RHEL5 SElinux 图形启动错误问题

郑州瑞琪教育

最近在做实验中遇到图形启动问题，希望大家可以能帮忙看一下。
    环境： 系统是2.6.18-53和2.6.18-92双内核，selinux是强制模式，在2.6.18-92内核作为默认启动内核时                                                                                                       ，重启后不能自动进入到X图形界面，报selinux错误。（setroubleshoot的错误日志在附件里面）。在启动时登录到虚拟控制台，然后用startx命令启动图形，selinux依旧报同样错误，但是可以进入图形界面。
    按照setroubleshoot里面告诉的解决方案，更改bool值后，错误依旧。
   关闭selinux后，在2.6.18-92内核可以正常启动到图形界面。
在2.6.28-53内核环境中，图形界面可以正常启动。
下面是setroubleshootd这个图形工具对上述错误进行的报告
Summary
    SELinux is preventing /usr/bin/Xorg (xdm_t) "mmap_zero" access to <Unknown>
    (xdm_t).

Detailed Description
    SELinux denied access requested by /usr/bin/Xorg. It is not expected that
    this access is required by /usr/bin/Xorg and this access may signal an
    intrusion attempt. It is also possible that the specific version or
    configuration of the application is causing it to require additional access.
    Please file a http://bugzilla.redhat.com/bugzilla/enter_bug.cgi against this
    package.

Allowing Access
    Sometimes labeling problems can cause SELinux denials.  You could try to
    restore the default system file context for <Unknown>, restorecon -v
    <Unknown>. There is currently no automatic way to allow this access.
    Instead, you can generate a local policy module to allow this access - see
    http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385 - or you can
    disable SELinux protection entirely for the application. Disabling SELinux
    protection is not recommended. Please file a
    http://bugzilla.redhat.com/bugzilla/enter_bug.cgi against this package.
    Changing the "xdm_disable_trans" boolean to true will disable SELinux
    protection this application: "setsebool -P xdm_disable_trans=1."

    The following command will allow this access:
    setsebool -P xdm_disable_trans=1

Additional Information        

Source Context                system_u:system_rdm_t:SystemLow-SystemHigh
Target Context                system_u:system_rdm_t:SystemLow-SystemHigh
Target Objects                None [ memprotect ]
Affected RPM Packages         xorg-x11-server-Xorg-1.1.1-48.26.el5 [application]
Policy RPM                    selinux-policy-2.4.6-104.el5
Selinux Enabled               True
Policy Type                   targeted
MLS Enabled                   True
Enforcing Mode                Enforcing
Plugin Name                   plugins.disable_trans
Host Name                     station4.example.com
Platform                      Linux station4.example.com 2.6.18-92.1.6.el5 #1
                              SMP Fri Jun 20 02:36:16 EDT 2008 i686 i686
Alert Count                   15
Line Numbers                  

Raw Audit Messages            

avc: denied { mmap_zero } for comm="Xorg" egid=0 euid=0 exe="/usr/bin/Xorg"
exit=-13 fsgid=0 fsuid=0 gid=0 items=0 pid=3149
scontext=system_u:system_rdm_t:s0-s0:c0.c1023 sgid=0
subj=system_u:system_rdm_t:s0-s0:c0.c1023 suid=0 tclass=memprotect
tcontext=system_u:system_rdm_t:s0-s0:c0.c1023 tty=tty7 uid=0

kns1024wh

setenforce 关闭

marsaber

如果你没有更改SELinux的话，应该是可以正常进入桌面的。
2.6.18-53可以吗？
如果2.6.18-53可以，说明2.6.18-92的SELinux与2.6.18-53的相比有所改变。

marsaber

setsebool -P xdm_disable_trans=1
之后呢？

changzi100

为什么不关掉selinux呢？

basten54188

看样子楼主应该是玩SELinux的行家阿！有两个东西叫audit2why和audit2allow您听说过么？试了么？

郑州瑞琪教育

在53的内核里面是可以正常启动的，但是安装92的kernel后就是报错，我按照setroubleshooting的提示更改bool值后错误依然会出现，实验要求selinux是不可以关闭的，所以很是郁闷。