text relocation - mozilla plugin in fedora 8

[tux_errante]

salve,
uso Fedora 8
oggi il navigatore Setroubleshoot, (quello con la stellina che ci indica i problemi tra i processi) mi ha dato questo messaggio :

Quote:

Sommario
SELinux sta evitando che plugin-config carichi
/usr/lib/mozilla/plugins/nppdf.so che necessita text relocation.

Descrizione dettagliata
L'applicazione plugin-config ha tentato di caricare
/usr/lib/mozilla/plugins/nppdf.so che necessita text relocation. Questo è
un potenziale problema di sicurezza. Molte librerie non hanno bisogno di
questo permesso. Le librerie sono talvolta codificate in modo non corretto e
richiedono questo permesso. La pagina web http://people.redhat.com/drepper
/selinux-mem.html spiega come rimuovere questo requisito. E' possibile
configurare SELinux per permettere temporaneamente a
/usr/lib/mozilla/plugins/nppdf.so di usare relocation come soluzione
temporanea, fino a che la libreria non sia corretta. Si prega di inviare una
http://bugzilla.redhat.com/bugzilla/enter_bug.cgi verso questo pacchetto.

Abilitazione accesso in corso
If you trust /usr/lib/mozilla/plugins/nppdf.so to run correctly, you can
change the file context to textrel_shlib_t. "chcon -t textrel_shlib_t
/usr/lib/mozilla/plugins/nppdf.so" You must also change the default file
context files on the system in order to preserve them even on a full
relabel. "semanage fcontext -a -t textrel_shlib_t
/usr/lib/mozilla/plugins/nppdf.so"

Il seguente comando abiliterà questo tipo d'accesso:
chcon -t textrel_shlib_t /usr/lib/mozilla/plugins/nppdf.so

Informazioni aggiuntive

Contesto della sorgente system_u:system_r:rpm_script_t:s0
Contesto target system_u:object_r:lib_t:s0
Oggetti target /usr/lib/mozilla/plugins/nppdf.so [ file ]
Pacchetti RPM interessati
RPM della policy selinux-policy-3.0.8-72.fc8
Selinux abilitato True
Tipo di policy targeted
MLS abilitato True
Modalità Enforcing Enforcing
Nome plugin plugins.allow_execmod
Host Name localhost.localdomain
Piattaforma Linux localhost.localdomain 2.6.23.9-85.fc8 #1 SMP
Fri Dec 7 15:49:59 EST 2007 i686 i686
Conteggio allerte 2
First Seen mar 08 gen 2008 09:53:25 CET
Last Seen mar 08 gen 2008 09:53:25 CET
Local ID 065eeff9-fb38-468f-aead-8f17e3805ff4
Numeri di linea

Messaggi Raw Audit

avc: denied { execmod } for comm=plugin-config dev=dm-0
path=/usr/lib/mozilla/plugins/nppdf.so pid=3013
scontext=system_u:system_r:rpm_script_t:s0 tclass=file
tcontext=system_u:object_r:lib_t:s0

beh, non so quanto ci avete capito voi.. ma io ben poco
mi rimanda alla pagina http://people.redhat.com/drepper/textrelocs.html
da quello che ho capito mi spiega la differenza tra l'indirizzamento ad un indirizzo fissato, e quello relativo ad una distanza ..
spiegandomi che con le librerie condivise e i binari indipendenti non è possibile usare l'indirizzo assoluto dato che questo è sconosciuto al sistema...

poi mi propone due possibili soluzioni quali l'indirizzamento (reference) ad un oggetto che sia nella stessa posizione indipendente in modo che l'indirizzo relativo sia lo stesso, e l'altra nn l'ho capita

e conclude rimandandomi alla pagina DSO-how to

io non ho la minima intenzione ne capacità per scrivere delle librerie condivise.. è grave ?

Quote:

Using the eu-findtextrel program it is in most situations relatively painless to determine the culprit(s) for the text relocations easily. There is usually no reason to not fix the problems. While a programs with text relocations can be made to run by relaxing the SELinux security this is a bad idea. The kind of permissions which have to be granted to the program create a gaping hole in the security policy

mi sta dicendo che potrei risolvere con quel comando ma dovrei disabilitare SELinux e questo aprirebbe una falla nella sicurezza ?

se siete arrivati a leggere fin qui, non solo siete in gamba ma anche molto pazienti!
Mi scuso per lo sproloquio e ci tengo a precisare che anche se il problema in questione è di poca importanza, lo prendo come spunto per comprendere cose nuove e più approfondite (ecco spiegate le citazioni sul text relocation)

grazie

[DeusEx]

SELinux per uso desktop può essere tranquillamente disattivato IMHO (il firewall invece va tenuto attivo).
Come, è spiegato qui: http://www.revsys.com/writings/quick...f-selinux.html
cmq sommariamente va impostato SELINUX=disabled nel file /etc/selinux/config

[tux_errante]

dici di disattivaro ?
se fosse stato inutile lo avrebbero abilitato di default ?

comunque ho trovato un comando in rete che sembra cambi i permessi del file in questione, un plugin di mozilla che avrà a che fare con adobe acrobat..

/usr/lib/mozilla/plugins/nppdf.so

Codice:

    chcon -t textrel_shlib_t /usr/lib/mozilla/plugins/nppdf.so

[DeusEx]

Quote:

Originariamente inviato da tux_errante

dici di disattivarlo ?
se fosse stato inutile lo avrebbero abilitato di default ?

Durante l'installazione ti chiede se attivarlo o meno, non è attivo di default.
Poi io lo tengo disattivato da sempre, fai te.

[tux_errante]

ok, m isono fatto un giro per i settaggi e non ho trovato dove disattivarlo..
puoi illuminarmi ?

[DeusEx]

Quote:

Originariamente inviato da tux_errante

ok, m isono fatto un giro per i settaggi e non ho trovato dove disattivarlo..
puoi illuminarmi ?

Quote:

Originariamente inviato da DeusEx

http://www.revsys.com/writings/quick...f-selinux.html
cmq sommariamente va impostato SELINUX=disabled nel file /etc/selinux/config

te l'ho postato prima....