---

Hvad er det her lige for noget?

NULL security context for user, but SELinux in permissive mode,
continuing ()

Jeg har googlet lidt rundt efter en forklaring, og jeg er kommet frem
til at det åbenbart er et resultat af at springe for mange FC
versioner over. Jeg flyttede direkte fra FC5 til FC9, så der er
Ã¥benbart noget mellemliggende der ikke lige er kommet med.

Desværre kan jeg ikke lige se ud af de beskrivelser der er af
problemet, præcis hvad der skal til, så hvis der er nogen der har et
hint til hvordan jeg slipper af med den?

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen wrote:
> Hvad er det her lige for noget?
>
> NULL security context for user, but SELinux in permissive mode,
> continuing ()

Står der ikke mere i logfilen? Hvilken user? Hvilken fil?
Hvor kommer beskeden fra (crond?)?

Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer <mk@crc.dk> writes:

> Anders Wegge Jakobsen wrote:
>> Hvad er det her lige for noget?
>>
>> NULL security context for user, but SELinux in permissive mode,
>> continuing ()

> Står der ikke mere i logfilen? Hvilken user? Hvilken fil?
> Hvor kommer beskeden fra (crond?)?

My bad. Jeg kopierede bare fra min logwatch mail. Den fulde log er
fra /var/log/cron:

Jul 28 09:03:01 obelix crond[4426]: (wegge) NULL security context for
user, but SELinux in permissive mode, continuing ()

Jul 28 09:05:01 obelix crond[4593]: (*system*) NULL security context
for user, but SELinux in permissive mode, continuing ()

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen wrote:
....
> My bad. Jeg kopierede bare fra min logwatch mail. Den fulde log er
> fra /var/log/cron:

Hjælper:

fixfiles relabel /var/spool/cron/

fra:

http://www.engardelinux.org/modules/index/list_archives.cgi?list=fedora-selinux&page=0108.html&month=2007-11

Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer <mk@crc.dk> writes:

> Hjælper:
>
> fixfiles relabel /var/spool/cron/

Ikke det fjerneste, desværre.

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen wrote:
> Mogens Kjaer <mk@crc.dk> writes:
>
>> Hjælper:
>>
>> fixfiles relabel /var/spool/cron/
>
> Ikke det fjerneste, desværre.
>

Hvad skriver "ls -Z" på filerne i /var/spool/cron?

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer <mk@crc.dk> writes:

> Anders Wegge Jakobsen wrote:
>> Mogens Kjaer <mk@crc.dk> writes:
>>
>>> Hjælper:
>>>
>>> fixfiles relabel /var/spool/cron/
>>
>> Ikke det fjerneste, desværre.
>>
>
> Hvad skriver "ls -Z" på filerne i /var/spool/cron?

Den siger:

-rw------- wegge root user_u:object_r:cron_spool_t wegge

Og /etc/crontab siger:

-rw-r--r-- root root system_u:object_r:system_cron_spool_t /etc/crontab

Og en ps -efZ | grep CROND siger:

user_u:user_r:crond_t:SystemLow-SystemHigh root 4212 14444 0 09:00 ? 00:00:00 CROND

Jeg hæfter mig ved at det både er min egen crontab og den system-wide
der resulterer i den log, så måske er det eksekveringen af
kommandoerne, snarere end permissions på filerne?

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen wrote:
....
> Jeg hæfter mig ved at det både er min egen crontab og den system-wide
> der resulterer i den log, så måske er det eksekveringen af
> kommandoerne, snarere end permissions på filerne?
>

Man ved aldrig hvordan SELinux tænker...

Har du prøvet at relabele det hele?

touch /.autorelabel

og så reboot. Kan tage lang tid på et stort filsystem...

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer <mk@crc.dk> writes:

> Anders Wegge Jakobsen wrote:
> ...
>> Jeg hæfter mig ved at det både er min egen crontab og den system-wide
>> der resulterer i den log, så måske er det eksekveringen af
>> kommandoerne, snarere end permissions på filerne?

> Man ved aldrig hvordan SELinux tænker...

Jeg gør i alt fald ikke.
>
> Har du prøvet at relabele det hele?
>
> touch /.autorelabel
>
> og så reboot. Kan tage lang tid på et stort filsystem...

Nej, det har jeg ikke lige prøvet. Snakker vi timer eller dage for et
filsystem med en 1.250.000 filer, og skal den .autorelabel være i
roden af hver fysisk disk, eller er det nok med den i / ?

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen wrote:
....
> Nej, det har jeg ikke lige prøvet. Snakker vi timer eller dage for et
> filsystem med en 1.250.000 filer, og skal den .autorelabel være i
> roden af hver fysisk disk, eller er det nok med den i / ?

Jeg har ikke prøvet. Jeg kører kun SELinux på meget få maskiner,
der er altid et-eller-andet der ikke kan lade sig gøre nemt
når det er slået til.

..autorelabel skal være i /
den slettes automatisk ved næste boot, efter relabelingen.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer <mk@crc.dk> writes:

> Anders Wegge Jakobsen wrote:
> ...
>> Nej, det har jeg ikke lige prøvet. Snakker vi timer eller dage for et
>> filsystem med en 1.250.000 filer, og skal den .autorelabel være i
>> roden af hver fysisk disk, eller er det nok med den i / ?

> Jeg har ikke prøvet. Jeg kører kun SELinux på meget få maskiner, der
> er altid et-eller-andet der ikke kan lade sig gøre nemt når det er
> slået til.

Ja, jeg har også haft det sådan indtil nu, men nu er SELinux begyndt
at true i horisonten på arbejdet, så jeg vil hellere tage det stejle
stykke af indlæringskurven på min egen maskine i ro og mag.

> .autorelabel skal være i / den slettes automatisk ved næste boot,
> efter relabelingen.

Vi prøver og ser hvad der sker ...

Hvis der går flere dage inden du hører en update, ved du hvorfor man
skal undlade en relabling :)

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen <wegge@obelix.wegge.dk> writes:
> Vi prøver og ser hvad der sker ...
>
> Hvis der går flere dage inden du hører en update, ved du hvorfor man
> skal undlade en relabling :)

Det tog så kun en god halv time, men det løste ikke det oprindelige
problem :(

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen wrote:
....
> Det tog så kun en god halv time, men det løste ikke det oprindelige
> problem :(
>

Så giver jeg op; brug windowsmåden: Reinstallér

Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer <mk@crc.dk> writes:

> Anders Wegge Jakobsen wrote:
> ...
>> Det tog så kun en god halv time, men det løste ikke det oprindelige
>> problem :(

> Så giver jeg op; brug windowsmåden: Reinstallér

Det lærer jeg ikke så meget af, men det ville sikkert være et godt bud :)

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.

---

Anders Wegge Jakobsen wrote:
....
> Det lærer jeg ikke så meget af, men det ville sikkert være et godt bud :)
>

Der er Fedora mailing lister.

Er der ikke også noget grafisk halløj til at spore SELinux problemer?

Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer <mk@crc.dk> writes:

> Anders Wegge Jakobsen wrote:
> ...
>> Det lærer jeg ikke så meget af, men det ville sikkert være et godt bud :)

> Der er Fedora mailing lister.

Ja, det er nok et mere målrettet sted.

> Er der ikke også noget grafisk halløj til at spore SELinux problemer?

Jo, men det er vist kun anvendeligt i de tilfælde hvor SElinux
beslutter sig for at der er noget der ikke er tilladt. Problemet med
den her NULL context ser ud til at der er noget der mangler på et
lavere niveau.

--
// Wegge
<http://blog.wegge.dk> - Her hænger jeg også ud.
<http://geowiki.wegge.dk/wiki/Forside> - Alt om geocaching.
Bruger du den gratis spamfighther ser jeg kun dine indlæg *EN* gang.