Hi,
I have F40 with KDE up to date. I have many message from SELinux like this one:
SELinux interdit à mandb d'utiliser l'accès search sur le dossier /var/lib/snapd.
***** Le greffon restorecon (68.9 de confiance) suggère *******************
Si vous souhaitez corriger l'étiquette.
L'étiquette par défaut de /var/lib/snapd devrait être var_lib_t.
Alors vous pouvez lancer restorecon. La tentative d’accès pourrait avoir été stoppée due à des permissions insuffisantes d’accès au dossier parent, auquel cas essayez de changer la commande suivante en conséquence.
Faire
# /sbin/restorecon -v /var/lib/snapd
***** Le greffon file (21.0 de confiance) suggère *************************
Si vous pensez que ceci est dû à une machine mal étiquetée.
Alors vous devez complètement ré-étiqueter.
Faire
touch /.autorelabel; reboot
***** Le greffon file (21.0 de confiance) suggère *************************
Si vous pensez que ceci est dû à une machine mal étiquetée.
Alors vous devez complètement ré-étiqueter.
Faire
touch /.autorelabel; reboot
***** Le greffon catchall_labels (3.92 de confiance) suggère **************
Si vous souhaitez autoriser mandb à accéder à search sur snapd directory
Alors l'étiquette sur /var/lib/snapd doit être modifiée
Faire
# semanage fcontext -a -t FILE_TYPE '/var/lib/snapd'
où FILE_TYPE est l'une des valeurs suivantes : abrt_var_run_t, admin_home_t, bin_t, boot_t, cluster_conf_t, cluster_var_lib_t, cluster_var_run_t, cpu_online_t, default_t, device_t, devpts_t, etc_runtime_t, etc_t, fail2ban_var_lib_t, fonts_cache_t, fonts_t, home_root_t, httpd_sys_content_t, init_var_run_t, lib_t, locale_t, lost_found_t, man_cache_t, man_t, mandb_cache_t, mnt_t, nscd_var_run_t, pkcs11_modules_conf_t, proc_t, rkhunter_var_lib_t, root_t, rpm_log_t, rpm_script_tmp_t, security_t, selinux_config_t, setrans_var_run_t, shell_exec_t, sosreport_tmp_t, src_t, sssd_public_t, sssd_var_lib_t, sysctl_t, sysfs_t, system_conf_t, system_db_t, systemd_resolved_var_run_t, textrel_shlib_t, tmp_t, tmpfs_t, user_home_dir_t, usr_t, var_lib_t, var_lock_t, var_log_t, var_run_t, var_spool_t, var_t.
Puis exécutez :
restorecon -v '/var/lib/snapd'
***** Le greffon catchall (1.18 de confiance) suggère *********************
Si vous pensez que mandb devrait être autorisé à accéder search sur snapd directory par défaut.
Alors vous devriez rapporter ceci en tant qu'anomalie.
Vous pouvez générer un module de stratégie local pour autoriser cet accès.
Faire
autoriser cet accès pour le moment en exécutant :
# ausearch -c "mandb" --raw | audit2allow -M my-mandb
# semodule -X 300 -i my-mandb.pp
Informations complémentaires :
Contexte source system_u:system_r:mandb_t:s0
Contexte cible system_u:object_r:unlabeled_t:s0
Objets du contexte /var/lib/snapd [ dir ]
Source mandb
Chemin de la source mandb
Port <Inconnu>
Hôte fedora
Paquets RPM source
Paquets RPM cible
Stratégie RPM SELinux selinux-policy-targeted-40.23-1.fc40.noarch
Stratégie locale RPM selinux-policy-targeted-40.23-1.fc40.noarch
Selinux activé True
Type de stratégie targeted
Mode strict Enforcing
Nom de l'hôte fedora
Plateforme Linux fedora 6.9.8-200.fc40.x86_64 #1 SMP
PREEMPT_DYNAMIC Fri Jul 5 16:20:11 UTC 2024
x86_64
Compteur d'alertes 12
Première alerte 2024-07-15 19:17:34 CEST
Dernière alerte 2024-07-15 19:17:47 CEST
ID local 9513b53a-0275-4d1d-b40c-0cb405ec8c83
Messages d'audit bruts
type=AVC msg=audit(1721063867.683:1052): avc: denied { search } for pid=53334 comm="mandb" name="snapd" dev="nvme0n1p3" ino=242948 scontext=system_u:system_r:mandb_t:s0 tcontext=system_u:object_r:unlabeled_t:s0 tclass=dir permissive=0 trawcon="system_u:object_r:snappy_var_lib_t:s0"
Hash: mandb,mandb_t,unlabeled_t,dir,search
What can I do ?
Regards,