SeLinux 的avc log解读

已于 2022-04-18 16:22:00 修改
阅读量2.6k 收藏 7
点赞数 1
分类专栏: selinux 文章标签: selinux avc log
于 2022-01-25 15:45:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41133610/article/details/122617786
版权

avc log分析:

SeLinux的AVC log的详细分析 eg:

type=AVC msg=audit(1395177286.929:1638): avc: denied { read } for pid=6591 comm="httpd" name="webpages" dev="0:37" ino=2112 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=dir

整体翻译:SELinux拒绝PID为6591且httpd_t类型的httpd进程从nfs_t类型的目录读取数据。

type=AVC msg=audit(1226874073.147:96): avc: denied { getattr } for pid=2465 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=284133 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file

整体翻译:SELinux禁止PID为2465的httpd进程访问samba_share_t类型的/var/www/html/file1文件,除非配置为其他类型,否则httpd_t域中的进程不能访问该文件。

各个参数详解

type=AVC

日志类型,该日志仅仅在audit.log文件中现实,它告诉用户该审计日志的具体类型。本例中类型为AVC。

msg=audit(1363289005.532:184)

时间戳,起始于1970年1月1日的记秒数。当然,我们可以通过date命令将其转换为墙钟时间。

avc:

日志类型,这里有些重复了。SELinux 执行并记录在访问向量缓存 (AVC) 中的操作

denied

SELinux采取的动作,可以是denied或者granted。如果系统配置的是permissive模式,那么虽然SELinx会放行,但在审计日志中仍然是denied。

{ read }

被拒绝的动作。有getattr, read,write.等。本例中是一个读请求。有时请求的类型可能不止一个,比如{ read write },但通常只有一个。

for pid=29199

尝试执行拒绝操作的主体的进程标识符,期望获取许可的进程ID信息。

comm="Trace"

用于调用分析进程的命令名称。有些进程我们无法获得进程的ID,因此可以通过该参数获得具体是那个进程。

name="online"

目标的名称,本例中是一个文件名称。

dev="sysfs"

目标所位于的设备。本例中我们知道文件所在的位置应该是/sys目录

ino=30

目标文件的inode id。可以根据该id获得文件的具体路径。

scontext=staff_u:staff_r:googletalk_plugin_t

源上下文,进程(访问者)的安全上下文。这里其实就是关于SELinux访问者的标签信息,SELinux正是根据源和目的标签及策略来实现访问控制的。

tcontext=system_u:object_r:sysfs_t

目的上下文,目标资源(被访问者)的安全上下文。

tclass=file

目标对象类,本例是文件。SELinux支持的类型很多,比如文件、套接字或者信号量等等。

scontext="unconfined_u:system_r:httpd_t:s0" - 尝试拒绝操作的进程(源)的 SELinux 上下文。 在这种情况下,它是使用 httpd_t 类型运行的 Apache HTTP 服务器的 SELinux 上下文。

tcontext="unconfined_u:object_r:samba_share_t:s0" - 进程试图访问的对象(目标)的 SELinux 上下文。 在这种情况下,它是 file1 的 SELinux 上下文。

安全上下文详细内容:

MLS SELinux策略使用16个灵敏度级别。S0-S15:S0是最不敏感的,S15最敏感。

这意味着用户可以在他们自己的敏感级别或更低级别读取文件,但只能在他们自己的级别上写入。

MLS 环境中非特权用户的安全上下文是,例如:

user_u:user_r:user_t:s1

其中: user_u 是 SELinux 用户。

user_r 是 SELinux 角色。

user_t 是 SELinux 类型。

s1 是 MLS 灵敏度级别。

 身份字段(user)用于标识该数据被哪个身份所拥有,相当于权限中的用户身份。这个字段并没有特别的作用,知道就好。常见的身份类型有以下 3 种:

  1. - root:表示安全上下文的身份是 root。
  2. - system_u:表示系统用户身份,其中“_u”代表 user。
  3. - user_u:表示与一般用户账号相关的身份,其中“_u”代表 user。

2) 角色(role)主要用来表示此数据是进程还是文件或目录。这个字段在实际使用中也不需要修改,所以了解就好。常见的角色有以下两种:

  • - object_r:代表该数据是文件或目录,这里的“_r”代表 role。
  • - system_r:代表该数据是进程,这里的“_r”代表 role。

3) 类型(type)类型字段是安全上下文中最重要的字段,进程是否可以访问文件,主要就是看进程的安全上下文类型字段是否和文件的安全上下文类型字段相匹配,如果匹配则可以访问。注意,类型字段在文件或目录的安全上下文中被称作类型(type),但是在进程的安全上下文中被称作域(domain)。也就是说,在主体(Subject)的安全上下文中,这个字段被称为域;在目标(Object)的安全上下文中,这个字段被称为类型。域和类型需要匹配(进程的类型要和文件的类型相匹配),才能正确访问。

httpd_t - 进程的 SELinux 类型

nfs_t - 受进程操作影响的对象的 SELinux 类型

参考文档链接:

SELinux安全上下文查看方法(超详细) 第18章

SELinux使用及审计日志解释_安科网

心上枫叶红
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android SELinux 快速处理工具 log2allow
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 ./log2allow xxx.log 或将log2allow配置到环境变量 log2allow xxx.log 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell init:file { add_name append create execute execute_no_trans getattr map open read remove_name search unlink write };
Android系统开发_Selinux权限问题相关
Android开发,终身学习者。有问题欢迎私信交流~
11-29 300
在修改了system_app.te的内容后,make selinux_policy的时候,会提示有其它的never allow,这时要根据提示,找到对应的位置进行修改。3)system/sepolicy/prebuilts/api/31.0/private/property.te 中添加。2)system/sepolicy/prebuilts/api/31.0/public/domain.te 中添加。1)在system_app.te中添加。日志过滤搜索 avc
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
selinux 基础介绍
11-01
介绍基础的selinux背景、策略规则等
SELinux之解决avc denied
m0_46211029的博客
03-28 4549
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC SELinux工作模式 SELinux 有三种工作模式,分别为: enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻...
SELinux 入门详解
01-09
回到 Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。 如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 在我开始之前,你应该已经了解的
Android 修改 SELinux avc 权限的方法
jppipai的博客
03-01 4031
在 Android 系统的开发及适配过程中,我们常常需要对 SELinux avc 权限进行修改
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1141
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限。SELinux的权限不足。
[Android Framework]Android 11 SELinux avc权限解决方法
usmaI的博客
11-19 5401
1.SELinux与Android的关系 SELinux(Security-Enhanced Linux)是由美国国家安全局开发的一种安全增强型Linux内核模块,从Android5.0(API 21)开始被Google引入并强制集成,用于最大限度地减小系统中服务进程可访问的资源,从而增强系统安全性,也就是说即使系统漏洞被Hacker钻了空子,也不容易为所欲为。对于开发者来说,也就意味着即使你开发的服务拥有root权限,你开发的系统服务也并不能任意访问系统资源。 2.在Android中与SELinux有关的
avc: denied SELinux权限问题解决
Haomione的博客
03-31 6191
avc: denied SELinux权限问题解决
SELinux by Example
最新发布
01-16
SELinux by Example》是一本专为理解和实践Security-Enhanced Linux(SELinux)安全模型而编写的指南性书籍。SELinux是Linux内核中的一个强制访问控制(MAC)系统,用于增强操作系统的安全性。 这本书通常会深入...
android selinuxavc denied权限和编译报neverallow解决方案
楼中望月
06-02 6816
android avc denied解决方案,以及nerverallow编译报错解决方案
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 1436
在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
SELinux 学习总结
eo_rsgfd的博客
02-02 1926
什么是SELinux SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上 SELinux 基本架构与原理. SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查
Android SELinux avc denied解决
pan0755的博客
04-17 1万+
参考:Android SELinux avc dennied权限问题解决方法 https://blog.csdn.net/tung214/article/details/72734086 解决原则:缺什么权限补什么,直到没有avc denied为止。 解决方法:在对应的.te中增加allow语句。 格式一般如下: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 t..
如何设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理?
热门推荐
老雷的Android学习
09-11 2万+
[Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc:  denied" 或者"avc: denied" 如一行LOG: [ 17.285600].(0)[503:idmap]type=1400 audit(1
SElinux avc dennied权限问题解决方法
Y的博客
09-26 651
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己写,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 3699
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
Android SELinux avc dennied权限问题解决方法
qq_35003588的博客
10-20 2789
1、确认是否是selinux 问题 setenforce 0(临时禁用掉SELinux) getenforce (得到结果为Permissive) 如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。 type=1400 audit(1603165146.056:161): avc: denied { getattr } for pid=2635 comm="busybox" path="/mnt/media_rw" dev="tmpfs" ino=11..
怎么从log中查看SELinux权限导致的网络无法使用问题
06-01
要从日志中查看SELinux权限导致的网络无法使用问题,可以按照以下步骤进行操作: 1. 打开终端,以root用户身份登录系统。 2. 使用以下命令查看SELinux日志: ``` grep AVC /var/log/audit/audit.log ``` 这个命令将会输出所有包含 "AVC" 的日志记录,这些记录表示SELinux原子策略的决策。 3. 在输出中查找与网络相关的日志记录。例如,你可以搜索 "network"、"port"、"socket"、"httpd" 或 "ftp" 等关键词,以查找与网络相关的日志记录。 4. 了解SELinux的决策。在日志记录中,你会看到一些以 "AVC" 开头的记录,其中包含了SELinux的决策信息。例如: ``` type=AVC msg=audit(1436929977.620:289): avc: denied { name_connect } for pid=3211 comm="httpd" dest=80 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket ``` 这条记录表示,一个进程(httpd)尝试连接到端口80,但是由于SELinux的策略,这个连接被拒绝了。在这个例子中,原因是 httpd 进程的安全上下文(scontext)是 "unconfined_u:system_r:httpd_t:s0",而目标端口的安全上下文(tcontext)是 "system_u:object_r:http_port_t:s0"。由于这两个安全上下文不匹配,SELinux拒绝了这个连接。 5. 修改SELinux的策略。如果你在日志中发现了与网络相关的SELinux拒绝记录,那么你需要针对这些记录来修改SELinux的策略。例如,在上面的例子中,你需要将 httpd 进程的安全上下文与目标端口的安全上下文进行匹配。你可以使用 `chcon` 命令来修改文件或目录的安全上下文,使用 `semanage` 命令来修改SELinux策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值