Mensagens no dmesg

[rwarstat]

Pessoal,

O dmesg do servidor está apresentando seguidamente as mensagens abaixo. Sei que elas se referem ao SELinux, mas tudo que achei é antigo e remete a erro na policy.

Mensagens:
[684616.462541] type=1400 audit(1309630094.306:127): avc:  denied  { transition } for  pid=7804 comm="sshd" path="/bin/bash" dev=sda1 ino=27787337 scontext=system_u:system_r:sshd_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c255 tclass=process

[688734.344436] type=1400 audit(1309634221.237:129): avc:  denied  { open } for  pid=8052 comm="cron" name="shadow" dev=sda1 ino=28837509 scontext=system_u:system_r:crond_t:s0 tcontext=system_u:object_r:shadow_t:s0 tclass=file

Status do SELinux:
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          permissive
Policy version:                 24
Policy from config file:        ubuntu

Versão: Ubuntu 10.04 LTS 64bits

Abraço,
Roberto

[Tota]

Ola

Não entendo nadica de servidores mas encontrei uma "receita de bolo" aqui => http://www.linuxforums.org/articles/accomodating-avc-denied-messages-selinux_355.html

Veja e teste.

[]'s

[rwarstat]

Ola Tota,

Pois é, a questão é que essa receita serve para quem está com o audit ligado e o SELinux está em enforcing mode, o quê não é o meu caso.
Valeu pela ajuda.

Abraço,
Roberto

[zekkerj]

Olá rwarstat,

Você reconhece esses arquivos, e a situação em que eles estão sendo chamados, não? Pq se você (ou algum usuário de sua máquina) não estiver iniciando uma sessão remota de ssh, seria o caso de considerar se não está havendo invasão nessa máquina.

[rwarstat]

Boa noite Zekkerj,

Eu reconheço que esses arquvios são referentes ao daemon do ssh e ao cron. Não chegue a verificar se o horário em que eles aparecem é quando eu conecto via ssh (mas deve ser) e quando o cron executa alguma coisa.
O quê não consegui descobri é exatamente o quê eles identificam e se é possível tirar essas mensagens do dmesg, deixando ele assim o mais limpo possível.

Abraço,
Roberto

[zekkerj]

Não quis dizer reconhecer os arquivos, quis dizer reconhecer os acessos.

Você instalou o sshd a partir do repositório normal?

Outra coisa, eu estou estranhando o segundo log. O cron está tentando acessar o arquivo /etc/shadow?

[rwarstat]

Como eu disse, teria que ver se os horários batem com os horários que acessei essa máquina. Apesar de que aí não aparece os horários.
Tudo que está rodando no servidor foi instalado a partir dos repositórios que vem nele.

A única coisa uqe tenho no cron, ao menos que eu coloquei lá, é as rotinas de backup. Acredito que nenhuma delas precise acessar o /etc/shadow.
A rotina de backup é simplesmente executar o tar em alguns diretórios da máquina, nada mais além disso.