Fedora 37 SElinux Fehler beim update

[NameHere]

Hallo,
ich habe seit dem Upgrade von Fedora 36 auf 37 immer eine Fehlermeldung von SELinux wenn update mit sudo dnf upgrade.

Hat jemand eine Idee wie ich den Fehler beseitigen kann?

Weitere Infos kann ich liefern wenn gewünscht. Bitte die passenden Konsolen-Befehle für Berichte etc. dabei schreiben.

Danke im voraus

Edit: Hier noch die Details aus der Fehlermeldung

SELinux hindert systemd-gpt-aut daran, die sys_admin-Fähigkeit zu verwenden.

***** Plugin catchall (100. Wahrscheinlichkeit) schlägt vor **************

Wenn Sie denken, dass systemd-gpt-aut standardmäßig sys_admin Berechtigung haben sollten.
Dann sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.
Ausführen
zugriff jetzt erlauben, indem Sie die nachfolgenden Befehle ausführen:
# ausearch -c 'systemd-gpt-aut' --raw | audit2allow -M my-systemdgptaut
# semodule -X 300 -i my-systemdgptaut.pp

zusätzliche Information:
Quellkontext system_u:system_r:systemd_gpt_generator_t:s0
Zielkontext system_u:system_r:systemd_gpt_generator_t:s0
Zielobjekte Unbekannt [ capability ]
Quelle systemd-gpt-aut
Quellpfad systemd-gpt-aut
Port <Unbekannt>
Host fedora
RPM-Pakete der Quelle
RPM-Pakete des Ziels
SELinux Policy RPM selinux-policy-targeted-37.14-1.fc37.noarch
Local Policy RPM selinux-policy-targeted-37.14-1.fc37.noarch
SELinux aktiviert True
Richtlinientyp targeted
Enforcing-Modus Enforcing
Rechnername fedora
Plattform Linux fedora 6.0.9-300.fc37.x86_64 #1 SMP
PREEMPT_DYNAMIC Wed Nov 16 17:36:22 UTC 2022
x86_64 x86_64
Anzahl der Alarme 4
Zuerst gesehen 2022-11-17 19:30:53 CET
Zuletzt gesehen 2022-11-23 17:22:21 CET
Lokale ID 7043aa10-2d55-486e-b6d0-871fc5393451

Raw-Audit-Meldungen
type=AVC msg=audit(1669220541.768:247): avc: denied { sys_admin } for pid=1623 comm="systemd-gpt-aut" capability=21 scontext=system_u:system_r:systemd_gpt_generator_t:s0 tcontext=system_u:system_r:systemd_gpt_generator_t:s0 tclass=capability permissive=0


Hash: systemd-gpt-aut,systemd_gpt_generator_t,systemd_gpt_generator_t,capability,sys_admin

 

[Y-Chromosome]

Jo, habe ich auch.
Wird sicher bald gefixt:
https://bugzilla.redhat.com/show_bug.cgi?id=2083900

 

[NameHere]

@Y-Chromosome danke für die Rückmeldung.
Ich lese das auch gerade und wundere mich das es seit Montaen nicht gefixt worden ist. Betrifft wohl nur die 37er Version

 

[Linuxfreakgraz]

Unbedingt den Fehler auch melden.

 

[andy_m4]

Ich muss ja sagen, das ich gegenüber SELinux immer ein wenig skeptisch bin. Nein. Nicht weil es ursprünglich von der NSA kommt oder so. Aber das System ist so komplex, das es echt schwer ist zu benutzen. Mag ja Umgebungen geben wo das angebracht ist, aber vielfach ist es overkill.

In Fedora ist es ja eigentlich nur drin weil das Redhats Spielwiese ist und die da quasi für den Einsatz in ihr Enterprise-Linux was entwickeln wollen (Systemabsicherung). Für viele Anwender stellt sich aber die Frage, obs das wirklich braucht.

 

[NameHere]

Unbedingt den Fehler auch melden.

Habe ich gerade gemach und ein leeres Fenster erhalten als Bestätigung?
An wen habe ich das jetzt gemeldet?

 

[gio127]

ich habe seit dem Upgrade von Fedora 36 auf 37 immer eine Fehlermeldung von SELinux wenn update mit sudo dnf upgrade.

Aus reiner Neugier, das ganz normale sudo dnf update geht?

 

[NameHere]

@gio127 nix zu tun gerade = keine updates kein Fehler ;-)
Ich habe das so verstanden das update und upgrade bei Fedora im Grunde das gleiche machen

 

[Linuxfreakgraz]

An wen habe ich das jetzt gemeldet?

Wenn die Meldung durchgegangen ist an RedHat.

Ich warte noch ab mit dem Upgrade von Fedora 36 auf 37 bis ich sicher bin va-api in rpmfusion angekommen ist.

 

[NameHere]

Ich warte noch ab mit dem Upgrade von Fedora 36 auf 37 bis ich sicher bin va-api in rpmfusion angekommen ist.

Ich habe das wie hier beschrieben gemacht . Jetzt fehlt aber der Befehlscode für den Switch auf mesa-va-drivers-freeworld

 

[gio127]

@gio127 nix zu tun gerade = keine updates kein Fehler ;-)

Danke für die Rückmeldung.
Ich würd's ja selber testen, habe aber keine gpt, und außerdem auch kein Upgrade von 36 gemacht, sondern frisch installiert (ist mein erstes Fedora auf dem Hauptsystem).

Ich habe das so verstanden das update und upgrade bei Fedora im Grunde das gleiche machen

Ja, habe ich auch so gelesen. Aber war mir nicht sicher.
Das heißt dann, dass du im Moment gar keine Updates machen kannst?

Gibt es denn eine Möglichkeit SELinux zu deaktivieren, solange bis der Bug gefixed ist?

Ergänzung (23. November 2022)

Ich warte noch ab mit dem Upgrade von Fedora 36 auf 37 bis ich sicher bin va-api in rpmfusion angekommen ist.

Hilft dir diese Ausgabe:

dnf search va-api                
created by dnf config-manager from https://brave-browser-rpm-release.s3.brave.com/x86_64/                                        36 kB/s | 9.4 kB     00:00    
Fedora 37 - x86_64                                                                                                              6.8 MB/s |  64 MB     00:09    
Fedora 37 openh264 (From Cisco) - x86_64                                                                                        6.8 kB/s | 2.5 kB     00:00    
Fedora Modular 37 - x86_64                                                                                                      4.5 MB/s | 3.0 MB     00:00    
Fedora 37 - x86_64 - Updates                                                                                                    5.5 MB/s |  14 MB     00:02    
Fedora Modular 37 - x86_64 - Updates                                                                                            5.1 MB/s | 3.7 MB     00:00    
RPM Fusion for Fedora 37 - Free                                                                                                 1.1 MB/s | 683 kB     00:00    
RPM Fusion for Fedora 37 - Free - Updates                                                                                        81 kB/s |  41 kB     00:00    
RPM Fusion for Fedora 37 - Nonfree                                                                                              456 kB/s | 248 kB     00:00    
RPM Fusion for Fedora 37 - Nonfree - Updates                                                                                     79 kB/s |  43 kB     00:00    
WineHQ packages                                                                                                                 4.2 MB/s | 3.0 MB     00:00    
=============================================================== Zusammenfassung Treffer: va-api ================================================================
chromium-freeworld.x86_64 : Chromium built with all freeworld codecs and VA-API support
libva-v4l2-request.i686 : VA-API Backend using v4l2-request API
libva-v4l2-request.x86_64 : VA-API Backend using v4l2-request API
mesa-va-drivers.x86_64 : Mesa-based VA-API video acceleration drivers
mesa-va-drivers.i686 : Mesa-based VA-API video acceleration drivers
mesa-va-drivers-freeworld.i686 : Mesa-based VA-API drivers
mesa-va-drivers-freeworld.x86_64 : Mesa-based VA-API drivers
nvidia-vaapi-driver.x86_64 : VA-API implementation that uses NVDEC as a backend

 

[NameHere]

Das heißt dann, dass du im Moment gar keine Updates machen kannst?

Updaten kann ich ja, aber ich kriege die Fehlermeldung in einem kleinen seperaten Fenster angezeigt.

Gibt es denn eine Möglichkeit SELinux zu deaktivieren, solange bis der Bug gefixed ist?

Dafür kenne ich mich damit zu wenig aus um zu sagen ob es dadurch wieder normal läuft und ob es ratsam ist SELinux zu deaktivieren.

 

[maikrosoft]

Ich habe das wie hier beschrieben gemacht . Jetzt fehlt aber der Befehlscode für den Switch auf mesa-va-drivers-freeworld

Guckst du hier: https://rpmfusion.org/Howto/Multimedia?highlight=(\bCategoryHowto\b)

 

[gio127]

Updaten kann ich ja, aber ich kriege die Fehlermeldung in einem kleinen seperaten Fenster angezeigt.

Dafür kenne ich mich damit zu wenig aus um zu sagen ob es dadurch wieder normal läuft und ob es ratsam ist SELinux zu deaktivieren.

Ok, solange die Updates trotzdem durchgehen ist es ja nicht verheerend

 

[NameHere]

Guckst du hier: https://rpmfusion.org/Howto/Multimedia?highlight=(\bCategoryHowto\b)

Also reicht es swap als Parameter auszuführen. Auf der Fedora WIKI Seite war ein 2 oder 3 zeiliger code für den swap

 

[maikrosoft]

Hat bei mir gereicht. Im Fuchs steht Compositor auf WebRenderer und damit ist ja die HW Beschl. aktiv.

 

[Y-Chromosome]

Die haben mir den Befehl im Wiki entfernt.

. /etc/os-release; (( ${VERSION_ID:-0} >= 37 )) && {
  rpm -q mesa-va-drivers.i686   > /dev/null 2>&1 && dnf -y swap mesa-va-drivers.i686   mesa-va-drivers-freeworld.i686;
  rpm -q mesa-va-drivers.x86_64 > /dev/null 2>&1 && dnf -y swap mesa-va-drivers.x86_64 mesa-va-drivers-freeworld.x86_64;
} || echo "Nothing to swap for mesa-va-drivers(-freeworld)"

Was mein Kumpel und ich geschrieben haben zielt auch auf Steam und Wine ab, da das ja noch i686er Pakete sind.

 

[NameHere]

Die haben mir den Befehl im Wiki entfernt.


Was mein Kumpel und ich geschrieben haben zielt auch auf Steam und Wine ab, da das ja noch i686er Pakete sind.

Den meinte ich. Der war vor einer Woche noch drin. Das habe ich benutzt.

Möglicherweise ist es einfacher wie in dem verlinkten Beitrag von @maikrosoft ?

 

[andy_m4]

Gibt es denn eine Möglichkeit SELinux zu deaktivieren, solange bis der Bug gefixed ist?

Ja. Kann man. Du kannst dem Linux-Kernel den Bootparameter
selinux=0
mitgeben, um SELinux komplett zu deaktivieren.
Alternativ gibts dazu das Tool system-config-selinux , welches letztlich die Konfigurationsdatei /etc/selinux/config entsprechend anpasst.

 

[Y-Chromosome]

Ah sehe gerade, dass die RPMFusion Leute aktiv waren und den Fall mit Steam und co. ebenfalls abgebildet haben.
Du kannst entweder die beiden swap Befehle nutzen, oder meine Befehlsreihenfolge.
Meine hat den Vorteil, dass es Dir nur das installiert, was vorhanden ist.