使用audit2allow工具来根据avc log生成selinux规则

最新推荐文章于 2024-05-07 13:37:44 发布
最新推荐文章于 2024-05-07 13:37:44 发布
阅读量1.2k 收藏 1
点赞数
文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanmengaidudu/article/details/128458957
版权
audit2allow是一个用于根据AVC权限错误日志自动生成SELinux规则的工具。通过adb logcat或dmesg收集日志,然后使用audit2allow从log.txt生成avc.te文件,添加所需权限。在使用过程中,可能会遇到需要指定策略文件路径的问题,可通过注释掉audit2allow源码中相关代码解决。
摘要由CSDN通过智能技术生成

audit2allow工具是google提供的一个原生的python脚本工具,可以根据avc权限错误log信息自动生成selinux规则。使用方法如下:
1、首先抓取设备启动的logcat或者dmesg log。因为这两部分log中有包含avc: denied相关的错误信息
$ adb logcat -b all > log.txt
或者
$ dmesg > log.txt
2、使用audit2allow生成selinux规则文件。audit2allow工具位于:external/selinux/prebuilts/bin/audit2allow。使用前先要初始化android环境,即需要source、lunch
$./external/selinux/prebuilts/bin/audit2allow -i log.txt > avc.te
这样就将log.txt文件中所有的avc:denied生成对应的规则到avc.te文件中,根据实际对应的te文件拷贝添加需要的权限即可。

【常见错误】:

1、在使用audit2allow -i log.txt > avc.te时,可能生成的avc.te文件中会提示“ You must specify the -p option with the path to the policy file ”信息。如下图:
在这里插入图片描述
【解决方案】:
注释掉external/selinux/python/audit2allow/audit2allow文件的以下4行代码:

最低0.47元/天 解锁文章
韩半仙
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
audit-log-plugin:基于Apache Log4j Audit的Jenkins审核日志记录插件
05-25
审核日志记录插件概述该插件提供了各种Jenkins事件的审核日志记录。 其中包括构建生命周期,节点生命周期,登录/注销,项目生命周期... 这些审核事件使用定义标准化的事件接口,并通过Apache Log4j2插件进行日志记录。
使用 audit2allow 工具添加SELinux权限的方法
最新发布
netwalk的专栏
06-26 913
audit2allow 命令的作用是分析日志,并提供允许的建议规则或拒绝的建议规则
工具audit2allow自动生成Selinux策略语句
weixin_40366279的博客
09-24 2038
1.audit2allow的安装: #sudo apt install policycoreutils 2.audit2allow的用法 (1)抓取和权限相关的log指令,并重定向保存至文件(假如是:avcTest.txt): #adb logcat -b all | grep "avc" > ./avcTest.txt (2)将保存相关的log的文件复制到ubuntu里面,使用命令: #audit2allow -i avcTest.txt-o avc.te 3.打开生成avc.te文件,根据.
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 5631
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令
SELinux audit2allow命令使用
热门推荐
dk_work的博客
05-22 1万+
解决方案: 首先将我们的报错avc日志拷出来做成一个avc.txt放在Ubuntu系统下面在终端中运行以下命令生成avc.te文件就是我们的解决方法了。 audit2allow –i avc.txt >avc.te avc.txt avc: denied { create } for name="hsdi_tmp" scontext=u:r:system_app:s0 tcontext=u...
Android SELinux 权限问题处理
jgw2008的专栏
02-26 5900
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforc
[SeLinux]audit2allow安装与使用
wu_shao_hua的专栏
06-29 4692
1.audit2allow的安装: sudo apt install policycoreutils 2.audit2allow的用法 抓log并保存至文件: adb logcat -b all > error_log.txt 3.分析SeLinux问题的logaudit2allow -i error_log.txt 有些系统在执行audit2allow时会出现错误“unable to open (null): Bad address” 有两个方法可以规避这个问题.....
Linux学习教程(第十八章 SELinux管理)
sinat_41942180的博客
12-26 438
Linux是一个开源免费、可以自由传播和修改的操作系统。
SELinux安全工具使用详解
10-21
3. 使用`audit2allow`生成允许规则,并编译成模块加载到策略中。 4. 如果频繁出现,考虑修改策略源代码,然后重新编译和安装。 ### 六、总结 SELinux提供了一种强大的安全层,通过严格的访问控制策略,增强了系统...
auditlog-Oracle:mybatis oracle log insert delete update springboot Mybatis-Auditlog-oracle(数据修改日志插件)
05-14
Auditlog-Oracle (mapper数据修改监控插件) Auditlog-Oracle参考了 Auditlog-Oracle 数据修改日志插件对各种mapper的增删改进行监控,且仅需升级最新版本的Druid库并作少量更改即可支持大部分的数据库(目前版本支持...
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
audit2rbac 总览 audit2rbac将和用户名作为输入,并生成角色和绑定对象,以覆盖该用户提出的所有API请求。 示范影片 使用说明 获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式...
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
12-16
这通常涉及使用`semodule` 和 `audit2allow` 工具,但这需要对SELinux有较深入的理解。 5. **更新MongoDB配置**: 检查`/etc/mongo.conf` 文件,确保所有的路径配置都正确无误,并且MongoDB有权限访问。同时,确保...
【android 9】【selinux】【2.工具篇】
handsomethefirst的博客
05-07 1359
可跳转到下面链接查看下表所有内容文章浏览阅读2次。系列文章大全主要包含以下内容Input系统篇【android9】【input系统】【1工具篇】【android9】【input系统】【2.简介】【android9】【input系统】【3.启动】【android9】【selinux】【1.简介】
android audit2allow工具使用步骤
楼中望月
03-15 8090
在dmesg里面经常会看到很多的avc denied的打印,如果有很多这种打印,那可以借助于android提供的audit2allow工具帮我们转换成allow语句。 使用步骤如下: 一、将dmesg中的相关avc denied的打印语句,复制到一个txt文件中,我这里取名为tee-supplicant.txt(因为我正在操作的进程是tee-supplicant) avc: denied { read append } for comm="tee-supplicant" name="kmsg_debug"
Android14之audit2allow自动生成Selinux规则(一百七十五)
Android系统攻城狮
01-02 1443
本篇目的:audit2allow自动生成Selinux配置。SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。它通过将每个对象(如文件、进程和用户)和动作(如读写、执行)分配给一个安全上下文来实现安全访问控制。
SELinux avc权限--audit2allow
u012944254的博客
11-15 5556
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限。 使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
SELinux用audio2allow生成添加权限的格式及neverallow解决方法
qq_25815655的博客
05-20 4599
首先我们都知道,添加SELinux方法都是按这种格式来添加的语句格式为:allow scontex tcontex:class action,但是类型比较多,有时间添加到那个文件还是不够清晰啊,能不能有工具来告诉我们 把avc报错生成对应的权限格式添加到对应的文件呢?这里还真有,有了这个工具,我们再遇到AVC报错就不用愁了,废话不多说 (一)我们还是先介绍下确定是否是SELinux的原因导致的问题,虽然网上很多,当你怀疑是SELinux原因导致的问题,用userdebug版本或者eng版...
怎么从log中查看SELinux权限导致的网络无法使用问题
06-01
要从日志中查看SELinux权限导致的网络无法使用问题,可以按照以下步骤进行操作: 1. 打开终端,以root用户身份登录系统。 2. 使用以下命令查看SELinux日志: ``` grep AVC /var/log/audit/audit.log ``` 这个命令将会输出所有包含 "AVC" 的日志记录,这些记录表示SELinux原子策略的决策。 3. 在输出中查找与网络相关的日志记录。例如,你可以搜索 "network"、"port"、"socket"、"httpd" 或 "ftp" 等关键词,以查找与网络相关的日志记录。 4. 了解SELinux的决策。在日志记录中,你会看到一些以 "AVC" 开头的记录,其中包含了SELinux的决策信息。例如: ``` type=AVC msg=audit(1436929977.620:289): avc: denied { name_connect } for pid=3211 comm="httpd" dest=80 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket ``` 这条记录表示,一个进程(httpd)尝试连接到端口80,但是由于SELinux的策略,这个连接被拒绝了。在这个例子中,原因是 httpd 进程的安全上下文(scontext)是 "unconfined_u:system_r:httpd_t:s0",而目标端口的安全上下文(tcontext)是 "system_u:object_r:http_port_t:s0"。由于这两个安全上下文不匹配,SELinux拒绝了这个连接。 5. 修改SELinux的策略。如果你在日志中发现了与网络相关的SELinux拒绝记录,那么你需要针对这些记录来修改SELinux的策略。例如,在上面的例子中,你需要将 httpd 进程的安全上下文与目标端口的安全上下文进行匹配。你可以使用 `chcon` 命令来修改文件或目录的安全上下文,使用 `semanage` 命令来修改SELinux策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值