方法是很早前从别处摘抄整理得到的,现在已经不记得转载地址,望原作者见谅。
查看日志/var/log/audit/audit.log,发现其中有一条如下所示
type=AVC msg=audit(1341590269.564:31): avc: denied { execute } for pid=2568 comm="chrome" name="nacl_helper_bootstrap" dev=dm-0 ino=3407999 scontext=unconfined_u:unconfined_r:chrome_sandbox_t:s0-s0:c0.c1023 tcontext=system_u:object_r:usr_t:s0 tclass=file
说明chrome的chrome_sandbox_t类型无法对nacl_helper_bootstrap的usr_t类型进行execute操作,固需要进行修改
运行
sesearch --allow -s chrome_sandbox_t | grep -i execute
其结果中有一条
allow chrome_sandbox_t bin_t : file { ioctl read getattr lock execute execute_no_trans open } ;
即chrome_sandbox_t可以对bin_t进行execute操作,固将nacl_helper_bootstrap的类型修改为bin_t
修改过程如下
semanage fcontext -a -t bin_t /opt/google/chrome/nacl_helper_bootstrap
restorecon -v /opt/google/chrome/nacl_helper_bootstrap
semanage fcontext -a -t bin_t /opt/google/chrome/nacl_helper
restorecon -v /opt/google/chrome/nacl_helper
注:使用
rpm -q --whatprovides /usr/sbin/selinuxenabled
可以查看哪个软件包提供的这个程序
yum provides /usr/sbin/semanage
可以安装所需软件
Selinux阻止Chrome的问题
最新推荐文章于 2022-03-08 21:09:38 发布