SELinux und IPTV

[intergeek]

Hallo zusammen,

ich habe mit meinem Fedora ein Problem mit SELinux in Kombination mit IPTV. Mein Provider liefert das TV Programm als normalen Stream aus, dies erfolgt als UDP Pakete. Bisher konnte ich mit VLC ohne Probleme das TV Programm anschauen, seit einem Update von SELinux bzw. den Richtlinien dazu ist ein Streaming am System nicht mehr möglich. Beim Versuch schlägt SELinux an:

SELinux hindert abrt-dump-journ daran, mit create-Zugriff auf udp_socket Port None zuzugreifen.

*****  Plugin catchall (100. Wahrscheinlichkeit) schlägt vor    **************

Wenn Sie denken, dass es abrt-dump-journ standardmäßig erlaubt sein sollte, create Zugriff auf Port None udp_socket zu erhalten.
Dann sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.
Ausführen
zugriff jetzt erlauben, indem Sie die nachfolgenden Befehle ausführen:
# ausearch -c 'abrt-dump-journ' --raw | audit2allow -M my-abrtdumpjourn
# semodule -X 300 -i my-abrtdumpjourn.pp

zusätzliche Information:
Quellkontext                  system_u:system_r:abrt_dump_oops_t:s0
Zielkontext                   system_u:system_r:abrt_dump_oops_t:s0
Zielobjekte                   Port None [ udp_socket ]
Quelle                        abrt-dump-journ
Quellpfad                     abrt-dump-journ
Port                          <Unbekannt>
Host                          lifebook.fritz.box
RPM-Pakete der Quelle         
RPM-Pakete des Ziels         
Richtlinien-RPM               selinux-policy-3.14.4-43.fc31.noarch
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Enforcing
Rechnername                   lifebook.fritz.box
Plattform                     Linux lifebook.fritz.box 5.4.8-200.fc31.x86_64 #1
                              SMP Mon Jan 6 16:44:18 UTC 2020 x86_64 x86_64
Anzahl der Alarme             3
Zuerst gesehen                2020-01-14 14:25:39 CET
Zuletzt gesehen               2020-01-14 14:25:39 CET
Lokale ID                     964770da-a556-4eb1-acbd-f24cb1cc4a64

Raw-Audit-Meldungen
type=AVC msg=audit(1579008339.184:92): avc:  denied  { create } for  pid=665 comm="abrt-dump-journ" scontext=system_u:system_r:abrt_dump_oops_t:s0 tcontext=system_u:system_r:abrt_dump_oops_t:s0 tclass=udp_socket permissive=0


Hash: abrt-dump-journ,abrt_dump_oops_t,abrt_dump_oops_t,udp_socket,create

Der das ganze wie in den ersten Zeilen vorgeschlagen zu erlauben führt zu keinem Ergebnis. Auch wenn ein anderes Gerät wie Tablet oder Receiver anfangen einen Stream zu empfangen schlägt SELinux am Rechner an da diese Pakete natürlich auch dort ankommen.

Hat jemand eine Idee wie ich das in den Griff bekommen kann?

 

[marce]

Trivialer Tipp: SELinux abschalten :-)

Ich hab's nicht aktiv, damit bin ich im Lesen der Meldungen nicht sonderlich up2date - aber von VLC ist darin nichts zu sehen.

Klingt für mich so, als ob da drumerherm irgendwas abschmiert und damit dann abrt-dump-journ(...) was tun will, was wiederum von SELinux geblockt wird.

"Empfohlen" ist ja auch gerne, SELinux in den Permissive-Mode zu schalten und dann mal zu schauen, was er einem komplett rausloggt - ggf. folgt ja noch was weiteres, interessantes.