SeLinux 的avc log解读

已于 2022-04-18 16:22:00 修改
阅读量3.3k 收藏 8
点赞数 1
分类专栏: selinux 文章标签: selinux avc log
于 2022-01-25 15:45:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41133610/article/details/122617786
版权

avc log分析:

SeLinux的AVC log的详细分析 eg:

type=AVC msg=audit(1395177286.929:1638): avc: denied { read } for pid=6591 comm="httpd" name="webpages" dev="0:37" ino=2112 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=dir

整体翻译:SELinux拒绝PID为6591且httpd_t类型的httpd进程从nfs_t类型的目录读取数据。

type=AVC msg=audit(1226874073.147:96): avc: denied { getattr } for pid=2465 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=284133 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file

整体翻译:SELinux禁止PID为2465的httpd进程访问samba_share_t类型的/var/www/html/file1文件,除非配置为其他类型,否则httpd_t域中的进程不能访问该文件。

各个参数详解

最低0.47元/天 解锁文章
SELinux完全解读
yonggeit的博客
05-17 4091
selinuxservice enhanced linux 安全增强的Linux CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set 继承了源目录的安全标签 写日志 写入成功 覆盖 安全标签跟当前目录不匹配无法正常写日志 此时网站可访问 网站目录迁移 如果不带属性复制 此时不能访问需要修改安全上下文 此时又可以访问了 此时无法启动端口没在s
Android SELinux——常见问题处理思路(十四)
小旭的专栏
10-21 745
然后用 make selinux_policy 编译,然后 push 相关分区下的 etc/selinux。直到没有 avc 报错为止。
SELinux之解决avc denied
m0_46211029的博客
03-28 5342
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC SELinux工作模式 SELinux 有三种工作模式,分别为: enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻...
avc log 自动生成selinux权限
Thatgriler的博客
04-13 274
selinux 权限(avc log 自动生成selinux权限)
分析SELinux日志,排除SELinux疑难
chuyanwen8507的博客
03-25 1001
觉得有用请顶一下,谢谢 你终有一天会被 SELinux 阻止你访问所需的东西,而且要解决这个问题。SELinux 拒绝某个文件、进程或资源被访问的基要原因有数个: 1 一个被错误标签的文件 2 一个进程在错误的 SELinux 安全性脉络下运行 3 政策出错。某个...
SELinux安全策略简介及log分析
JanChiang97的博客
11-15 335
偷个懒,转到本人博客 简安97 blog SELinux安全策略简介及log分析
ffmpeg中av_log的实现分析
weixin_33807284的博客
11-30 447
[时间:2017-10] [状态:Open] [关键词:ffmpeg,avutil,av_log, 日志输出] 0 引言 FFmpeg的libavutil中的日志输出的接口整体比较少,但是功能还是不错的,对于后续自己实现日志模块还是值得参考的。本文就libavutil中的日志模块部分的实现做一个简要的整理。希望可以达到解释清楚的目的。 注意:本部分的主要代码位于libavtuil/log.h、li...
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1390
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限。SELinux的权限不足。
selinux源码分析
bruk_spp的博客
07-11 5517
首先来一幅lsm的逻辑图: 上幅图来至:Linux Security Module Framework一文,很清晰的描述了LSM的逻辑,从用户空间到系统调用再到selinux模块接口。 selinux驱动模块位置: \linux-4.5-rc1\security 1.selinux核心驱动的加载 1)selinux文件节点的创建: 在selinuxfs.c文件中,__initcall(init_sel_fs)驱动模块的加载,会注册文件节点。这些节点作为内核与用户空间通信的接口。其核心API调用
SELinux策略语言--类型强制 编写TE规则
qq_44884706的博客
04-12 488
SELinux策略语言--类型强制 编写TE规则
SElinux avc 打印及关闭
Y在想什麽的博客
08-23 1038
某些场景下并不需要打开SELinux,也就是SELinux设为Permissive,但如果程序设计不符合SELinux sepolicy,日志会频繁打印如下类似avc:denied 的 log
SELinux avc权限--audit2allow
u012944254的博客
11-15 5682
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限。 使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
linux 进程状态日志,Linux SELinux 工作原理及日志管理详解
weixin_36354965的博客
04-29 870
SELinux(Security Enhanced Linux)系统资源都是通过进程来读取更改的,为了保证系统资源的安全,传统的Linux使用用户、文件权限的概念来限制资源的访问,通过对比进程的发起用户和文件权限以此来保证系统资源的安全,这是一种自由访问控制方式(DAC);但是随着系统资源安全性要求提高,出现了在Linux下的一种安全强化机制(SELinux),该机制为进程和文件加入了除权限之外更...
SELinux LOG分析及添加权限
w2064004678的博客
04-16 1939
adb修改selinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前selinux状态 setenforce 1; //打开selinux setenforce 0; //关闭selinux 从kernel中彻底关闭 修改/linux/android/kernel/arch/arm64/configs/xxx_...
SElinux内核态的实现-avc、avd的设计篇
m0_37923396的博客
06-22 1332
本文描述了AVD如何缓存查询结果,深入了解了AVC缓存机制如何支撑这种高效权限检查,包括AVC的初始化、插入、查找和回收的整个生命周期管理。
selinux avc权限设置
xhao1985的博客
08-07 2175
解决原则是:缺什么权限补什么,一步一步补到没有avc denied为止。 解决权限问题需要修改的权限文件如下位置,以.te结尾 A:Android/device/mediatek/common/sepolicy/*.te B:Android/external/sepolicy/*.te 其中,A是对B的overlay(覆盖),能在A修改的尽量在A修改,尽量避免修改B。 avc: deni...
selinux avc 打标签
sunfanup的博客
12-07 723
avc
avc: denied SELinux权限问题解决
Haomione的博客
03-31 7456
avc: denied SELinux权限问题解决
03-05 17:45:49.174 05939 05939 W mount : type=1400 audit(0.0:1176): avc: denied { getattr } for path="/dev/fuse" dev="tmpfs" ino=1251 scontext=u:r:untrusted_app:s0:c252,c259,c512,c768 tcontext=u:object_r:fuse_device:s0 tclass=chr_file permissive=0 app=com.shaizsports.livecricket.tensports 03-05 17:45:49.174 05939 05939 W mount : type=1400 audit(0.0:1177): avc: denied { getattr } for path="/dev/fuse" dev="tmpfs" ino=1251 scontext=u:r:untrusted_app:s0:c252,c259,c512,c768 tcontext=u:object_r:fuse_device:s0 tclass=chr_file permissive=0 app=com.shaizsports.livecricket.tensports 03-05 17:45:49.174 05939 05939 W mount : type=1400 audit(0.0:1178): avc: denied { getattr } for path="/dev/fuse" dev="tmpfs" ino=1251 scontext=u:r:untrusted_app:s0:c252,c259,c512,c768 tcontext=u:object_r:fuse_device:s0 tclass=chr_file permissive=0 app=com.shaizsports.livecricket.tensports 03-05 17:45:49.174 05939 05939 W mount : type=1400 audit(0.0:1179): avc: denied { getattr } for path="/dev/fuse" dev="tmpfs" ino=1251 scontext=u:r:untrusted_app:s0:c252,c259,c512,c768 tcontext=u:object_r:fuse_device:s0 tclass=chr_file permissive=0 app=com.shaizsports.livecricket.tensports日志什么意思
最新发布
03-14
<think>嗯,用户这次提供的日志是关于SELinux的拒绝访问错误。用户之前问过关于窗口动画的日志,现在又遇到了安全相关的日志,可能是在同一个应用调试过程中出现的不同问题。 首先,我需要解析这些日志的结构。每条日志都以时间戳开始,然后是进程ID和标签“mount”以及警告级别“W”。日志内容提到avc: denied,说明是SELinux的访问控制问题。用户的应用尝试访问/dev/fuse设备,但被拒绝了。 接下来,我需要理解每个字段的含义。比如scontext是源上下文,也就是发起请求的进程的安全上下文,这里显示的是untrusted_app,说明是第三方应用。tcontext是目标上下文,即fuse_device,对应的设备文件。操作是getattr,也就是获取属性,但被拒绝。 用户可能想知道为什么他们的应用无法访问这个设备,以及如何解决这个问题。需要解释SELinux的基本机制,说明这是Android的安全策略,防止未授权的访问。同时,可能的应用场景是应用试图挂载存储或访问文件系统,但缺乏权限。 还需要考虑用户的技术背景,他们可能对SELinux不太熟悉,所以需要用易懂的语言解释,并提供解决方案,比如检查应用权限、修改SELinux策略或者处理异常情况。此外,重复的日志可能意味着应用在多次尝试访问,可能需要提醒用户检查代码逻辑,避免频繁重试。 最后,确保回答结构清晰,分步骤解释,并补充相关的技术背景,帮助用户全面理解问题所在和解决办法。</think>这是四条重复的 **SELinux 权限拒绝日志**,反映了应用尝试访问 `/dev/fuse` 设备时被安全策略阻止。以下是逐层解析: --- ### **日志核心结构解析** 每条日志格式为: ``` type=1400 audit(0.0:ID): avc: denied { 操作 } for path="目标路径" dev="设备" ino=索引号 scontext=源安全上下文 tcontext=目标安全上下文 tclass=目标类型 permissive=0 app=应用包名 ``` --- ### **关键字段解读**(以第一条为例) 1. **`avc: denied { getattr }`** - **`getattr`**:被拒绝的操作类型(此处为获取文件属性,如权限、大小等) - **拒绝原因**:SELinux 安全策略禁止该操作 2. **`path="/dev/fuse"`** - 操作目标为 **FUSE(用户空间文件系统)设备**,通常用于实现虚拟文件系统(如SD卡挂载、云存储挂载等) 3. **安全上下文对比** - **`scontext=u:r:untrusted_app:s0:c252,c259,c512,c768`** *发起方*:一个未受信任的第三方应用(`untrusted_app`),属于 Android 隔离沙箱环境 - **`tcontext=u:object_r:fuse_device:s0`** *目标方*:FUSE 设备文件的安全标签(高敏感系统资源) 4. **`tclass=chr_file`** - 目标类型为字符设备文件(如 `/dev/` 下的设备节点) 5. **`permissive=0`** - SELinux 当前处于 **强制模式**(若为1则为宽容模式,仅记录不拦截) --- ### **问题本质分析** 1. **直接原因** 应用 `com.shaizsports.livecricket.tensports` 尝试读取 `/dev/fuse` 设备属性,但 SELinux 策略禁止**未受信任应用**直接访问高敏感系统设备。 2. **典型场景** - 应用尝试挂载自定义文件系统(如加密存储、虚拟文件系统) - 应用试图绕过 Android 存储隔离直接操作底层设备 3. **风险提示** - `/dev/fuse` 的未授权访问可能导致**存储系统被劫持**或**敏感数据泄露** - Android 严格限制普通应用直接操作此类设备 --- ### **解决方案建议** 1. **检查应用功能合理性** - 若需使用 FUSE,应通过 **Android 官方 API**(如 `Storage Access Framework`)实现文件系统功能 - 避免直接操作 `/dev/fuse` 2. **SELinux 策略调整(需 root 权限)** 在设备 `sepolicy` 中添加规则(示例): ```bash allow untrusted_app fuse_device:chr_file { getattr open read }; ``` *注意:此操作会降低安全性,仅限调试或系统级应用使用* 3. **捕获异常处理** 在代码中添加对 `SecurityException` 的捕获,避免应用崩溃: ```java try { // 尝试访问 /dev/fuse 的代码 } catch (SecurityException e) { Log.e("TAG", "SELinux blocked FUSE access: " + e.getMessage()); } ``` --- ### **技术背景补充** - **SELinux**:Android 的强制访问控制(MAC)系统,通过**安全上下文**标签限制进程权限 - **FUSE**:用户空间文件系统接口,Android 用于实现 `Scoped Storage` 等特性 - **untrusted_app**:第三方应用的默认安全上下文,权限受限程度最高 是否需要进一步说明 SELinux 策略定制或 FUSE 在 Android 中的具体应用场景?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值