I
intergeek
Grünschnabel
Hallo zusammen,
ich habe mit meinem Fedora ein Problem mit SELinux in Kombination mit IPTV. Mein Provider liefert das TV Programm als normalen Stream aus, dies erfolgt als UDP Pakete. Bisher konnte ich mit VLC ohne Probleme das TV Programm anschauen, seit einem Update von SELinux bzw. den Richtlinien dazu ist ein Streaming am System nicht mehr möglich. Beim Versuch schlägt SELinux an:
Der das ganze wie in den ersten Zeilen vorgeschlagen zu erlauben führt zu keinem Ergebnis. Auch wenn ein anderes Gerät wie Tablet oder Receiver anfangen einen Stream zu empfangen schlägt SELinux am Rechner an da diese Pakete natürlich auch dort ankommen.
Hat jemand eine Idee wie ich das in den Griff bekommen kann?
ich habe mit meinem Fedora ein Problem mit SELinux in Kombination mit IPTV. Mein Provider liefert das TV Programm als normalen Stream aus, dies erfolgt als UDP Pakete. Bisher konnte ich mit VLC ohne Probleme das TV Programm anschauen, seit einem Update von SELinux bzw. den Richtlinien dazu ist ein Streaming am System nicht mehr möglich. Beim Versuch schlägt SELinux an:
Code:
SELinux hindert abrt-dump-journ daran, mit create-Zugriff auf udp_socket Port None zuzugreifen.
***** Plugin catchall (100. Wahrscheinlichkeit) schlägt vor **************
Wenn Sie denken, dass es abrt-dump-journ standardmäßig erlaubt sein sollte, create Zugriff auf Port None udp_socket zu erhalten.
Dann sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.
Ausführen
zugriff jetzt erlauben, indem Sie die nachfolgenden Befehle ausführen:
# ausearch -c 'abrt-dump-journ' --raw | audit2allow -M my-abrtdumpjourn
# semodule -X 300 -i my-abrtdumpjourn.pp
zusätzliche Information:
Quellkontext system_u:system_r:abrt_dump_oops_t:s0
Zielkontext system_u:system_r:abrt_dump_oops_t:s0
Zielobjekte Port None [ udp_socket ]
Quelle abrt-dump-journ
Quellpfad abrt-dump-journ
Port <Unbekannt>
Host lifebook.fritz.box
RPM-Pakete der Quelle
RPM-Pakete des Ziels
Richtlinien-RPM selinux-policy-3.14.4-43.fc31.noarch
SELinux aktiviert True
Richtlinientyp targeted
Enforcing-Modus Enforcing
Rechnername lifebook.fritz.box
Plattform Linux lifebook.fritz.box 5.4.8-200.fc31.x86_64 #1
SMP Mon Jan 6 16:44:18 UTC 2020 x86_64 x86_64
Anzahl der Alarme 3
Zuerst gesehen 2020-01-14 14:25:39 CET
Zuletzt gesehen 2020-01-14 14:25:39 CET
Lokale ID 964770da-a556-4eb1-acbd-f24cb1cc4a64
Raw-Audit-Meldungen
type=AVC msg=audit(1579008339.184:92): avc: denied { create } for pid=665 comm="abrt-dump-journ" scontext=system_u:system_r:abrt_dump_oops_t:s0 tcontext=system_u:system_r:abrt_dump_oops_t:s0 tclass=udp_socket permissive=0
Hash: abrt-dump-journ,abrt_dump_oops_t,abrt_dump_oops_t,udp_socket,create
Der das ganze wie in den ersten Zeilen vorgeschlagen zu erlauben führt zu keinem Ergebnis. Auch wenn ein anderes Gerät wie Tablet oder Receiver anfangen einen Stream zu empfangen schlägt SELinux am Rechner an da diese Pakete natürlich auch dort ankommen.
Hat jemand eine Idee wie ich das in den Griff bekommen kann?