求助，CentOS7的SELinux有几个Alert

yaoyansi

大家好，
我刚刚重装的centos7(CentOS-7.0-1406-x86_64-DVD.iso)

用yum update之后的版本是：
Linux localhost.localdomain 3.10.0-327.3.1.el7.x86_64 #1 SMP Wed Dec 9 14:09:15 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

在yum update过程中,SELinux有几个Alert，然后光驱就弹出了. 不知道是不是被攻击？该怎么办？谢谢

我系统的/var/log/audit/audit.log贴在这里了
pastebin.ca/3305655

Alert 1--------------------------------------------------------------------------------

1. SELinux is preventing /usr/libexec/abrt-handle-event from open access on the file .
   
2. 
   
3. *****  Plugin catchall (100. confidence) suggests   **************************
   
4. 
   
5. If you believe that abrt-handle-event should be allowed open access on the  file by default.
   
6. Then you should report this as a bug.
   
7. You can generate a local policy module to allow this access.
   
8. Do
   
9. allow this access for now by executing:
   
10. # grep abrt-handle-eve /var/log/audit/audit.log | audit2allow -M mypol
    
11. # semodule -i mypol.pp
    
12. 
    
13. Additional Information:
    
14. Source Context                system_u:system_r:abrt_t:s0-s0:c0.c1023
    
15. Target Context                system_u:object_r:var_spool_t:s0
    
16. Target Objects                 [ file ]
    
17. Source                        abrt-handle-eve
    
18. Source Path                   /usr/libexec/abrt-handle-event
    
19. Port                          <Unknown>
    
20. Host                          localhost.localdomain
    
21. Source RPM Packages           abrt-2.1.11-12.el7.centos.x86_64
    
22. Target RPM Packages           
    
23. Policy RPM                    selinux-policy-3.12.1-153.el7.noarch
    
24. Selinux Enabled               True
    
25. Policy Type                   targeted
    
26. Enforcing Mode                Enforcing
    
27. Host Name                     localhost.localdomain
    
28. Platform                      Linux localhost.localdomain 3.10.0-123.el7.x86_64
    
29.                               #1 SMP Mon Jun 30 12:09:22 UTC 2014 x86_64 x86_64
    
30. Alert Count                   2
    
31. First Seen                    2015-12-27 09:21:35 EST
    
32. Last Seen                     2015-12-27 09:21:35 EST
    
33. Local ID                      5f7559d5-313a-4f09-96c3-bea0c3fd67c5
    
34. 
    
35. Raw Audit Messages
    
36. type=AVC msg=audit(1451226095.531:608): avc:  denied  { open } for  pid=17177 comm="abrt-handle-eve" path="/var/spool/abrt/ccpp-2015-12-27-09:21:35-883/time" dev="dm-1" ino=202708314 scontext=system_u:system_r:abrt_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_spool_t:s0 tclass=file
    
37. 
    
38. 
    
39. type=SYSCALL msg=audit(1451226095.531:608): arch=x86_64 syscall=open success=no exit=EACCES a0=7fec1af67c10 a1=0 a2=7fec1af67c1f a3=0 items=0 ppid=17167 pid=17177 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=abrt-handle-eve exe=/usr/libexec/abrt-handle-event subj=system_u:system_r:abrt_t:s0-s0:c0.c1023 key=(null)
    
40. 
    
41. Hash: abrt-handle-eve,abrt_t,var_spool_t,file,open
    

复制代码

Alert 2--------------------------------------------------------------------------------

1. SELinux is preventing /usr/libexec/abrt-handle-event from create access on the lnk_file .
   
2. 
   
3. *****  Plugin catchall (100. confidence) suggests   **************************
   
4. 
   
5. If you believe that abrt-handle-event should be allowed create access on the  lnk_file by default.
   
6. Then you should report this as a bug.
   
7. You can generate a local policy module to allow this access.
   
8. Do
   
9. allow this access for now by executing:
   
10. # grep abrt-handle-eve /var/log/audit/audit.log | audit2allow -M mypol
    
11. # semodule -i mypol.pp
    
12. 
    
13. Additional Information:
    
14. Source Context                system_u:system_r:abrt_t:s0-s0:c0.c1023
    
15. Target Context                system_u:object_r:var_spool_t:s0
    
16. Target Objects                 [ lnk_file ]
    
17. Source                        abrt-handle-eve
    
18. Source Path                   /usr/libexec/abrt-handle-event
    
19. Port                          <Unknown>
    
20. Host                          localhost.localdomain
    
21. Source RPM Packages           abrt-2.1.11-12.el7.centos.x86_64
    
22. Target RPM Packages           
    
23. Policy RPM                    selinux-policy-3.12.1-153.el7.noarch
    
24. Selinux Enabled               True
    
25. Policy Type                   targeted
    
26. Enforcing Mode                Enforcing
    
27. Host Name                     localhost.localdomain
    
28. Platform                      Linux localhost.localdomain 3.10.0-123.el7.x86_64
    
29.                               #1 SMP Mon Jun 30 12:09:22 UTC 2014 x86_64 x86_64
    
30. Alert Count                   4
    
31. First Seen                    2015-12-27 09:21:35 EST
    
32. Last Seen                     2015-12-27 09:21:35 EST
    
33. Local ID                      8caf01b0-e3c6-4695-bf85-887026cb13af
    
34. 
    
35. Raw Audit Messages
    
36. type=AVC msg=audit(1451226095.534:610): avc:  denied  { create } for  pid=17167 comm="abrt-server" name=".lock" scontext=system_u:system_r:abrt_t:s0-s0:c0.c1023 tcontext=system_u:object_r:var_spool_t:s0 tclass=lnk_file
    
37. 
    
38. 
    
39. type=SYSCALL msg=audit(1451226095.534:610): arch=x86_64 syscall=symlinkat success=no exit=EACCES a0=7fffad941200 a1=5 a2=7faa8ee00b32 a3=7fffad940ed0 items=0 ppid=866 pid=17167 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=abrt-server exe=/usr/sbin/abrt-server subj=system_u:system_r:abrt_t:s0-s0:c0.c1023 key=(null)
    
40. 
    
41. Hash: abrt-handle-eve,abrt_t,var_spool_t,lnk_file,create
    

复制代码

alert3--------------------------------------------------------------------------------

1. SELinux is preventing /usr/lib/systemd/systemd-logind from read access on the directory .
   
2. 
   
3. *****  Plugin catchall (100. confidence) suggests   **************************
   
4. 
   
5. If you believe that systemd-logind should be allowed read access on the  directory by default.
   
6. Then you should report this as a bug.
   
7. You can generate a local policy module to allow this access.
   
8. Do
   
9. allow this access for now by executing:
   
10. # grep systemd-logind /var/log/audit/audit.log | audit2allow -M mypol
    
11. # semodule -i mypol.pp
    
12. 
    
13. Additional Information:
    
14. Source Context                system_u:system_r:systemd_logind_t:s0
    
15. Target Context                system_u:object_r:tmpfs_t:s0
    
16. Target Objects                 [ dir ]
    
17. Source                        systemd-logind
    
18. Source Path                   /usr/lib/systemd/systemd-logind
    
19. Port                          <Unknown>
    
20. Host                          localhost.localdomain
    
21. Source RPM Packages           systemd-208-11.el7.x86_64
    
22.                               systemd-219-19.el7.x86_64
    
23. Target RPM Packages           
    
24. Policy RPM                    selinux-policy-3.12.1-153.el7.noarch
    
25. Selinux Enabled               True
    
26. Policy Type                   targeted
    
27. Enforcing Mode                Enforcing
    
28. Host Name                     localhost.localdomain
    
29. Platform                      Linux localhost.localdomain 3.10.0-123.el7.x86_64
    
30.                               #1 SMP Mon Jun 30 12:09:22 UTC 2014 x86_64 x86_64
    
31. Alert Count                   1
    
32. First Seen                    2015-12-27 09:21:54 EST
    
33. Last Seen                     2015-12-27 09:21:54 EST
    
34. Local ID                      e9da0e86-de1d-4784-93fa-f2cf68b23979
    
35. 
    
36. Raw Audit Messages
    
37. type=AVC msg=audit(1451226114.223:620): avc:  denied  { read } for  pid=17173 comm="systemd-logind" name="/" dev="mqueue" ino=7612 scontext=system_u:system_r:systemd_logind_t:s0 tcontext=system_u:object_r:tmpfs_t:s0 tclass=dir
    
38. 
    
39. 
    
40. type=SYSCALL msg=audit(1451226114.223:620): arch=x86_64 syscall=openat success=no exit=EACCES a0=ffffffffffffff9c a1=7f6fedaa71ee a2=90800 a3=0 items=0 ppid=1 pid=17173 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=systemd-logind exe=/usr/lib/systemd/systemd-logind subj=system_u:system_r:systemd_logind_t:s0 key=(null)
    
41. 
    
42. Hash: systemd-logind,systemd_logind_t,tmpfs_t,dir,read
    

复制代码

alert4--------------------------------------------------------------------------------

1. SELinux is preventing /usr/lib/systemd/systemd-logind from mounton access on the directory .
   
2. 
   
3. *****  Plugin catchall (100. confidence) suggests   **************************
   
4. 
   
5. If you believe that systemd-logind should be allowed mounton access on the  directory by default.
   
6. Then you should report this as a bug.
   
7. You can generate a local policy module to allow this access.
   
8. Do
   
9. allow this access for now by executing:
   
10. # grep systemd-logind /var/log/audit/audit.log | audit2allow -M mypol
    
11. # semodule -i mypol.pp
    
12. 
    
13. Additional Information:
    
14. Source Context                system_u:system_r:systemd_logind_t:s0
    
15. Target Context                system_u:object_r:user_tmp_t:s0
    
16. Target Objects                 [ dir ]
    
17. Source                        systemd-logind
    
18. Source Path                   /usr/lib/systemd/systemd-logind
    
19. Port                          <Unknown>
    
20. Host                          localhost.localdomain
    
21. Source RPM Packages           systemd-208-11.el7.x86_64
    
22.                               systemd-219-19.el7.x86_64
    
23. Target RPM Packages           
    
24. Policy RPM                    selinux-policy-3.12.1-153.el7.noarch selinux-
    
25.                               policy-3.13.1-60.el7.noarch
    
26. Selinux Enabled               True
    
27. Policy Type                   targeted
    
28. Enforcing Mode                Enforcing
    
29. Host Name                     localhost.localdomain
    
30. Platform                      Linux localhost.localdomain 3.10.0-123.el7.x86_64
    
31.                               #1 SMP Mon Jun 30 12:09:22 UTC 2014 x86_64 x86_64
    
32. Alert Count                   2
    
33. First Seen                    2015-12-27 09:21:35 EST
    
34. Last Seen                     2015-12-27 09:30:01 EST
    
35. Local ID                      24895b84-2738-405b-91a6-e462387b530c
    
36. 
    
37. Raw Audit Messages
    
38. type=AVC msg=audit(1451226601.411:685): avc:  denied  { mounton } for  pid=17173 comm="systemd-logind" path="/run/user/0" dev="tmpfs" ino=3042889 scontext=system_u:system_r:systemd_logind_t:s0 tcontext=system_u:object_r:user_tmp_t:s0 tclass=dir
    
39. 
    
40. 
    
41. type=SYSCALL msg=audit(1451226601.411:685): arch=x86_64 syscall=mount success=no exit=EACCES a0=7f6fedaa6250 a1=7f6fedfa7400 a2=7f6fedaa6250 a3=6 items=0 ppid=1 pid=17173 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=systemd-logind exe=/usr/lib/systemd/systemd-logind subj=system_u:system_r:systemd_logind_t:s0 key=(null)
    
42. 
    
43. Hash: systemd-logind,systemd_logind_t,user_tmp_t,dir,mounton
    

复制代码

qq58945591

回复 1# yaoyansi


    注意看每个alert 的这几行.比如
allow this access for now by executing:
# grep abrt-handle-eve /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp



然后复制红字部分到终端,以root身份运行就可以了.