fedora-cosmic / cosmic-packaging

#110 SELinux altert notification when using cosmic-files
Opened by wiiznokes. Modified

Open
Close Issue

I'm not sure what is evince-thumbnai and why it is used in cosmic-files. Maybe it have something to do with rendering i'm not sure. To reproduce, just click on Images, Download, or what ever. There will be an SELinux notification appearing.

SELinux interdit à evince-thumbnai d'utiliser les accès « read, write » sur le chr_file /dev/udmabuf.
*****  Le greffon catchall (100. de confiance) suggère   *********************
Si vous pensez que evince-thumbnai devrait être autorisé à accéder read write sur udmabuf chr_file par défaut.
Alors vous devriez rapporter ceci en tant qu'anomalie.
Vous pouvez générer un module de stratégie local pour autoriser cet accès.
Faire
autoriser cet accès pour le moment en exécutant :
# ausearch -c "evince-thumbnai" --raw | audit2allow -M my-evincethumbnai
# semodule -X 300 -i my-evincethumbnai.pp
Informations complémentaires :
Contexte source               unconfined_u:unconfined_r:thumb_t:s0-s0:c0.c1023
Contexte cible                system_u:object_r:dma_device_t:s0
Objets du contexte            /dev/udmabuf [ chr_file ]
Source                        evince-thumbnai
Chemin de la source           evince-thumbnai
Port                          <Inconnu>
Hôte                          fedasus
Paquets RPM source            
Paquets RPM cible             
Stratégie RPM SELinux         selinux-policy-targeted-41.24-1.fc41.noarch
Stratégie locale RPM          selinux-policy-targeted-41.24-1.fc41.noarch
Selinux activé                True
Type de stratégie             targeted
Mode strict                   Enforcing
Nom de l'hôte                 fedasus
Plateforme                    Linux fedasus 6.11.7-300.fc41.x86_64 #1 SMP
                              PREEMPT_DYNAMIC Fri Nov  8 19:23:10 UTC 2024
                              x86_64
Compteur d'alertes            127
Première alerte               2024-09-29 01:32:50 CEST
Dernière alerte               2024-11-16 14:18:42 CET
ID local                      cfa0b42d-1839-4d93-a70e-0138c08a9c91
Messages d'audit bruts
type=AVC msg=audit(1731763122.91:968): avc:  denied  { read write } for  pid=78075 comm="evince-thumbnai" path="/dev/udmabuf" dev="devtmpfs" ino=176 scontext=unconfined_u:unconfined_r:thumb_t:s0-s0:c0.c1023 tcontext=system_u:object_r:dma_device_t:s0 tclass=chr_file permissive=0
Hash: evince-thumbnai,thumb_t,dma_device_t,chr_file,read,write

Evince could be related to https://gitlab.gnome.org/GNOME/evince

evince-thumbnailer is a service that generates preview thumbnails for PDF, EPUB, etc. files, so that's probably what it's used for in cosmic-files.

related:

type=AVC msg=audit(1735983083.608:37974): avc: denied { read write } for pid=4168169 comm="totem-video-thu" path="/dev/udmabuf" dev="devtmpfs" ino=150 scontext=unconfined_u:unconfined_r:thumb_t:s0-s0:c0.c1023 tcontext=system_u:object_r:dma_device_t:s0 tclass=chr_file permissive=

has to do with totem thumbnailer. I wonder if cosmic-files uses gnome settings for thumbnails or something
Metadata
None
None
None
None
None
Static archive. pagure.io was sunset in 2026; this is a read-only snapshot.
Red Hat Logo

Fedora is sponsored by Red Hat. Learn more about the relationship between Red Hat and Fedora »

© Red Hat, Inc. and others.