linux文件组 avc: denied { dac_read_search } for capability=2 scontext=u:r:xxx:s0avc: denied { dac_override } for capability=1 scontext=u:r:xxx:s0 tcontext=u:r:xxx:s0 tclass=capability permissive=0 1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。 2、...
type=AVC msg=audit(xxxxx): avc: denied { dac_read_search } for pid=2000 comm="hostname" capability=2 scontext=system_u:system_r:hostname_t:s0 tcontext=system_u:system_r:hostname_t:s0 tclass=capability permissive=0 type=AVC msg=audit(xxxxx): avc: denied { dac_override } for pid...
“avc: denied { dac_override }” 错误解析与解决方案 1. 错误信息含义 avc: denied { dac_override } 是一个 SELinux(Security-Enhanced Linux)相关的审计信息,表示某个进程试图执行一个需要 dac_override 权限的操作,但是该权限请求被 SELinux 策略拒绝了。dac_override 权限允许进程忽略传统的 UNIX DAC(Disc...
2、 有时候avc denied的log不是一次性暴露所有权限问题,要等解决一个权限问题之后,才会暴露另外一个权限问题。比如提示缺少某个目录的read权限,加入read之后,才显示缺少write权限,要一次次一次试,一次一次加,时间成本极大。 针对dir缺少的任何权限,建议赋予create_dir_perms,基本涵盖对dir的所有权限,比如: { open s...
因为有时候avc denied 的log不是一次性显示所有问题,要等解决一个权限问题后,才会显示另外一个权限问题,比如显示缺失某个目录的read权限。所以建议是先参考其他可能出现访问权限的问题的有关接口关键字,进行多次添加。 要加入的权限很多时,可以用中括号,比如:allow untrusted_app vfat:dir { search write } ...
(null) type=AVC msg=audit(1339668996.933:1198731): avc: denied { dac_override } for pid=25954 comm="sanlock" capability=1 scontext=unconfined_u:system_r:sanlock_t:s0-s0:c0.c1023 tcontext=unconfined_u:system_r:sanlock_t:s0-s0:c0.c1023 tclass=capability --- Cannot be reproduced with...