深入理解SELinux决策与日志记录
1. 其他SELinux相关事件类型
虽然大多数SELinux日志事件与AVC相关,但管理员需要处理的并非只有这类事件。多数审计事件即便与SELinux本身关联不大,也会将SELinux信息作为事件的一部分显示。不过,有几种审计事件类型与SELinux直接相关。
所有可能的审计事件完整列表可在/usr/include目录下的linux/audit.h头文件中找到(在RHEL系统中通过kernel-headers包安装)。
- USER_AVC事件:该事件与常规AVC审计事件类似,但其来源是用户空间对象管理器。这些应用使用SELinux策略规则,但自行强制执行这些规则,而非通过内核。以下是由D - Bus生成的此类事件示例:
type=USER_AVC msg=audit(1467890899.875:266): pid=693 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { acquire_svc } for service=org.freedesktop.resolve1 spid=1434 scontext=system_u:system_r:systemd_resolved_t:s0 t
)
