Se você usar ausearch -i
, o -i
"interpretará" os syscalls para que eles sejam mais úteis para as pessoas. Syscall 9 é "mmap", o que faz sentido com base na negação execmem (o que parece acontecer quando o SELinux impede que um processo crie uma região de memória gravável ou executável). É uma boa ideia parar isso - mas, se for absolutamente necessário ativá-lo, defina o allow_execstack
booleano como verdadeiro.
O initrc_t
é o destino do usuário em execução, não o arquivo que está sendo executado. Parece que a mensagem de auditoria como o Firefox pode estar sendo iniciado a partir de um script de inicialização aqui (baseado no initrc_t, o UID de auditoria sendo -1
- AKA "não inicializado" e não havendo TTY).
Eu assumo que este problema já foi resolvido, provavelmente pelo SELinux sendo desativado; parece que as pessoas geralmente consertam problemas estranhos do SELinux. :) Mas aqui está uma resposta para começar a próxima pessoa de qualquer maneira.