Bug 814183

Summary: O SELinux está impedindo o acesso a /opt/google/chrome/chrome "shutdown"
Product: [Fedora] Fedora Reporter: Manoel Messias <m355yas>
Component: selinux-policyAssignee: Miroslav Grepl <mgrepl>
Status: CLOSED WONTFIX QA Contact: Fedora Extras Quality Assurance <extras-qa>
Severity: medium Docs Contact:
Priority: unspecified    
Version: 13CC: dominick.grift, dwalsh, epper.sangita, itsoft.umesh, m355yas, mgrepl
Target Milestone: ---   
Target Release: ---   
Hardware: i386   
OS: Linux   
Whiteboard: setroubleshoot_trace_hash:4af695248dbe520995b7eeca906eb68e0971bc933f11b75f4ddc508fd556ea70
Fixed In Version: Doc Type: Bug Fix
Doc Text:
Story Points: ---
Clone Of: Environment:
Last Closed: 2012-04-19 17:47:50 UTC Type: ---
Regression: --- Mount Type: ---
Documentation: --- CRM:
Verified Versions: Category: ---
oVirt Team: --- RHEL 7.3 requirements from Atomic Host:
Cloudforms Team: --- Target Upstream Version:

Description Manoel Messias 2012-04-19 10:57:14 UTC 
Sumário:

O SELinux está impedindo o acesso a /opt/google/chrome/chrome "shutdown"

Descrição detalhada:

O SELinux impediu o acesso requisitado pelo Chrome_ChildIOT. Não é comum que
este acesso seja requisitado pelo Chrome_ChildIOT e isto pode indicar uma
tentativa de intrusão. Também é possível que a versão ou configuração
específicas do aplicativo estejam fazendo com que o mesmo requisite o acesso
adicio

Permitindo acesso:

Você pode gerar um módulo de política local para permitir este acesso - veja
o FAQ (http://docs.fedoraproject.org/selinux-faq-fc5/#id2961385) Por favor,
registre um relatório de erro.

Informações adicionais:

Contexto de origem            unconfined_u:unconfined_r:chrome_sandbox_t:s0-s0:c
                              0.c1023
Contexto de destino           unconfined_u:unconfined_r:unconfined_execmem_t:s0-
                              s0:c0.c1023
Objetos de destino            None [ unix_stream_socket ]
Origem                        Chrome_ChildIOT
Caminho da origem             /opt/google/chrome/chrome
Porta                         <Desconhecido>
Máquina                      (removido)
Pacotes RPM de origem         google-chrome-stable-18.0.1025.162-131933
Pacotes RPM de destino        
RPM da política              selinux-policy-3.7.19-101.fc13
Selinux habilitado            True
Tipo de política             targeted
Modo reforçado               Enforcing
Nome do plugin                catchall
Nome da máquina              (removido)
Plataforma                    Linux (removido) 2.6.33.3-85.fc13.i686 #1 SMP Thu May
                              6 18:44:12 UTC 2010 i686 i686
Contador de alertas           54
Visto pela primeira vez em    Ter 17 Abr 2012 02:47:57 BRT
Visto pela última vez em     Qui 19 Abr 2012 07:46:03 BRT
ID local                      ced290fb-304f-4742-91c1-5b2f5f505b18
Números de linha             

Mensagens de auditoria não p 

node=(removido) type=AVC msg=audit(1334832363.235:23): avc:  denied  { shutdown } for  pid=1947 comm="Chrome_ChildIOT" scontext=unconfined_u:unconfined_r:chrome_sandbox_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_execmem_t:s0-s0:c0.c1023 tclass=unix_stream_socket

node=(removido) type=SYSCALL msg=audit(1334832363.235:23): arch=40000003 syscall=102 success=no exit=-13 a0=d a1=b3834dd0 a2=b78e2ff4 a3=b825e528 items=0 ppid=2 pid=1947 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=(none) ses=1 comm="Chrome_ChildIOT" exe="/opt/google/chrome/chrome" subj=unconfined_u:unconfined_r:chrome_sandbox_t:s0-s0:c0.c1023 key=(null)



Hash String generated from  catchall,Chrome_ChildIOT,chrome_sandbox_t,unconfined_execmem_t,unix_stream_socket,shutdown
audit2allow suggests:

#============= chrome_sandbox_t ==============
allow chrome_sandbox_t unconfined_execmem_t:unix_stream_socket shutdown;
Comment 1 Daniel Walsh 2012-04-19 17:47:50 UTC 
Please update to a supported Fedora.