Fedora Users Forum

daydreamerと申します。宜しくお願いします。
（昨晩投稿しましたが、全面的に修正すべきところが出てきたので、前記事を削除後の再投稿です）

　Fedora10をデスクトップPCにインストールしました。
　
　プリンタには「Canon Satera LBP5300」を使おうと、USB接続で試みています。
　ドライバのインストール等はスムーズにいったのですが、テストページを印刷しようとすると、SELinuxで「AVC拒否、アイコンをクリックして表示」と表示されて、印刷出来ません。
　上述のプリンタはVine Linux 4.2、WindowsXPでも使用していますが、上記のようなエラーは出ず、問題なく印刷出来ています。

　Fedora10でプリンタにテストページの印刷を命じたとき、SELinuxのAVC拒否で表示されるメッセージは三種類ありました。

一つ目のメッセージは以下の通りです（プリンタを登録して再起動する前）。

要約SELinux is preventing ccp (cupsd_t) "write" var_t.
詳細説明SELinux denied access requested by ccp. It is not expected that this access is required by ccp and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access.
アクセスを許可You can generate a local policy module to allow this access - see FAQ Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report against this package.
追加情報ソースコンテキスト: unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023
ターゲットコンテキスト: unconfined_u:object_r:var_t:s0
ターゲットオブジェクト: fifo0 [ fifo_file ]
ソース: ccp
ソースパス: /usr/lib/cups/backend/ccp
ポート: <不明>
ホスト: localhost.localdomain
ソース RPM パッケージ: cndrvcups-capt-1.80-1
ターゲット RPM パッケージ: ポリシー RPM: selinux-policy-3.5.13-48.fc10
Selinux 有効化: True
ポリシータイプ: targeted
MLS 有効化: True
強制モード: Enforcing
プラグイン名: catchall
ホスト名: localhost.localdomain
プラットフォーム: Linux localhost.localdomain 2.6.27.19-170.2.35.fc10.i686 #1 SMP Mon Feb 23 13:21:22 EST 2009 i686 i686通知カウント: 1
最初の画面: 2009年03月20日 08時19分54秒
最後の画面: 2009年03月20日 08時29分33秒
ローカル ID: 695a73ee-786c-466a-b673-50a33dd97e3d
行番号:
生の監査メッセージ :node=localhost.localdomain type=AVC msg=audit(1237505373.995:98): avc: denied { write } for pid=16796 comm="ccp" name="fifo0" dev=dm-0 ino=8282262 scontext=unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:var_t:s0 tclass=fifo_file node=localhost.localdomain type=SYSCALL msg=audit(1237505373.995:98): arch=40000003 syscall=5 per=400000 success=no exit=-13 a0=bf9ab820 a1=81 a2=3ff a3=bf9ab820 items=0 ppid=16509 pid=16796 auid=5003 uid=4 gid=7 euid=4 suid=4 fsuid=4 egid=7 sgid=7 fsgid=7 tty=(none) ses=1 comm="ccp" exe="/usr/lib/cups/backend/ccp" subj=unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023 key=(null)


二つ目のメッセージは以下の通りです（プリンタを登録して再起動する前）。

要約SELinux is preventing gs (cupsd_t) "execstack" cupsd_t.
詳細説明SELinux denied access requested by gs. It is not expected that this access is required by gs and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access.
アクセスを許可You can generate a local policy module to allow this access - see FAQ Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report against this package.
追加情報
ソースコンテキスト: unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023
ターゲットコンテキスト: unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023
ターゲットオブジェクト: None [ process ]
ソース: gs
ソースパス: /usr/bin/gs
ポート: <不明>
ホスト: localhost.localdomain
ソース RPM パッケージ: ghostscript-8.63-4.fc10
ターゲット RPM パッケージ: ポリシー RPM: selinux-policy-3.5.13-48.fc10
Selinux 有効化: True
ポリシータイプ: targeted
MLS 有効化: True
強制モード: Enforcing
プラグイン名: catchall
ホスト名: localhost.localdomain
プラットフォーム: Linux localhost.localdomain 2.6.27.19-170.2.35.fc10.i686 #1 SMP Mon Feb 23 13:21:22 EST 2009 i686 i686
通知カウント: 2
最初の画面: 2009年03月20日 08時19分55秒
最後の画面: 2009年03月20日 08時29分34秒
ローカル ID: fd72d7ee-5b39-41e9-8f83-d2cea7afe63c
行番号:
生の監査メッセージ :node=localhost.localdomain type=AVC msg=audit(1237505374.47:99): avc: denied { execstack } for pid=16795 comm="gs" scontext=unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023 tcontext=unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023 tclass=process node=localhost.localdomain type=SYSCALL msg=audit(1237505374.47:99): arch=40000003 syscall=125 per=400000 success=no exit=-13 a0=bfb12000 a1=1000 a2=1000007 a3=fffff000 items=0 ppid=16794 pid=16795 auid=5003 uid=4 gid=7 euid=4 suid=4 fsuid=4 egid=7 sgid=7 fsgid=7 tty=(none) ses=1 comm="gs" exe="/usr/bin/gs" subj=unconfined_u:system_r:cupsd_t:s0-s0:c0.c1023 key=(null)


三つ目のメッセージは以下の通りです（プリンタを登録して再起動した後）。

要約SELinux is preventing gs (cupsd_t) "execstack" cupsd_t.
詳細説明SELinux denied access requested by gs. It is not expected that this access is required by gs and this access may signal an intrusion attempt. It is also possible that the specific version or configuration of the application is causing it to require additional access.
アクセスを許可You can generate a local policy module to allow this access - see FAQ Or you can disable SELinux protection altogether. Disabling SELinux protection is not recommended. Please file a bug report against this package.
追加情報
ソースコンテキスト: system_u:system_r:cupsd_t:s0-s0:c0.c1023
ターゲットコンテキスト: system_u:system_r:cupsd_t:s0-s0:c0.c1023
ターゲットオブジェクト: None [ process ]
ソース: gs
ソースパス: /usr/bin/gs
ポート: <不明>ホスト: localhost.localdomain
ソース RPM パッケージ: ghostscript-8.63-4.fc10
ターゲット RPM パッケージ:
ポリシー RPM: selinux-policy-3.5.13-48.fc10
Selinux 有効化: True
ポリシータイプ: targeted
MLS 有効化: True
強制モード: Enforcing
プラグイン名: catchall
ホスト名: localhost.localdomain
プラットフォーム: Linux localhost.localdomain 2.6.27.19-170.2.35.fc10.i686 #1 SMP Mon Feb 23 13:21:22 EST 2009 i686 i686
通知カウント: 8
最初の画面: 2009年03月20日 09時10分00秒
最後の画面: 2009年03月20日 11時44分16秒
ローカル ID: 4a20013b-4101-4546-9da1-397ee8305309
行番号:
生の監査メッセージ :node=localhost.localdomain type=AVC msg=audit(1237517056.715:90): avc: denied { execstack } for pid=4808 comm="gs" scontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tcontext=system_u:system_r:cupsd_t:s0-s0:c0.c1023 tclass=process node=localhost.localdomain type=SYSCALL msg=audit(1237517056.715:90): arch=40000003 syscall=125 per=400000 success=no exit=-13 a0=bf981000 a1=1000 a2=1000007 a3=fffff000 items=0 ppid=4806 pid=4808 auid=4294967295 uid=4 gid=7 euid=4 suid=4 fsuid=4 egid=7 sgid=7 fsgid=7 tty=(none) ses=4294967295 comm="gs" exe="/usr/bin/gs" subj=system_u:system_r:cupsd_t:s0-s0:c0.c1023 key=(null)


三つのメッセージに載っていたFAQのURLは以下の通りです。
http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385

FAQに載っていた方法のうち、
audit2allow -M local < /tmp/avcs
をスーパーユーザー権限で実行しましたが、
bash: /tmp/avcs: そのようなファイルやディレクトリはありません
と表示されました。

次に書いてあった
audit2allow -m local -l -i /var/log/messages > local.te
というのも行いましたが、エラーメッセージ等は出ませんでした。


lprコマンドを使って印刷しようとしても、やはりSELinuxが反応してダメでした。
そこでSELinuxを無効化してリブートすることもやってみたのですが、テストページの印刷を指示しても「ジョブ保留中」と表示されて結局印刷されませんでした。

SELinuxを無効化した方法は、以下の通りです。

１.　/etc/selinux/configをviコマンドで開く。

２．6行目を以下の通りに書き直す。
（書き直す前）
SELINUX=enforcing
（書き直した後）
SELINUX=disabled

　印刷に失敗した後、SELinuxを再び有効にしました(enforcing)。

　作業に使用したマシンのスペックは以下の通りです。

DELL Dimension 9150C
# CPU: デュアルdコア PentiumD 930 (3.0GHz x2、L2= 2MB x2、FSB 800MHz)
# チップセット：Intel i945P/G Express Chipset (ECC disabled)
# メモリ：2048MB デュアルチャンネル DDR2-SDRAM (1GB x2). SUMSUNG製 1GB
PC2-4200U-444-12-E3 CN M378T2953CZ3-CD5 0551
# HDD：500GB (250GB ×2) SATA. 型式WD2500JS

　モニターは以下を使用しました。

Dell 1701FP
# モデル番号：1701FP
# 画面様式：Active matrix - TFT LCD.
# 画面サイズ：17インチ.
# 入力端子：ミニD-Sub15ピン(アナログ)/DVI-D(デジタル)
# 信号ケーブル：デジタル(D-Sub)/アナログ(DVI-D)両用.
# 最高解像度： 75Hzで1280 x 1024 / 60 Hz で 1600 x 1200.　

　当方、SELinuxについては、ほとんど理解していません。

何かアドバイスがありましたら、どんな些細なことでも構いませんので、教えてください。
宜しくお願いいたします。

daydreamer

mixiとどっちに書こうか悩みましたが、こっちの方がオープンということでこちらで回答します。

Canonの場合ですが、おそらく手順としては同じだろうと思いますので転載します。

私は特になにもせずでプリンタは使えたので、こちらの方法を試したことはありません＾＾；
的外れなことを言ってたらごめんなさい。

＞code_air_edgeさん

　daydreamerです。
　初めまして。アドバイスありがとうございます。

2) 対象プリンタへ印刷を行う



が上手くいきませんでした。ジョブは「処理中」のままで、印刷できません。　
　
3) 以降はまだ試していません。

　その他、気になる症状が一つあります。混乱するかも知れないので、上記の話
題とはひとまず切り離して考えてください。

[症状]
　OSを立ち上げた状態でプリンタ（電源ON）を繋ぐと、デスクトップ上パネルの
右側（SELinuxアイコンの左隣）にプリンタのマークが現れ、

「追加したプリンター
　'LBP5300'は印刷準備が出来ています」

　と通知される。

　その際、http://localhost:631/printers/　には以下のように表示されます。

LBP5300 (デフォルトプリンタ)
説明: Canon LBP5300
場所: localhost.localdomain
プリンタドライバ: Canon LBP5300 CAPT (JP)
プリンタの状態: 待機中, ジョブを受け付け中, 公開。
デバイス URI: usb://Canon/LBP5300

　この状態（※）で
　
　を実行しても、「処理中」と表示されるだけで、印刷できません。

　プリンタのUSBコネクタを抜くと、http://localhost:631/printers/　には以
下のように表示されます。
　
LBP5300 (デフォルトプリンタ) "Unplugged or turned off"
説明: Canon LBP5300
場所: localhost.localdomain
プリンタドライバ: Canon LBP5300 CAPT (JP)
プリンタの状態: 停止, ジョブを受け付け中, 公開。
デバイス URI: usb://Canon/LBP5300

　Vine Linux4.2にプリンタを追加する際には、現れなかった症状です。
　オンラインマニュアル「guide-capt-1.8xJ.tar.gz」には、Canonのドライバは
コマンドラインから設定する方法しか書いてありません。http://localhost:
631/ から登録できるか定かではありません。試しに※の状態で「プリンタの変
更」ボタンを押してみると、「LBP5300 のデバイス」に「Canon LBP5300 USB #1
(Canon LBP5300)」が追加されていました。

現在はhttp://localhost:631からプリンタを削除して、SELinuxをひとまず無効にしています（/etc/sysconfig/selinux をルート権限のテキストエディタで開き、SELINUX=permissive として、Linuxを再起動しました）。

　何かアドバイスがありましたら、どんな些細なことでも構いませんので、教えてください。
　宜しくお願いします。

すみません、私の言葉が足りていませんでした。
2）で印刷ができないのは正常です。印刷ができない状態を改善するための作業ですから＾＾；

要するに、あえて印刷しようとして、auditにブロックさせるんです。そうするとログが吐かれるので、そのログを元に設定ファイルを生成しましょう、という流れです。

と、言いますか、よく見てなかった私が悪いんですが、Canonのプリンタだったんですね＾＾；
件のプリンタの設定も全く同じことが書いてありました。ポリシーパッケージを生成してお試しくださいませ。
一応、私が先のコメントで書いた方法はEnforceモードで行うみたいです。Permissiveモードの場合は最初のコマンドの実行がいらないのかも知れません。

以上です。

>> code_air_edge さん

　お返事が大変遅くなって、申し訳ありません。その後、色々試してみました。
　まず教えていただいた方法では、上手くいきませんでした。

　以下のようにすると、条件付きですが印刷が可能になりました。

1) SELinux を Permissive に設定する

/etc/sysconfig/selinux をルート権限のテキストエディタで開き、
SELINUX=permissive
　
として、Linuxを再起動する。

2) /etc/rc.d/rc.localの最後に、以下を追記する。

----- ここから -----
# Variables
PNM="LBP5300"
PNA="LBP53002"
PPD="CNCUPSLBP5300CAPTJ.ppd"
URI="ccp:/var/ccpd/fifo0"
DEV="/dev/usb/lp0"

# Initialize
/usr/sbin/ccpdadmin -x ${PNM} > /dev/null 2>&1
/usr/sbin/lpadmin -x ${PNM} > /dev/null 2>&1
/usr/sbin/lpadmin -x ${PNA} > /dev/null 2>&1

# Reset Printer
/etc/init.d/cups restart > /dev/null 2>&1
/usr/sbin/lpadmin -p ${PNM} -m ${PPD} -v ${URI} -E > /dev/null 2>&1
/usr/sbin/lpadmin -d ${PNM} > /dev/null 2>&1
/usr/sbin/ccpdadmin -p ${PNM} -o ${DEV} > /dev/null 2>&1
/etc/init.d/ccpd restart > /dev/null 2>&1
----- ここまで -----

3) 以下のコマンドを実行する。




　上記の手順で、テストページの印刷が可能になりました。
　ただ、Linuxを再起動すると、印刷できなくなります。
　その際、

　を実行すると、また印刷できるようになりました。でもLinuxを再起動すると、また印刷できなくなります。この繰り返しです。

　印刷が必要になる度に

　を実行するのは、やや面倒です。何かもっと簡単な方法はないものか、と悩んでおります。
　それとSELinuxを現在無効化していますが、Linuxを再起動しても難なく印刷できるようになったら、再び有効に戻したいです。

　もし何かアドバイスがありましたら、些細なことでも構いませんので、ご教示願います。

Permissiveでないと印刷できないかどうかはちょっと分かりかねますが、気になることがあったのでお尋ねします。
（私はてっきりCUPSだけで完結すると思っていたのですが、このプリンタはccpdがCUPSをキックするのですね…）

/etc/init.d/ccpdはLinuxの起動時に自動起動しておりますか？
rc.localに追記なされている内容のうち、ほとんどがCUPSにプリンタを登録する内容です。

恐らくですが、それらの作業は一度実行すればCUPSには反映されているのではないかと思います。
で、ccpd（これはCanonの配布ドライバに含まれてるデーモン？）をrestartしているわけなんですが、そもそも起動してないんじゃないかなーとふと思ったり。


の結果で、「off」となっていたら起動するようにはなってません。あるいは、そもそもそこに出てこないのかも知れません。

ccpdでググったところ、
URL:
というのを見つけました。これの真ん中あたりに、

とあるので、これをそっくり真似したらいいんじゃないでしょうか。

SELinuxの方はまたこれとは別問題なのかなーと。私はSELinuxを無効にしているので、これはどなたかが答えてくれることを期待しませう。。。

>code_air_edge さん

　お返事ありがとうございます。

> /etc/init.d/ccpdはLinuxの起動時に自動起動しておりますか？

　はい。

>$ /sbin/chkconfig --list ccpd
>の結果で、「off」となっていたら起動するようにはなってません。あるいは、そもそもそこに出てこないのかも知れません。

　やってみましたところ、「on」になっていました。

　$ /sbin/chkconfig --list ccpd
ccpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off



>ccpdでググったところ、
>URL:
というのを見つけました。

　あー…。その質問スレッドを最初に立てたのは、私です。当方、Vine Linuxユーザーでもあります。vine-usersのMLに参加しています。当初はVine Linux 4.2とWindows XPでこのプリンタを使うことを想定していました。諸般の事情でFedora10も使いたくなった次第です。Canonのサイトによると、Fedora9では動作確認されているようなのですが、Fedora10については記載がありません。

http://cweb.canon.jp/drv-upd/lasershot/linux/captlinux.html

>これの真ん中あたりに、
>
>とあるので、これをそっくり真似したらいいんじゃないでしょうか。

　その方法は既にとりました。最初は、Vineと同じように設定すればFedora10でもプリンタは使えるだろう、と安易に考えておりました。しかし上手くいかなくなったので、Fedoraのフォーラムに参加して質問させていただくことにした次第です。

　なお、/etc/rc.d/rc.local への追記等は、自分で考えたものではありません。初心者なので、とても無理です。Fedoraに詳しい方に相談して、実施しました。その方のサイトのURLは以下の通りです。
・空想庭園（HN：御巫 悠 さま）
http://www.spherewind.com/

　その方からは、以下のように教えていただきました。「HALデーモンによる登録が時間的に若干遅れているのかもしれません。」

　そこで以下の方法を提示してくださいました。

--------------------- ここから、教えていただいた内容 -------------------------

/etc/rc.d/rc.localから追記した内容をすべて削除後、以下の内容を/etc/reset-printer.shとしてコピー＆ペーストする。

----- /etc/reset-printer.sh -----
#!/bin/sh

# Wait
sleep 5

# Variables
PNM="LBP5300"
PNA="LBP53002"
PPD="CNCUPSLBP5300CAPTJ.ppd"
URI="ccp:/var/ccpd/fifo0"
DEV="/dev/usb/lp0"

# Initialize
/etc/init.d/cups restart > /dev/null 2>&1
/etc/init.d/ccpd restart > /dev/null 2>&1
/usr/sbin/ccpdadmin -x ${PNM} > /dev/null 2>&1
/usr/sbin/lpadmin -x ${PNM} > /dev/null 2>&1
/usr/sbin/lpadmin -x ${PNA} > /dev/null 2>&1
sleep 1

# Reset Printer
/usr/sbin/lpadmin -p ${PNM} -m ${PPD} -v ${URI} -E > /dev/null 2>&1
/usr/sbin/lpadmin -d ${PNM} > /dev/null 2>&1
/usr/sbin/ccpdadmin -p ${PNM} -o ${DEV} > /dev/null 2>&1
/etc/init.d/ccpd restart > /dev/null 2>&1
----- End -----

実行権限を付加するので、次のコマンドを実行する。
# chmod 755 /etc/reset-printer.sh

最後に、このスクリプトを動かすように/etc/rc.d/rc.localの最後に記述する。
----- /etc/rc.d/rc.local -----
sh /etc/reset-printer.sh &
----- End -----

これでLinuxを再起動し、印刷を試してみる。

--------------------- ここまで、教えていただいた内容 -------------------------
　
　結果は、失敗でした。
　失敗しても、
# sh /etc/reset-printer.sh
　を実行すると、また印刷が可能になりました。ただ、Linuxを再起動してしまうと、また印刷できなくなります。そこでまた
# sh /etc/reset-printer.sh
　を実施して、印刷可能にします。再起動すると、また印刷できなくなります。その繰り返しです。

　何かアドバイスを思いつかれましたら、些細なことでも良いので、ご教示を宜しくお願い致します。

daydreamerです。

　二重投稿大変失礼しました。「Edit」ボタンを押してURLの部分を直していると、なぜか二重投稿になってしまいました。
　自分では、記事削除の仕方がわかりません。

　以上です。

削除しておきました。投稿した方は，記事の右下に×印が表示されると思いますので，それをクリックすれば削除できるはずです。

本題のプリンタの件はよくわかりませんので，code_air_edgeさんにおまかせしてしまっています。ご協力できなくて申し訳ありません。

あうあー、すみません、確かにVineの方も質問者のHNはdaydreamerさんですね…。
内容しか見てませんでしたOrz

大丈夫です（？）、私もよく分かってません＾＾；＞vine_userさん

さて、割と大事なことなのにずっと確認を忘れてしまってたんですが、Linux起動時、プリンタの電源って入ってるんでしょうか？ USB接続の場合、Linuxに認識されるのはプリンタの電源を入れた後のような…。
プリンタが違うのでなんとも言えませんが、私の環境では/dev/usb/lp0というデバイスはありません。今プリンタを接続していないからですが、CUPSに登録はされています。プリンタを接続し、電源を入れたらデバイスが認識されると記憶してます（ちょっと今は出社前なので試す時間がないです。帰宅後確認しておきます）。

ということで、
[quote=”daydreamer”]/usr/sbin/ccpdadmin -p ${PNM} -o ${DEV} > /dev/null 2>&1[/quote]
このコマンドが失敗してるんじゃないかなぁとか思ったり。

見当違いなことを言っていたらご容赦を＾＾；

#電源のON/OFFに関わらず、起動後にrc.localをキックするとプリンタが使えるということなら、（一応の）解決策は$HOME/.config/autostart/に適当なスクリプト書いてキックすればいいんですけれどね…。根本的な解決策じゃありませんが＾＾；