<html><head><style type="text/css"><!-- DIV {margin:0px;} --></style></head><body><div style="font-family:times new roman, new york, times, serif;font-size:12pt"><DIV>> On Sunday 12 August 2007 02:27:03 Mohammed El-Afifi wrote:<BR>> > Just one last question: is there a way to make ldconfig work with<BR>> > SELinux in the enforcing mode, for example by updating the glibc<BR>> > package(which provides ldconfig) or alternatively updating SELinux<BR>> > packages? I'm currently having version 2.6-3 of glibc installed on<BR>> > my system.<BR>> <BR>> Here's what I've done in an attempt to resolve the AVCs so far on my<BR>> own system:<BR>> <BR>> I have a directory that contains shared libraries that I want ldconfig<BR>> to know about.  It and the files in it originally had this selinux<BR>> context:<BR>> <BR>>     user_u:object_r:user_home_t<BR>> <BR>> I changed that
 to:<BR>> <BR>>     system_u:object_r:lib_t<BR>> <BR>> using this command:<BR>> <BR>>     sudo chcon -R system_u:object_r:lib_t /home/depot/collections/tora-1.3.21/lib<BR>> <BR>> This eliminated all but one of my failures in selinux.  (Some time<BR>> ago, I changed the context of my $ORACLE_HOME/lib directory to<BR>> eliminate similar errors.)  But I still see this:<BR>> <BR>>     type=AVC msg=audit(1186928212.253:1139): avc:  denied  { dac_override } for  pid=5782 comm="ldconfig" capability=1 scontext=user_u:system_r:ldconfig_t:s0 tcontext=user_u:system_r:ldconfig_t:s0 tclass=capability<BR>>     type=SYSCALL msg=audit(1186928212.253:1139): arch=40000003 syscall=195 success=yes exit=0 a0=8bbdc08 a1=bfc4bb80 a2=8bbb801 a3=8bbb801 items=0 ppid=5590 pid=5782 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0
 egid=0 sgid=0 fsgid=0 tty=pts2 comm="ldconfig" exe="/sbin/ldconfig" subj=user_u:system_r:ldconfig_t:s0 key=(null)<BR>>     type=AVC msg=audit(1186928212.255:1140): avc:  denied  { search } for  pid=5782 comm="ldconfig" name="/" dev=dm-1 ino=2 scontext=user_u:system_r:ldconfig_t:s0 tcontext=system_u:object_r:home_root_t:s0 tclass=dir<BR>>     type=SYSCALL msg=audit(1186928212.255:1140): arch=40000003 syscall=195 success=yes exit=0 a0=bfc4ac00 a1=bfc4bc5c a2=a000 a3=8bbca88 items=0 ppid=5590 pid=5782 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 comm="ldconfig" exe="/sbin/ldconfig" subj=user_u:system_r:ldconfig_t:s0 key=(null)<BR>> <BR>> I believe these failures are an error in the shipped policy for<BR>> ldconfig.  But I'm not sure.  My reasoning is that ldconfig should be<BR>> able to search and/or read the root directory.  I believe that
 both of<BR>> those failures are happening in a stat64() system call.<BR>> <BR>> At this point, I don't know what to do about this.  I see that Daniel<BR>> Walsh recommends trying selinux-policy-2.6.4-35.fc7 in bug #248703,<BR>> but I only see -33.fc7 in updates-testing.  I wonder where I could get<BR>> the newer package?<BR>> <BR>> -- <BR>> Garry T. Williams --- <?XML:NAMESPACE PREFIX = SKYPE /><SKYPE:SPAN onmouseup="javascript:skype_tb_imgOnOff(this,1,'0',false,16,'');return skype_tb_stopEvents();" class=skype_tb_injection oncontextmenu="javascript:skype_tb_SwitchDrop(this,'0','sms=1');return skype_tb_stopEvents();" onmousedown="javascript:skype_tb_imgOnOff(this,2,'0',false,16,'');return skype_tb_stopEvents();" id=softomate_highlight_0 onmouseover="javascript:skype_tb_imgOnOff(this,1,'0',false,16,'');" title="Call this phone number in United States of America with Skype: +16786564579"
 onclick="javascript:doRunCMD('call','0',null,0);return skype_tb_stopEvents();" onmouseout="javascript:skype_tb_imgOnOff(this,0,'0',false,16,'');" context="+1 678 656-4579" durex="871" IamRTL="0"><SKYPE:SPAN class=skype_tb_imgA id=skype_tb_droppart_0 title="This is a United States of America phone number. The country code cannot be changed." style="BACKGROUND-IMAGE: url(e:\DOCUME~1\MAfifi\LOCALS~1\Temp\__SkypeIEToolbar_Cache\e70d95847a8f5723cfca6b3fd9946506\static\inactive_a.compat.stat.w16.gif)"><SKYPE:SPAN class=skype_tb_imgFlag id=skype_tb_img_f0 style="BACKGROUND-IMAGE: url(e:\DOCUME~1\MAfifi\LOCALS~1\Temp\__SkypeIEToolbar_Cache\e70d95847a8f5723cfca6b3fd9946506\static\famfamfam/US.gif)"></SKYPE:SPAN></SKYPE:SPAN><SKYPE:SPAN class=skype_tb_imgS_stat id=skype_tb_img_s0></SKYPE:SPAN><SKYPE:SPAN class=skype_tb_injectionIn id=skype_tb_text0><SKYPE:SPAN class=skype_tb_innerText
 id=skype_tb_innerText0>+1 678 656-4579</SKYPE:SPAN></SKYPE:SPAN><SKYPE:SPAN class=skype_tb_imgR id=skype_tb_img_r0></SKYPE:SPAN></SKYPE:SPAN></DIV>
<DIV><SKYPE:SPAN class=skype_tb_injection oncontextmenu="javascript:skype_tb_SwitchDrop(this,'0','sms=1');return skype_tb_stopEvents();" onmouseover="javascript:skype_tb_imgOnOff(this,1,'0');" title="Call this phone number in United States of America with Skype: +16786564579" onclick="javascript:doRunCMD('call','0');return skype_tb_stopEvents();" onmouseout="javascript:skype_tb_imgOnOff(this,0,'0');" context="+1 678 656-4579"></SKYPE:SPAN>The package selinux-policy-2.6.4-35.fc7 is available for download at the link <A href="http://koji.fedoraproject.org/packages/selinux-policy/2.6.4/35.fc7/noarch/selinux-policy-2.6.4-35.fc7.noarch.rpm">http://koji.fedoraproject.org/packages/selinux-policy/2.6.4/35.fc7/noarch/selinux-policy-2.6.4-35.fc7.noarch.rpm</A>.</DIV>
<DIV>I've just found this link and downloaded the package, but I haven't installed it yet. However, the topmost changelog at the package info page <A href="http://koji.fedoraproject.org/koji/buildinfo?buildID=13386">http://koji.fedoraproject.org/koji/buildinfo?buildID=13386</A> for this specific release of the package tells that it fixed the problem of ldconfig with the terminal specifically. I hope it works as stated.</DIV></div><br>
      <hr size=1>Looking for a deal? <a href="http://us.rd.yahoo.com/evt=47094/*http://farechase.yahoo.com/;_ylc=X3oDMTFicDJoNDllBF9TAzk3NDA3NTg5BHBvcwMxMwRzZWMDZ3JvdXBzBHNsawNlbWFpbC1uY20-">Find great prices on flights and hotels</a> with Yahoo! FareChase.</body></html>