[SeLinux]audit2allow安装与使用

已于 2022-07-26 14:27:33 修改
阅读量4.6k 收藏 4
点赞数 4
文章标签: android linux python
于 2021-06-29 17:29:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wu_shao_hua/article/details/118339806
版权

audit2allow的安装

sudo apt install policycoreutils

或者

将Android 源码目录下external/selinux/python/audit2allow/audit2allow copy到/usr/bin/

audit2allow的用法

1.抓log并保存至文件:

adb logcat -b all  > error_log.txt

2.分析SeLinux问题的log:

audit2allow -i error_log.txt

有些系统在执行audit2allow时会出现错误“unable to open (null):  Bad address”

有两个方法可以规避这个问题:

2.1 sudo vim  /usr/bin/audit2allow

        注释掉如下4行代码,这个错误是因为执行audit2why.init()导致的,具体原因不详。

    def main(self):
        try:
            self.__parse_options()
            # if self.__options.policy:
            #     audit2why.init(self.__options.policy)
            # else:
            #     audit2why.init()

2.2 加-p参数  从audit2allow的help信息看 , -p需要指定一个policy文件

Usage: audit2allow [options]

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -b, --boot            audit messages since last boot conflicts with -i
  -a, --all             read input from audit log - conflicts with -i
  -p POLICY, --policy=POLICY
                        Policy file to use for analysis
  -d, --dmesg           read input from dmesg - conflicts with --all and
                        --input
  -i INPUT, --input=INPUT
                        read input from <input> - conflicts with -a
  -l, --lastreload      read input only after the last reload
  -r, --requires        generate require statements for rules
  -m MODULE, --module=MODULE
                        set the module name - implies --requires
  -M MODULE_PACKAGE, --module-package=MODULE_PACKAGE
                        generate a module package - conflicts with -o and -m
  -o OUTPUT, --output=OUTPUT
                        append output to <filename>, conflicts with -M
  -D, --dontaudit       generate policy with dontaudit rules
  -R, --reference       generate refpolicy style output
  -N, --noreference     do not generate refpolicy style output
  -v, --verbose         explain generated output
  -e, --explain         fully explain generated output
  -t TYPE, --type=TYPE  only process messages with a type that matches this
                        regex
  --perm-map=PERM_MAP   file name of perm map
  --interface-info=INTERFACE_INFO
                        file name of interface information
  --debug               leave generated modules for -M
  -w, --why             Translates SELinux audit messages into a description
                        of why the access was denied

Android代码一般会在out中生成,可以在out目录下find一下,例如:

R4250-dev$ find out/target/product/ -name sepolicy

out/target/product/<project_name>/recovery/root/sepolicy

综合来看,如果不常用audit2why这个功能的话,方案2.1比较方便些,一劳永逸。

nickname_test
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1246
使用audit2allow工具来根据avc log生成selinux规则
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
12-16
这通常涉及使用`semodule` 和 `audit2allow` 工具,但这需要对SELinux有较深入的理解。 5. **更新MongoDB配置**: 检查`/etc/mongo.conf` 文件,确保所有的路径配置都正确无误,并且MongoDB有权限访问。同时,确保...
SELinux安全工具使用详解
10-21
SELinux是一种安全子系统 它能控制程序只能访问特定文件
工具audit2allow自动生成Selinux策略语句
weixin_40366279的博客
09-24 2038
1.audit2allow安装: #sudo apt install policycoreutils 2.audit2allow的用法 (1)抓取和权限相关的log指令,并重定向保存至文件(假如是:avcTest.txt): #adb logcat -b all | grep "avc" > ./avcTest.txt (2)将保存相关的log的文件复制到ubuntu里面,使用命令: #audit2allow -i avcTest.txt-o avc.te 3.打开生成的avc.te文件,根据.
android 9】【selinux】【2.工具篇】
handsomethefirst的博客
05-07 1359
可跳转到下面链接查看下表所有内容文章浏览阅读2次。系列文章大全主要包含以下内容Input系统篇【android9】【input系统】【1工具篇】【android9】【input系统】【2.简介】【android9】【input系统】【3.启动】【android9】【selinux】【1.简介】
Linux学习教程(第十八章 SELinux管理)
sinat_41942180的博客
12-26 438
Linux是一个开源免费、可以自由传播和修改的操作系统。
SELinux audit2allow命令使用
热门推荐
dk_work的博客
05-22 1万+
解决方案: 首先将我们的报错avc日志拷出来做成一个avc.txt放在Ubuntu系统下面在终端中运行以下命令生成的avc.te文件就是我们的解决方法了。 audit2allow –i avc.txt >avc.te avc.txt avc: denied { create } for name="hsdi_tmp" scontext=u:r:system_app:s0 tcontext=u...
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 5631
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
Ubuntu上使用audit2allow解决Android Selinux问题
fred专栏
05-06 440
遇到错误,提示需要用-p指定policy file,然偶尝试创建一个policy空文件,用-p选项,遇到如下错误。首先跟进错误log的堆栈信息找到源码,尝试把352行和354行注释掉,试试。提前用dmesg或者串口抓取kernel log。
cheat_sheet_selinux_v2_cheat_V2_
09-28
3. **编写或修改策略**:根据 `audit2allow` 的建议,可能需要编写新的TE规则。 4. **测试策略**:在测试环境中验证新策略,确保不会引入新问题。 5. **更新策略**:使用 `semodule` 命令加载新策略到系统。 **五、...
selinux-example_SELinux_
09-28
4. **工具集**:包括`semanage`用于管理策略,`audit2why`和`audit2allow`帮助分析审计日志并创建修复策略,以及`chcon`和`restorecon`改变文件或目录的安全上下文。 **四、SELinux的配置与管理** 1. **文件上下文...
SELinux by Example
01-16
这部分内容涵盖了如何使用工具如`semodule`来创建和安装策略模块,以及如何利用`checkpolicy`进行策略编译和`audit2allow`进行错误日志分析以调试策略。政策管理是SELinux中的核心环节,通过这些工具和方法,管理员...
SELinux avc权限--audit2allow
u012944254的博客
11-15 5556
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限。 使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
linux开启audit服务器ping通,selinux阻止服务器启动解决方法(需要安装audit2allow)
weixin_31361715的博客
05-03 450
首先开启selinux[root@345505log]# sestatusSELinuxstatus: enabledSELinuxfsmount: /selinuxCurrentmode: enforcingModefrom config file: enforcingPolicy...
使用 audit2allow 工具添加SELinux权限的方法
最新发布
netwalk的专栏
06-26 913
audit2allow 命令的作用是分析日志,并提供允许的建议规则或拒绝的建议规则。
2020-11-25 audit2allow
ConceptCon
11-25 266
Android source tree to generate policy statements by taking indmesgandlogcatdenial logs. adb shell su -c dmesg | grep denied | audit2allow for example: android$ grep denied ../../log/zdebug5.txt | audit2allow #============= adbd =============...
android audit2allow工具使用步骤
楼中望月
03-15 8090
在dmesg里面经常会看到很多的avc denied的打印,如果有很多这种打印,那可以借助于android提供的audit2allow工具帮我们转换成allow语句。 使用步骤如下: 一、将dmesg中的相关avc denied的打印语句,复制到一个txt文件中,我这里取名为tee-supplicant.txt(因为我正在操作的进程是tee-supplicant) avc: denied { read append } for comm="tee-supplicant" name="kmsg_debug"
Selinux怎么使用MAC
06-13
SELinux是一种强制访问控制(MAC)系统,它可以限制进程和用户对系统资源的访问。要使用SELinux的MAC功能,您需要启用SELinux使用正确的安全策略。 在Linux系统上启用SELinux非常简单。通常,您可以通过以下命令检查SELinux的状态: ``` sestatus ``` 如果SELinux处于“enforcing”状态,则表示SELinux正在强制执行安全策略。如果SELinux处于“permissive”状态,则表示SELinux允许操作系统执行,但会记录安全策略违规事件。 您可以使用以下命令来更改SELinux的状态: ``` setenforce Enforcing ``` 或者: ``` setenforce Permissive ``` 使用SELinux的MAC功能需要使用适当的安全策略。您可以使用SELinux安全策略生成器(semanage)创建和管理策略。例如,如果您想限制用户访问某个目录,您可以使用以下命令创建一个新的SELinux策略模块: ``` audit2allow -M mypol -l -i /var/log/audit/audit.log ``` 然后,您可以使用以下命令将该模块加载到SELinux: ``` semodule -i mypol.pp ``` 这将启用新的SELinux安全策略,限制用户对指定目录的访问。注意,这只是一个例子,具体的策略取决于您的需求和环境。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值