Linux SELinux日志如何分析

Linux SELinux日志分析实操指南

一 日志来源与关键字段

• 主要日志位置与采集方式
  • 审计日志：/var/log/audit/audit.log（由auditd写入，最全的 AVC 原始记录）。
  • 系统消息：/var/log/messages 或 journalctl（当 auditd 未运行时，内核消息可能回退到 messages；使用 systemd 的系统可用 journalctl 检索）。
  • 故障排查日志：/var/log/setroubleshoot/（setroubleshoot 组件生成的可读报告与提示）。
• 关键字段速读（AVC 拒绝示例）
  • type=AVC 与 avc: denied：表示一次 SELinux 拒绝事件。
  • comm=“httpd” / pid=…：触发进程与其 PID。
  • path=“/var/www/html/index.html”：被访问对象路径。
  • scontext=system_u:system_r:httpd_t:s0：源上下文（进程的安全标签）。
  • tcontext=unconfined_u:object_r:var_t:s0：目标上下文（文件/对象的安全标签）。
  • tclass=file：对象类别（如 file、dir、tcp_socket 等）。
  • permissive=0/1：0 为强制模式（拒绝并记录），1 为宽容模式（仅记录不阻断）。

二 常用工具与快速命令

• 快速判断是否有拒绝
  • 查看 AVC 概览：aureport | grep AVC（统计与清单）。
• 精准检索 AVC 事件
  • 最近事件：ausearch -m AVC,USER_AVC,SELINUX_ERR -ts recent
  • 时间范围：ausearch -m AVC -ts 2025-12-04 09:00:00 -te 10:00:00
  • 指定进程：ausearch -m AVC -p ；指定文件：ausearch -m AVC -f <文件路径>
  • 直接查系统消息：journalctl | grep AVC
• 生成可读报告与定位原因
  • 全量分析：sealert -a /var/log/audit/audit.log
  • 按 UUID 查看单条事件：sealert -l
  • 实时跟踪新事件：sealert -f /var/log/audit/audit.log
• 解释原因与生成策略草案
  • 解释为何被拒：audit2why < /var/log/audit/audit.log
  • 生成 allow 规则草案：audit2allow -a /var/log/audit/audit.log
• 服务与可用性检查
  • 确认审计服务：sudo systemctl status auditd（必要时 start/enable）。

三 标准排查流程

1. 确认运行状态与模式
   • 查看模式：getenforce（返回 Enforcing/Permissive/Disabled）；完整状态：sestatus。
   • 临时切换：setenforce 0（宽容，仅记录）/ setenforce 1（强制）。生产环境不建议长期关闭或宽容。
2. 定位事件
   • 快速筛查：aureport | grep AVC 或 tail /var/log/audit/audit.log | grep AVC。
   • 精确定位：ausearch -m AVC -ts recent 或按进程/文件检索。
3. 读懂关键信息
   • 从 AVC 行抽取：scontext / tcontext / tclass / comm / path，判断是进程标签、文件标签、对象类别还是端口类型不匹配。
4. 获取可操作建议
   • 生成报告：sealert -a /var/log/audit/audit.log，按提示执行修复（如 restorecon、semanage port、setsebool 等）。
5. 验证修复
   • 复现问题操作，确认不再出现 AVC 拒绝；必要时再次 ausearch/sealert 复核。
6. 持久化与收敛
   • 使用 restorecon 恢复标准标签；用 semanage fcontext/port 固化策略；谨慎新增 allow 规则并尽量使用最小权限。

四 常见场景与修复要点

• 文件或目录上下文错误
  • 现象：服务读取/写入非标准目录被拒（如 httpd 访问 /var/www 外内容）。
  • 修复：按建议执行 restorecon -v <路径>；若为新目录，先 semanage fcontext -a -t httpd_sys_content_t “/data/www(/.*)?” 再 restorecon。
• 非标准端口绑定被拒
  • 现象：服务绑定非常规端口（如 22022）被拒。
  • 修复：使用 semanage port -a -t ssh_port_t -p tcp 22022（示例将端口纳入 ssh_port_t，实际类型依服务而定）。
• 可选功能需开启布尔值
  • 现象：某功能被拒且提示与布尔值相关。
  • 修复：按 sealert 建议 setsebool -P <布尔名> on（加 -P 使重启后持久）。
• 仅需临时放行用于排障
  • 做法：将域设为宽容：semanage permissive -a <domain_t>；排障后移除：semanage permissive -d <domain_t>（避免长期宽容）。
• 无 auditd 时的回退路径
  • 现象：未运行 auditd，AVC 可能进入 /var/log/messages 或 journalctl。
  • 修复：优先启动并持久化 auditd；短期可用 grep/journalctl 检索 AVC 关键词。

五 日志轮替与合规建议

• 审计日志体量增长快，建议配置 logrotate 对 /var/log/audit/audit.log 做按日/按大小轮替并压缩，避免磁盘被占满；生产环境务必开启并监控 auditd 服务可用性。