<html>

  <head>

    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    After you run <br>

    <br>

    semodule -DB<br>

    <br>

    Does<br>

    <br>

    sesearch --dontaudit<br>

    <br>

    give you any output?<br>

    <br>

    <br>

    On 03/25/2014 03:44 AM, Juerg Haefliger wrote:<br>

    <span style="white-space: pre;">&gt;<br>

      &gt;<br>

      &gt;<br>

      &gt; On Mon, Mar 24, 2014 at 4:22 PM, Daniel J Walsh

      &lt;<a class="moz-txt-link-abbreviated" href="mailto:dwalsh@redhat.com">dwalsh@redhat.com</a> <a class="moz-txt-link-rfc2396E" href="mailto:dwalsh@redhat.com">&lt;mailto:dwalsh@redhat.com&gt;</a>&gt; wrote:<br>

      &gt; &gt;</span><br>

    <blockquote type="cite">On 03/24/2014 08:44 AM, Juerg Haefliger

      wrote:<br>

      <br>

      <br>

      <br>

      &gt; On Mon, Mar 24, 2014 at 1:14 PM, Daniel J Walsh

      &lt;<a class="moz-txt-link-abbreviated" href="mailto:dwalsh@redhat.com">dwalsh@redhat.com</a> <a class="moz-txt-link-rfc2396E" href="mailto:dwalsh@redhat.com">&lt;mailto:dwalsh@redhat.com&gt;</a><br>

      &gt; &lt;<a class="moz-txt-link-freetext" href="mailto:dwalsh@redhat.com">mailto:dwalsh@redhat.com</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:dwalsh@redhat.com">&lt;mailto:dwalsh@redhat.com&gt;</a>&gt;&gt; wrote:<br>

      &gt;&gt;<br>

      &gt; On 03/24/2014 06:28 AM, Juerg Haefliger wrote:<br>

      <br>

      <br>

      <br>

      &gt;&gt; On Mon, Mar 24, 2014 at 11:23 AM, Juerg Haefliger

      &lt;<a class="moz-txt-link-abbreviated" href="mailto:juergh@gmail.com">juergh@gmail.com</a> <a class="moz-txt-link-rfc2396E" href="mailto:juergh@gmail.com">&lt;mailto:juergh@gmail.com&gt;</a><br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:juergh@gmail.com">mailto:juergh@gmail.com</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:juergh@gmail.com">&lt;mailto:juergh@gmail.com&gt;</a>&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:juergh@gmail.com">mailto:juergh@gmail.com</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:juergh@gmail.com">&lt;mailto:juergh@gmail.com&gt;</a><br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:juergh@gmail.com">mailto:juergh@gmail.com</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:juergh@gmail.com">&lt;mailto:juergh@gmail.com&gt;</a>&gt;&gt;&gt; wrote:<br>

      <br>

      <br>

      <br>

      <br>

      &gt;&gt;&gt; On Sat, Mar 22, 2014 at 11:46 AM, Daniel J Walsh

      &lt;<a class="moz-txt-link-abbreviated" href="mailto:dwalsh@redhat.com">dwalsh@redhat.com</a> <a class="moz-txt-link-rfc2396E" href="mailto:dwalsh@redhat.com">&lt;mailto:dwalsh@redhat.com&gt;</a><br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:dwalsh@redhat.com">mailto:dwalsh@redhat.com</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:dwalsh@redhat.com">&lt;mailto:dwalsh@redhat.com&gt;</a>&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:dwalsh@redhat.com">mailto:dwalsh@redhat.com</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:dwalsh@redhat.com">&lt;mailto:dwalsh@redhat.com&gt;</a><br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:dwalsh@redhat.com">mailto:dwalsh@redhat.com</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:dwalsh@redhat.com">&lt;mailto:dwalsh@redhat.com&gt;</a>&gt;&gt;&gt; wrote:<br>

      &gt;&gt;&gt;&gt;<br>

      &gt;&gt; On 03/21/2014 10:36 AM, Juerg Haefliger wrote:<br>

      &gt;&gt;&gt; Hi,<br>

      <br>

      &gt;&gt;&gt; I started a VM using the official F20 cloud image,

      installed libvirt<br>

      &gt;&gt;&gt; and its dependencies and tried to create a guest but

      SELinux won't let<br>

      &gt;&gt;&gt; me:<br>

      <br>

      &gt;&gt;&gt; [root@fedora-20 ~]# virsh create mini.xml error:

      Failed to create<br>

      &gt;&gt;&gt; domain from mini.xml error: Input/output error<br>

      <br>

      &gt;&gt;&gt; [root@fedora-20 ~]# journalctl | tail Mar 21 14:23:06

      fedora-20<br>

      &gt;&gt;&gt; systemd[1]: SELinux policy denies access. Mar 21

      14:23:06 fedora-20<br>

      &gt;&gt;&gt; systemd-machined[7210]: Failed to start machine

      scope: Access denied<br>

      &gt;&gt;&gt; Mar 21 14:23:06 fedora-20 libvirtd[6856]:

      Input/output error<br>

      <br>

      &gt;&gt;&gt; [root@fedora-20 ~]# cat

      /var/log/libvirt/qemu/mini.log 2014-03-21<br>

      &gt;&gt;&gt; 14:23:06.740+0000: starting up LC_ALL=C<br>

      &gt;&gt;&gt;

      PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin<br>

      &gt;&gt;&gt; QEMU_AUDIO_DRV=none /usr/bin/qemu-system-x86_64 -name

      mini -S -machine<br>

      &gt;&gt;&gt; pc-i440fx-1.6,accel=tcg,usb=off -m 1024 -realtime

      mlock=off -smp<br>

      &gt;&gt;&gt; 1,sockets=1,cores=1,threads=1 -uuid<br>

      &gt;&gt;&gt; 11111111-2890-2015-1f87-cbfa725b1dd3 -nographic

      -no-user-config<br>

      &gt;&gt;&gt; -nodefaults -chardev<br>

      &gt;&gt;&gt;

socket,id=charmonitor,path=/var/lib/libvirt/qemu/mini.monitor,server,nowait<br>

      <br>

      &gt;&gt;&gt;<br>

      <br>

      &gt; -mon chardev=charmonitor,id=monitor,mode=control -rtc

      base=utc<br>

      &gt; -no-shutdown<br>

      &gt;&gt;&gt; -device piix3-usb-uhci,id=usb,bus=pci.0,addr=0x1.0x2

      -device<br>

      &gt;&gt;&gt; virtio-balloon-pci,id=balloon0,bus=pci.0,addr=0x2

      2014-03-21<br>

      &gt;&gt;&gt; 14:23:06.744+0000: shutting down<br>

      <br>

      <br>

      &gt;&gt;&gt; type=VIRT_MACHINE_ID msg=audit(1395412399.728:281):

      pid=6856 uid=0<br>

      &gt;&gt;&gt; auid=4294967295 ses=4294967295<br>

      &gt;&gt;&gt; subj=system_u:system_r:virtd_t:s0-s0:c0.c1023

      msg='virt=qemu vm="mini"<br>

      &gt;&gt;&gt; uuid=11111111-2890-2015-1f87-cbfa725b1dd3<br>

      &gt;&gt;&gt; vm-ctx=system_u:system_r:svirt_tcg_t:s0:c728,c986<br>

      &gt;&gt;&gt; img-ctx=system_u:object_r:svirt_image_t:s0:c728,c986

      model=selinux<br>

      &gt;&gt;&gt; exe="/usr/sbin/libvirtd" hostname=? addr=? terminal=?

      res=success'<br>

      &gt;&gt;&gt; type=VIRT_MACHINE_ID msg=audit(1395412399.728:282):

      pid=6856 uid=0<br>

      &gt;&gt;&gt; auid=4294967295 ses=4294967295<br>

      &gt;&gt;&gt; subj=system_u:system_r:virtd_t:s0-s0:c0.c1023

      msg='virt=qemu vm="mini"<br>

      &gt;&gt;&gt; uuid=11111111-2890-2015-1f87-cbfa725b1dd3

      vm-ctx=107:107<br>

      &gt;&gt;&gt; img-ctx=107:107 model=dac exe="/usr/sbin/libvirtd"

      hostname=? addr=?<br>

      &gt;&gt;&gt; terminal=? res=success' type=USER_AVC

      msg=audit(1395412399.788:283):<br>

      &gt;&gt;&gt; pid=1 uid=0 auid=4294967295 ses=4294967295<br>

      &gt;&gt;&gt; subj=system_u:system_r:init_t:s0 msg='avc: denied  {

      start } for<br>

      &gt;&gt;&gt; auid=-1 uid=-1 gid=-1

      scontext=system_u:system_r:init_t:s0<br>

      &gt;&gt;&gt; tcontext=system_u:system_r:init_t:s0 tclass=service<br>

      &gt;&gt;&gt; exe="/usr/lib/systemd/systemd" sauid=0 hostname=?

      addr=? terminal=?'<br>

      &gt;&gt;&gt; type=VIRT_RESOURCE msg=audit(1395412400.015:284):

      pid=6856 uid=0<br>

      &gt;&gt;&gt; auid=4294967295 ses=4294967295<br>

      &gt;&gt;&gt; subj=system_u:system_r:virtd_t:s0-s0:c0.c1023

      msg='virt=qemu resrc=mem<br>

      &gt;&gt;&gt; reason=start vm="mini"

      uuid=11111111-2890-2015-1f87-cbfa725b1dd3<br>

      &gt;&gt;&gt; old-mem=0 new-mem=1048576 exe="/usr/sbin/libvirtd"

      hostname=? addr=?<br>

      &gt;&gt;&gt; terminal=? res=success' type=VIRT_RESOURCE<br>

      &gt;&gt;&gt; msg=audit(1395412400.015:285): pid=6856 uid=0

      auid=4294967295<br>

      &gt;&gt;&gt; ses=4294967295

      subj=system_u:system_r:virtd_t:s0-s0:c0.c1023<br>

      &gt;&gt;&gt; msg='virt=qemu resrc=vcpu reason=start vm="mini"<br>

      &gt;&gt;&gt; uuid=11111111-2890-2015-1f87-cbfa725b1dd3 old-vcpu=0

      new-vcpu=1<br>

      &gt;&gt;&gt; exe="/usr/sbin/libvirtd" hostname=? addr=? terminal=?

      res=success'<br>

      &gt;&gt;&gt; type=VIRT_CONTROL msg=audit(1395412400.015:286):

      pid=6856 uid=0<br>

      &gt;&gt;&gt; auid=4294967295 ses=4294967295<br>

      &gt;&gt;&gt; subj=system_u:system_r:virtd_t:s0-s0:c0.c1023

      msg='virt=qemu op=start<br>

      &gt;&gt;&gt; reason=booted vm="mini"

      uuid=11111111-2890-2015-1f87-cbfa725b1dd3<br>

      &gt;&gt;&gt; vm-pid=-1 exe="/usr/sbin/libvirtd" hostname=? addr=?

      terminal=?<br>

      &gt;&gt;&gt; res=failed'<br>

      <br>

      &gt;&gt;&gt; I'm not overly familiar with SELinux. Is this a

      configuration issue?<br>

      &gt;&gt;&gt; Am I missing some policy packages or could this be an

      issue with the<br>

      &gt;&gt;&gt; cloud image?<br>

      <br>

      &gt;&gt;&gt; Works fine when I disable SELinux.<br>

      <br>

      &gt;&gt;&gt; Google found this, but it's old and apparently

      resolved:<br>

      &gt;&gt;&gt; <a class="moz-txt-link-freetext" href="https://bugzilla.redhat.com/show_bug.cgi?id=860235">https://bugzilla.redhat.com/show_bug.cgi?id=860235</a><br>

      <br>

      &gt;&gt;&gt; Thanks ...Juerg<br>

      <br>

      <br>

      <br>

      &gt;&gt;&gt; _______________________________________________ cloud

      mailing list<br>

      &gt;&gt;&gt; <a class="moz-txt-link-abbreviated" href="mailto:cloud@lists.fedoraproject.org">cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>

      &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>&gt;<br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a><br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>&gt;&gt;<br>

      &gt;&gt;&gt;

      <a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/cloud">https://admin.fedoraproject.org/mailman/listinfo/cloud</a> Fedora Code

      of<br>

      &gt;&gt;&gt; Conduct: <a class="moz-txt-link-freetext" href="http://fedoraproject.org/code-of-conduct">http://fedoraproject.org/code-of-conduct</a><br>

      <br>

      <br>

      &gt;&gt; There is no SELinux data that you posted.  I don't think

      your machine is<br>

      &gt;&gt; mislabeled.  Doing the /.autorelabel dance is a waste of

      time.<br>

      <br>

      &gt;&gt; ausearch -m avc,user_avc -ts recent<br>

      <br>

      &gt;&gt; After you have the problem, to see if SELinux posted any

      error messages.<br>

      <br>

      &gt;&gt; If there are no messages then try to turn off dontaudit

      rules.<br>

      <br>

      &gt;&gt; semodule -DB Run your test ausearch -m avc,user_avc -ts

      recent<br>

      <br>

      &gt;&gt;&gt;&gt;<br>

      &gt;&gt;&gt;&gt; This is all I get:<br>

      &gt;&gt;&gt;&gt;<br>

      &gt;&gt;&gt;&gt; time-&gt;Mon Mar 24 10:21:18 2014 type=USER_AVC<br>

      &gt;&gt;&gt;&gt; msg=audit(1395656478.686:22577): pid=1 uid=0

      auid=4294967295<br>

      &gt;&gt;&gt; ses=4294967295  subj=system_u:system_r:init_t:s0

      msg='avc:  denied  {<br>

      &gt;&gt;&gt; start } for auid=-1 uid=-1 gid=-1

      scontext=system_u:system_r:init_t:s0<br>

      &gt;&gt;&gt; tcontext=system_u:system_r:init_t:s0 tclass=service<br>

      &gt;&gt;&gt; exe="/usr/lib/systemd/systemd" sauid=0 hostname=?

      addr=? terminal=?'<br>

      <br>

      <br>

      &gt;&gt;&gt; And all of 'ausearch -ts':<br>

      <br>

      &gt;&gt;&gt; time-&gt;Mon Mar 24 10:26:21 2014

      type=VIRT_MACHINE_ID<br>

      &gt;&gt;&gt; msg=audit(1395656781.041:22605): pid=529 uid=0

      auid=4294967295<br>

      &gt;&gt;&gt; ses=4294967295 

      subj=system_u:system_r:virtd_t:s0-s0:c0.c1023<br>

      &gt;&gt;&gt; msg='virt=qemu vm="mini"

      uuid=11111111-2890-2015-1f87-cbfa725b1dd3<br>

      &gt;&gt;&gt; vm-ctx=system_u:system_r:svirt_tcg_t:s0:c135,c495<br>

      &gt;&gt;&gt; img-ctx=system_u:object_r:svirt_image_t:s0:c135,c495

      model=selinux<br>

      &gt;&gt;&gt; exe="/usr/sbin/libvirtd" hostname=? addr=? terminal=?

      res=success'<br>

      &gt;&gt;&gt; ---- time-&gt;Mon Mar 24 10:26:21 2014

      type=VIRT_MACHINE_ID<br>

      &gt;&gt;&gt; msg=audit(1395656781.041:22606): pid=529 uid=0

      auid=4294967295<br>

      &gt;&gt;&gt; ses=4294967295 

      subj=system_u:system_r:virtd_t:s0-s0:c0.c1023<br>

      &gt;&gt;&gt; msg='virt=qemu vm="mini"

      uuid=11111111-2890-2015-1f87-cbfa725b1dd3<br>

      &gt;&gt;&gt; vm-ctx=107:107 img-ctx=107:107 model=dac

      exe="/usr/sbin/libvirtd"<br>

      &gt;&gt;&gt; hostname=? addr=? terminal=? res=success' ----

      time-&gt;Mon Mar 24<br>

      &gt;&gt;&gt; 10:26:21 2014 type=USER_AVC

      msg=audit(1395656781.044:22607): pid=1<br>

      &gt;&gt;&gt; uid=0 auid=4294967295 ses=4294967295 

      subj=system_u:system_r:init_t:s0<br>

      &gt;&gt;&gt; msg='avc:  denied  { start } for auid=-1 uid=-1

      gid=-1<br>

      &gt;&gt;&gt; scontext=system_u:system_r:init_t:s0<br>

      &gt;&gt;&gt; tcontext=system_u:system_r:init_t:s0 tclass=service<br>

      &gt;&gt;&gt; exe="/usr/lib/systemd/systemd" sauid=0 hostname=?

      addr=? terminal=?'<br>

      &gt;&gt;&gt; ---- time-&gt;Mon Mar 24 10:26:21 2014

      type=VIRT_RESOURCE<br>

      &gt;&gt;&gt; msg=audit(1395656781.285:22608): pid=529 uid=0

      auid=4294967295<br>

      &gt;&gt;&gt; ses=4294967295 

      subj=system_u:system_r:virtd_t:s0-s0:c0.c1023<br>

      &gt;&gt;&gt; msg='virt=qemu resrc=mem reason=start vm="mini"<br>

      &gt;&gt;&gt; uuid=11111111-2890-2015-1f87-cbfa725b1dd3 old-mem=0

      new-mem=1048576<br>

      &gt;&gt;&gt; exe="/usr/sbin/libvirtd" hostname=? addr=? terminal=?

      res=success'<br>

      &gt;&gt;&gt; ---- time-&gt;Mon Mar 24 10:26:21 2014

      type=VIRT_RESOURCE<br>

      &gt;&gt;&gt; msg=audit(1395656781.285:22609): pid=529 uid=0

      auid=4294967295<br>

      &gt;&gt;&gt; ses=4294967295 

      subj=system_u:system_r:virtd_t:s0-s0:c0.c1023<br>

      &gt;&gt;&gt; msg='virt=qemu resrc=vcpu reason=start vm="mini"<br>

      &gt;&gt;&gt; uuid=11111111-2890-2015-1f87-cbfa725b1dd3 old-vcpu=0

      new-vcpu=1<br>

      &gt;&gt;&gt; exe="/usr/sbin/libvirtd" hostname=? addr=? terminal=?

      res=success'<br>

      &gt;&gt;&gt; ---- time-&gt;Mon Mar 24 10:26:21 2014

      type=VIRT_CONTROL<br>

      &gt;&gt;&gt; msg=audit(1395656781.286:22610): pid=529 uid=0

      auid=4294967295<br>

      &gt;&gt;&gt; ses=4294967295 

      subj=system_u:system_r:virtd_t:s0-s0:c0.c1023<br>

      &gt;&gt;&gt; msg='virt=qemu op=start reason=booted vm="mini"<br>

      &gt;&gt;&gt; uuid=11111111-2890-2015-1f87-cbfa725b1dd3 vm-pid=-1<br>

      &gt;&gt;&gt; exe="/usr/sbin/libvirtd" hostname=? addr=? terminal=?

      res=failed'<br>

      <br>

      <br>

      &gt;&gt;&gt;&gt;<br>

      &gt;&gt;&gt;&gt;<br>

      &gt;&gt;&gt;&gt;<br>

      &gt;&gt; And look for messages about virt.<br>

      <br>

      &gt;&gt; This will turn dontaudit rules back on. semodule -B<br>

      <br>

      <br>

      &gt;&gt;&gt;&gt; _______________________________________________

      cloud mailing list<br>

      &gt;&gt;&gt;&gt; <a class="moz-txt-link-abbreviated" href="mailto:cloud@lists.fedoraproject.org">cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>

      &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>&gt;<br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a><br>

      &gt;&gt; &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>&gt;&gt;<br>

      &gt;&gt;&gt;&gt;

      <a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/cloud">https://admin.fedoraproject.org/mailman/listinfo/cloud</a> Fedora Code<br>

      &gt;&gt;&gt;&gt; of Conduct:

      <a class="moz-txt-link-freetext" href="http://fedoraproject.org/code-of-conduct">http://fedoraproject.org/code-of-conduct</a><br>

      <br>

      <br>

      <br>

      &gt;&gt; _______________________________________________ cloud

      mailing list<br>

      &gt;&gt; <a class="moz-txt-link-abbreviated" href="mailto:cloud@lists.fedoraproject.org">cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>

      &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>&gt;<br>

      &gt;&gt; <a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/cloud">https://admin.fedoraproject.org/mailman/listinfo/cloud</a>

      Fedora Code of<br>

      &gt;&gt; Conduct: <a class="moz-txt-link-freetext" href="http://fedoraproject.org/code-of-conduct">http://fedoraproject.org/code-of-conduct</a><br>

      <br>

      <br>

      &gt; That AVC does not seem to be related. What AVC's did you see

      when you<br>

      &gt; disabled the dontaudit rules.<br>

      <br>

      <br>

      &gt;&gt; There's only one (the last one) with enabled and disabled

      dontaudit<br>

      &gt;&gt; rules:<br>

      <br>

      &gt;&gt; [root@fedora-20 ~]# semodule -DB ; date ; virsh create

      mini.xml ;<br>

      &gt;&gt; ausearch -m avc,user_avc -ts recent | tail -n 9 Mon Mar

      24 12:44:17 UTC<br>

      &gt;&gt; 2014 error: Failed to create domain from mini.xml error:

      Input/output<br>

      &gt;&gt; error<br>

      <br>

      &gt;&gt; ---- time-&gt;Mon Mar 24 12:42:29 2014 type=USER_AVC<br>

      &gt;&gt; msg=audit(1395664949.793:23448): pid=1 uid=0

      auid=4294967295<br>

      &gt;&gt; ses=4294967295  subj=system_u:system_r:init_t:s0

      msg='avc:  denied  {<br>

      &gt;&gt; start } for auid=-1 uid=-1 gid=-1

      scontext=system_u:system_r:init_t:s0<br>

      &gt;&gt; tcontext=system_u:system_r:init_t:s0 tclass=service<br>

      &gt;&gt; exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=?

      terminal=?'<br>

      &gt;&gt; ---- time-&gt;Mon Mar 24 12:44:17 2014 type=USER_AVC<br>

      &gt;&gt; msg=audit(1395665057.999:23463): pid=1 uid=0

      auid=4294967295<br>

      &gt;&gt; ses=4294967295  subj=system_u:system_r:init_t:s0

      msg='avc:  received<br>

      &gt;&gt; policyload notice (seqno=5) 

      exe="/usr/lib/systemd/systemd" sauid=0<br>

      &gt;&gt; hostname=? addr=? terminal=?' ---- time-&gt;Mon Mar 24

      12:44:18 2014<br>

      &gt;&gt; type=USER_AVC msg=audit(1395665058.000:23464): pid=1

      uid=0<br>

      &gt;&gt; auid=4294967295 ses=4294967295 

      subj=system_u:system_r:init_t:s0<br>

      &gt;&gt; msg='avc:  denied  { start } for auid=-1 uid=-1 gid=-1<br>

      &gt;&gt; scontext=system_u:system_r:init_t:s0

      tcontext=system_u:system_r:init_t:s0<br>

      &gt;&gt; tclass=service exe="/usr/lib/systemd/systemd" sauid=0

      hostname=? addr=?<br>

      &gt;&gt; terminal=?'<br>

      <br>

      <br>

      <br>

      <br>

      &gt;&gt; _______________________________________________ cloud

      mailing list<br>

      &gt;&gt; <a class="moz-txt-link-abbreviated" href="mailto:cloud@lists.fedoraproject.org">cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>

      &lt;<a class="moz-txt-link-freetext" href="mailto:cloud@lists.fedoraproject.org">mailto:cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a>&gt;<br>

      &gt;&gt; <a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/cloud">https://admin.fedoraproject.org/mailman/listinfo/cloud</a>

      Fedora Code of<br>

      &gt;&gt; Conduct: <a class="moz-txt-link-freetext" href="http://fedoraproject.org/code-of-conduct">http://fedoraproject.org/code-of-conduct</a><br>

      <br>

      <br>

      <br>

      &gt; _______________________________________________ cloud mailing

      list<br>

      &gt; <a class="moz-txt-link-abbreviated" href="mailto:cloud@lists.fedoraproject.org">cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a><br>

      &gt; <a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/cloud">https://admin.fedoraproject.org/mailman/listinfo/cloud</a> Fedora

      Code of<br>

      &gt; Conduct: <a class="moz-txt-link-freetext" href="http://fedoraproject.org/code-of-conduct">http://fedoraproject.org/code-of-conduct</a><br>

      <br>

      If you successfully disabled dontaudit rules, you shouldbe seeing

      a lot more<br>

      messages.<br>

      <br>

      &gt; How do I check that? I issued 'semodule -DB', it took a while

      to run but didn't return any error.<br>

      &gt; Just tried the whole sequence again but all I get is the one

      USER_AVC message.<br>

      <br>

      &gt; What am I missing?<br>

      <br>

      <br>

      <br>

      <br>

    </blockquote>

    <span style="white-space: pre;">&gt; &gt;

      _______________________________________________<br>

      &gt; &gt; cloud mailing list<br>

      &gt; &gt; <a class="moz-txt-link-abbreviated" href="mailto:cloud@lists.fedoraproject.org">cloud@lists.fedoraproject.org</a>

      <a class="moz-txt-link-rfc2396E" href="mailto:cloud@lists.fedoraproject.org">&lt;mailto:cloud@lists.fedoraproject.org&gt;</a><br>

      &gt; &gt; <a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/cloud">https://admin.fedoraproject.org/mailman/listinfo/cloud</a><br>

      &gt; &gt; Fedora Code of Conduct:

      <a class="moz-txt-link-freetext" href="http://fedoraproject.org/code-of-conduct">http://fedoraproject.org/code-of-conduct</a><br>

      &gt;<br>

      &gt;<br>

      &gt;<br>

      &gt; _______________________________________________<br>

      &gt; cloud mailing list<br>

      &gt; <a class="moz-txt-link-abbreviated" href="mailto:cloud@lists.fedoraproject.org">cloud@lists.fedoraproject.org</a><br>

      &gt; <a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/cloud">https://admin.fedoraproject.org/mailman/listinfo/cloud</a><br>

      &gt; Fedora Code of Conduct:

      <a class="moz-txt-link-freetext" href="http://fedoraproject.org/code-of-conduct">http://fedoraproject.org/code-of-conduct</a></span><br>

    <br>

    <br>

  </body>

</html>