Audit
“目前政策中允許的無效 AVC”是什麼意思?
我正在查看我的 selinux 警報日誌文件並執行多個標記為的條目
**** Invalid AVC allowed in current policy ***
我知道這表明存在問題(讀取或getattr等),並且我看到是哪些程序導致它,但我不明白的是標籤。
什麼是無效的 AVC?又怎麼可能被允許?
在setroubleshoot 的原始碼中,您可以看到這是錯誤的來源:
self.why, bools = audit2why.analyze(str(self.scontext), str(self.tcontext), str(self.tclass), self.access) if self.why == audit2why.ALLOW: raise ValueError(_("%s \n**** Invalid AVC allowed in current policy ***\n") % self.avc_record)
此程式碼表明該消息由
self.avc_record
. 我現在沒有很多時間,但是由於呼叫了此程式碼的方法derive_avc_info_from_audit_event
,我猜這意味著 audit.log 消息未正確解析為 AVC 資訊。if … else 塊的其餘部分中的消息表明這可能是由策略中的錯誤引起的。
也許您可以發布完整的錯誤:我以前從未見過這個,並且知道確切的輸出可能有助於了解它。