś aktualizacji przy każdym uruchomieniu mojej 7 wyskakiwało cmd.exe i kilka posranych komunikatów po których zwątpiłem i odwołałem wszystkie komplementy skierowane do MS po wydaniu Windowsa 7.
17 Sie 2010 o 10:18:21
Nie jesteś jedyny, mi dzisiaj raz to wyskoczyło.
Pewnie wkrótce poprawią.
17 Sie 2010 o 10:19:58
nigdy nie chcialo mi sie poswiecic ani chwili na nauke konfiguracji selinuxa. Od momentu jak zablokowal mi pare pluginow do firefoxa i uruchomienie jednej aplikacji wylaczam go domyslnie na kazdej instalacji ;)
17 Sie 2010 o 10:21:43
LnxTx: dobrze wiedzieć, że to ogólny problem, a nie tylko mój. Oby szybko się z tym rozprawili.
occulkot: to moja pierwsza dłuższa przygoda w fedorą i póki co nie chce nic mieszać. Ale jak SELinux będzie odwalał jakiekolwiek numery w postaci blokady pluginów firefoksa to też go wyłączę w pizdu.
17 Sie 2010 o 10:22:29
hola... Kutek od kiedy ty używasz Fxa w miejsce swojej uberOpery?
17 Sie 2010 o 10:24:13
Spokojnie już ponad rok.
17 Sie 2010 o 10:25:24
jak mogłeś ją tak zdradzić... no nic, to wracaj na siódemkę i nie narzekaj na fedorę... tam będziesz miał IExplore i wszystkie inne super ficzery MSa
17 Sie 2010 o 10:26:26
@Kutek: przypomnialo mi sie gdzie jeszcze mnie selinux wkurwial niemilosiernie. Centos przy stawianiu serwera php+fcgi. Chyba trzy rzeczy musialem powlaczac i i tak sie na koncu cos wywalalo. Security through obscurity.
17 Sie 2010 o 10:34:31
https://bugzilla.redhat.com/show_bug.cgi?id=624043
hth.
17 Sie 2010 o 11:01:09
a) W okienu masz przycisk ,,zgłoś błąd w bugzilli''. Należało go użyć, o czym zresztą informuje ostatnie zdanie opisu problemu.
b) błąd jest poprawiony:
* Fri Aug 13 2010 Marcela Mašláňová mmaslano@redhat.com - 1.4.5-3
- 623908 fix fd leak in anacron, which caused denail of prelink
and others
http://koji.fedoraproject.org/koji/buildinfo?buildID=190030
Wg. https://admin.fedoraproject.org/updates/cronie-1.4.5-2.fc13 poprawka została już przetestowana i trafiła do repo z aktualizacji. Zrób update.
17 Sie 2010 o 11:40:41
@occulkot: nic mi nie mów. U klienta w banku jak robiłem instalację to się z 2h szarpałem czemu mi się PHP nie chce z mysql łączyć - connection refused i tyle. W końcu jakiś znudzony admin powiedział, żeby selinux wyłączyć. I patrz - zadziałało.
17 Sie 2010 o 12:00:40
BTM: # getsebool -a | grep -i connectdb
...
httpdcannetworkconnect_db --> off
Wystarczy włączyć. I w auditd log patrzeć i setroubleshoota słuchac.
17 Sie 2010 o 12:04:35
@zdz: ja nie watpie ze wystarczy - po prostu nigdy nie chce mi sie na tyle poswiecac czasu zeby sie tym zajac. Jak dla mnie jest to utrudnienia bo wylacza mi polowe rzeczy na dziendobry i samemu trzeba zweryfikowac kto ci to wycial. IMO selinux to potezne narzedzie ale wlaczanie tego by default wprowadza wiecej zamieszania niz pomocy.
Mam nawet w tODO zapisane zeby sie kiedys tego wszystkiego nauczyc bo jakby nie patrzec da to spora przewage na serwerach... no ale...
17 Sie 2010 o 12:04:43
@zdz: mów mi jeszcze. Ja Linuxa używam okazjonalnie, na co dzień jestem zadowolonym Windowsiarzem, który nagle musiał skonfigurować dwa serwery Linuxowe w pieprzonym banku ;-)
18 Sie 2010 o 20:14:34
Wielokrotnie walczyłem z SELinuksem i zawsze uparcie starałem się pozostawić go włączonego, jeżeli takie były domyślne ustawienia dystrybucji. Za to nigdy z własnej woli go nie instalowałem :)
A jeżeli ktoś nie może uporać się z jakąś blokadą, to obok sealert niech spróbuje polecenia audit2allow:
http://blog.vmario.org/2010/03/11/szybkie-poskromienie-selinuksa/