问题描述
我在基于 yocto 的嵌入式 Linux 系统中遇到问题。我已经追踪到 dbus 和 SELinux 之间的交互,使用 dbus-monitor 我可以看到以下错误:
error time=1621869986.514891 sender=org.freedesktop.DBus -> destination=:1.4 error_name=org.freedesktop.DBus.Error.AccessDenied reply_serial=69729
string "An SELinux policy prevents this sender from sending this message to this recipient,0 matched rules; type="method_return",sender=":1.4" (uid=0 pid=905 comm="/usr/sbin/NetworkManager --no-daemon " label="system_u:system_r:NetworkManager_t:s0") interface="(unset)" member="(unset)" error name="(unset)" requested_reply="0" destination=":1.6390" (uid=0 pid=14426 comm="/opt/metix-embedded/metix-wg-ui " label="system_u:system_r:init_t:s0")"
但是,审核日志中没有“AVC denied”错误,因此我无法使用 audit2allow 来确定允许交互的 SELinux 规则。
如何从 dbus-monitor 错误中找出我需要的 SELinux 规则?
解决方法
进一步研究表明,dbus 本身是一个 SELinux 感知应用程序。它正在检查 SELinux 配置,并在 dbus 本身内采取强制措施。这就是为什么来自 dbus 的拒绝不会出现在审核日志中的原因,即使关闭了静默拒绝也是如此。
通过为“send_msg”添加一些允许规则解决了我的特定问题,如下所示:
allow init_t NetworkManager_t:dbus send_msg;
allow NetworkManager_t init_t:dbus send_msg;
请注意,“init_t”和“NetworkManager_t”类型源自 dbus-monitor 错误。
更多信息: