RHEL5 SElinux 圖形啟動錯誤問題

鄭州瑞琪教育

最近在做實驗中遇到圖形啟動問題，希望大家可以能幫忙看一下。
    環(huán)境： 系統(tǒng)是2.6.18-53和2.6.18-92雙內(nèi)核，selinux是強制模式，在2.6.18-92內(nèi)核作為默認啟動內(nèi)核時                                                                                                       ，重啟后不能自動進入到X圖形界面，報selinux錯誤。（setroubleshoot的錯誤日志在附件里面）。在啟動時登錄到虛擬控制臺，然后用startx命令啟動圖形，selinux依舊報同樣錯誤，但是可以進入圖形界面。
    按照setroubleshoot里面告訴的解決方案，更改bool值后，錯誤依舊。
   關(guān)閉selinux后，在2.6.18-92內(nèi)核可以正常啟動到圖形界面。
在2.6.28-53內(nèi)核環(huán)境中，圖形界面可以正常啟動。
下面是setroubleshootd這個圖形工具對上述錯誤進行的報告
Summary
    SELinux is preventing /usr/bin/Xorg (xdm_t) "mmap_zero" access to <Unknown>
    (xdm_t).

Detailed Description
    SELinux denied access requested by /usr/bin/Xorg. It is not expected that
    this access is required by /usr/bin/Xorg and this access may signal an
    intrusion attempt. It is also possible that the specific version or
    configuration of the application is causing it to require additional access.
    Please file a http://bugzilla.redhat.com/bugzilla/enter_bug.cgi against this
    package.

Allowing Access
    Sometimes labeling problems can cause SELinux denials.  You could try to
    restore the default system file context for <Unknown>, restorecon -v
    <Unknown>. There is currently no automatic way to allow this access.
    Instead, you can generate a local policy module to allow this access - see
    http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385 - or you can
    disable SELinux protection entirely for the application. Disabling SELinux
    protection is not recommended. Please file a
    http://bugzilla.redhat.com/bugzilla/enter_bug.cgi against this package.
    Changing the "xdm_disable_trans" boolean to true will disable SELinux
    protection this application: "setsebool -P xdm_disable_trans=1."

    The following command will allow this access:
    setsebool -P xdm_disable_trans=1

Additional Information        

Source Context                system_u:system_rdm_t:SystemLow-SystemHigh
Target Context                system_u:system_rdm_t:SystemLow-SystemHigh
Target Objects                None [ memprotect ]
Affected RPM Packages         xorg-x11-server-Xorg-1.1.1-48.26.el5 [application]
Policy RPM                    selinux-policy-2.4.6-104.el5
Selinux Enabled               True
Policy Type                   targeted
MLS Enabled                   True
Enforcing Mode                Enforcing
Plugin Name                   plugins.disable_trans
Host Name                     station4.example.com
Platform                      Linux station4.example.com 2.6.18-92.1.6.el5 #1
                              SMP Fri Jun 20 02:36:16 EDT 2008 i686 i686
Alert Count                   15
Line Numbers                  

Raw Audit Messages            

avc: denied { mmap_zero } for comm="Xorg" egid=0 euid=0 exe="/usr/bin/Xorg"
exit=-13 fsgid=0 fsuid=0 gid=0 items=0 pid=3149
scontext=system_u:system_rdm_t:s0-s0:c0.c1023 sgid=0
subj=system_u:system_rdm_t:s0-s0:c0.c1023 suid=0 tclass=memprotect
tcontext=system_u:system_rdm_t:s0-s0:c0.c1023 tty=tty7 uid=0

kns1024wh

setenforce 關(guān)閉

marsaber

如果你沒有更改SELinux的話，應(yīng)該是可以正常進入桌面的。
2.6.18-53可以嗎？
如果2.6.18-53可以，說明2.6.18-92的SELinux與2.6.18-53的相比有所改變。

marsaber

setsebool -P xdm_disable_trans=1
之后呢？

changzi100

為什么不關(guān)掉selinux呢？

basten54188

看樣子樓主應(yīng)該是玩SELinux的行家阿！有兩個東西叫audit2why和audit2allow您聽說過么？試了么？

鄭州瑞琪教育

在53的內(nèi)核里面是可以正常啟動的，但是安裝92的kernel后就是報錯，我按照setroubleshooting的提示更改bool值后錯誤依然會出現(xiàn)，實驗要求selinux是不可以關(guān)閉的，所以很是郁悶。