ausearch可快速聚合分析SELinux拒绝事件:先按进程名统计频次定位嫌疑服务,再结合ps -eZ和ausearch -p查上下文与AVC详情,过滤permissive记录及噪声,最后用setenforce 0验证并sealert生成修复建议。
直接看进程名和上下文,比逐行翻日志快得多。
用 ausearch 快速按进程聚合拒绝事件
执行这条命令,能立刻列出最近所有被拒的进程及其触发次数:
- sudo ausearch -m avc -ts recent --raw | audit2why | sort | uniq -c | sort -nr —— 按触发频次倒序排列,排第一的就是“头号嫌疑服务”
- sudo ausearch -m avc -ts recent -i | grep "comm=" | cut -d'"' -f2 | sort | uniq -c | sort -nr —— 提取 comm 字段(即进程名),统计出现次数
结合上下文锁定具体服务实例
光有进程名还不够,得确认是哪个实际服务在跑。比如看到多个 httpd,但可能是 httpd、php-fpm 或自定义脚本:
- 查进程上下文:ps -eZ | grep httpd —— 看 scontext 是否匹配(如
system_u:system_r:httpd_t:s0) - 查对应 PID 的完整 AVC 记录:sudo ausearch -m avc -p httpd -ts recent —— 显示该进程所有被拒动作及目标路径/端口
- 若进程名不明确(如
python或java),加 -i 参数让 ausearch 解析为可读格式,再找exe=字段确认真实执行路径
排除干扰:过滤掉已知宽松域或系统噪声
有些拒绝是预期行为(如 permissive 域内记录),或来自调试工具(adb/dmesg),别被带偏:
- 跳过宽容模式下的记录:sudo ausearch -m avc -ts recent | grep -v "permissive=1"
- 排除 kernel 日志混入的旧条目:sudo ausearch -m avc -ts $(date -d '5 minutes ago' '+%Y-%m-%d %H:%M:%S') -te now
-
安卓设备上常见
vendor_qtidataservices_app类型,用 ausearch -m avc -ts recent | grep -E "comm=\"|tcontext=.*vendor_" 单独提取分析
验证是否真由 SELinux 引起
最后一步交叉验证,避免误判:
- 临时切宽容模式:sudo setenforce 0,立刻重试操作;如果拒绝消失、服务恢复正常,基本坐实是 SELinux 问题
- 恢复强制模式后,用 sudo sealert -a /var/log/audit/audit.log 生成带服务建议的报告(需安装 setroubleshoot)
- 注意:Ubuntu 默认不用 SELinux,先运行 getenforce 确认返回值不是
Disabled,否则这些 AVC 可能是残留日志或误报
