SELinux가 /opt/google/chrome/chrome-sandbox의 쓰기 액세스를 차단하는 파일은 무엇입니까?

tag-icon tag-icon fedora chrome selinux
SELinux가 /opt/google/chrome/chrome-sandbox의 쓰기 액세스를 차단하는 파일은 무엇입니까?

Chrome으로 업그레이드한 이후로 다음 오류가 계속 발생합니다 google-chrome-stable-42.0.2311.90-1.x86_64.

SELinux가 /opt/google/chrome/chrome-sandbox 파일에 대한 쓰기 액세스를 차단하고 있습니다.

맞춤 플러그인을 설치하지 않았거나 Chrome 설정을 수정하지 않았습니다. Google에서 다양한 검색오류 보고서는 버그가 아닌 것으로 간주되어 닫힙니다.및 맞춤 정책을 적용하여 SELinux를 우회하는 방법에 대한 지침을 제공합니다.

SELinux 문제 해결사는 다음을 제안합니다.

SELinux is preventing /opt/google/chrome/chrome-sandbox from write access on the file .

*****  Plugin chrome (98.5 confidence) suggests   ****************************

If you want to use the plugin package
Then you must turn off SELinux controls on the Chrome plugins.
Do
# setsebool -P unconfined_chrome_sandbox_transition 0

*****  Plugin catchall (2.46 confidence) suggests   **************************

If you believe that chrome-sandbox should be allowed write access on the  file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep chrome-sandbox /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp


Additional Information:
Source Context                unconfined_u:unconfined_r:chrome_sandbox_t:s0-s0:c
                              0.c1023
Target Context                unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1
                              023
Target Objects                 [ file ]
Source                        chrome-sandbox
Source Path                   /opt/google/chrome/chrome-sandbox
Port                          <Unknown>
Host                          fqdn
Source RPM Packages           google-chrome-stable-42.0.2311.90-1.x86_64
Target RPM Packages           
Policy RPM                    selinux-policy-3.12.1-197.fc20.noarch
Selinux Enabled               True
Policy Type                   targeted
Enforcing Mode                Enforcing
Host Name                     fqdn
Platform                      Linux fqdn 3.19.4-100.fc20.x86_64 #1 SMP
                              Mon Apr 13 21:46:59 UTC 2015 x86_64 x86_64
Alert Count                   68
First Seen                    2015-04-25 18:15:53
Last Seen                     2015-04-30 20:51:59
Local ID                      ab14f

Raw Audit Messages
type=AVC msg=audit(123.456:300): avc:  denied  { write } for  pid=3642 comm="chrome-sandbox" name="oom_adj" dev="proc" ino=52951 scontext=unconfined_u:unconfined_r:chrome_sandbox_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=file permissive=0


type=SYSCALL msg=audit(123.456:300): arch=x86_64 syscall=openat success=no exit=EACCES a0=3 a1=402138 a2=1 a3=0 items=0 ppid=3480 pid=3642 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=(none) ses=1 comm=chrome-sandbox exe=/opt/google/chrome/chrome-sandbox subj=unconfined_u:unconfined_r:chrome_sandbox_t:s0-s0:c0.c1023 key=(null)

Hash: chrome-sandbox,chrome_sandbox_t,unconfined_t,file,write

Chrome 플러그인에서 SELinux 컨트롤을 끄라는 제안에 동의하지 않습니다. 또한 파일에 대한 쓰기 액세스가 무엇을 의미하는지 모르겠습니다 .. chrome-sandbox의 현재 폴더인가요? inode를 검색해 보았지만 52591파일을 찾을 수 없습니다.

문제가 무엇인지, 해결 방법을 설명해 줄 수 있는 사람이 있나요?

답변1

Chromium/Chrome에서의 회귀입니다(이전에 수정된 버그가 다시 나타남). 구글 개발자들은 이를 고치기 위해 서두르지 않는 것 같고 심지어 자신들의 실수라고 인정하기도 합니다(한숨).

현재 오류 ID:https://code.google.com/p/chromium/issues/detail?id=477329

원래 종료된 오류:https://code.google.com/p/chromium/issues/detail?id=41853

답변2

$ grep chrome /var/log/audit/audit.log | audit2allow -M mypol
$ semodule -i mypol.pp

관련 정보