관리-도구

편집 파일: audit_data.cpython-39.opt-1.pyc

a ����U+e�����������������������@���sl
��d�d
l�m
Z

�d�dlZd�dlmZ
�d�dlZg�d�
Zd�dlZd�dlZd�dlZd�dl Z d�dl Z d�dlZd�dlZd�dl Z d�dlT�d�dlmZ
�d�dlT�d�dlT�d�dlT�d�dlT�dZdd��Zd d ��Zdd��Ze�d �
Zdd��Ze�d�
Zdd��Zd�dlZdd��ZG�dd��de �Z!G�dd��de �Z"G�dd��de �Z#G�dd��d�Z$G�dd��de �Z%G�dd ��d e&�Z'G�d!d"��d"�Z(d#d$��Z)dS�)%�����)
�absolute_importN)
�range) �derive_record_format�parse_audit_record_text� AvcContext�AVC�AuditEventID� AuditEvent�AuditRecord�AuditRecordReader�compute_avcs)
�
*����c�����������������C���s���|�|
k|�|
k��S��
N��)�
x�
yr���r����=/usr/lib/python3.9/site-packages/setroubleshoot/audit_data.py�<lambda>7��������r���c
�����������������C���s ���t�|��
\}
}}}t
|||�}|S�r���)r���r ���)�text�parse_succeeded�record_type�event_id� body_text�audit_recordr���r���r����audit_record_from_text=���s����


r���c
�����������
������C���s*���t��
d
|��rtjS�t��
d|��r$tjS�tjS�)Nz/audispd_events$z/audit_events$)�re�searchr����TEXT_FORMAT� BINARY_FORMAT)
Zsocket_pathr���r���r���r���E���s ����




r���zL(node=(\S+)\s+)?(type=(\S+)\s+)?(msg=)?audit\(((\d+)\.(\d+):(\d+))\):\s*(.*)c
����������� ������C���s����d
}
d�}d�}d�}d�}t��
|��
}|d�u
r�d}
|�d�
r>|�d�
}|�d�
rR|�d�
}|�d�
r�t|�d�
�
}t|�d�
�
}t|�d�
�
} t||| |�}|�d �
}|
|||fS�) NFT��������������������� ���� ���)�audit_input_rer����group�intr���) �inputr����hostr���r���r����match�seconds�milli�serialr���r���r���r���^���s&����












 r���z%audit\(((\d+)\.(\d+):(\d+))\):\s*(.*)c
�����������������C���sv���d
}
d�}d�}t��
|��
}|d�u
rld}
|�d�
rbt|�d�
�
}t|�d�
�
}t|�d�
�
}t|||�}|�d�
}|
||fS�)NFT�
���r!���r���r"�������)�audit_binary_input_rer���r)���r*���r���)r+���r���r���r���r-���r.���r/���r0���r���r���r����parse_audit_binary_text|���s����








 r4���c
�����������������C���s"���|�rd
d��|�D��
}
|
|�krdS�dS�)Nc
�����������������S���s���g�|�]}
|
t�j
v�r|
�qS�r���)�string� printable��.0r���r���r���r���� <listcomp>����r���zprintable.<locals>.<listcomp>TFr���)�
sZ filtered_pathr���r���r���r6�������s ����




r6���c�����������������������sZ���e�Z
d�Zd
di
d
di
d
di
d
di
d�Z��f
dd�Zdd��Zdd ��Zd d��Zdd ��Z���Z S�)r����XMLForm� attribute��user�role�type�mlsc��������������������sz���t�t
|�����
�t|
tj�rv|
�d
�
}t|�
dkrv|d�|�_|d�|�_ |d�|�_ t|�
dkrpd
�|dd����
|�_nd|�_d�S�)N�
:r���r
���r1���r!���Zs0) �superr����__init__� isinstance�sixZstring_types�split�lenr>���r?���r@����joinrA���)�self�data�fields�
� __class__r���r���rD�������s����








zAvcContext.__init__c
�����������
������C���s���d
|�j�|�j
|�j|�jf�S�)Nz%s:%s:%s:%sr=����
rJ���r���r���r����__str__����s����
zAvcContext.__str__c
�����������������C���s���t��
t|��
�
\}
}|S�r���)�selinuxZselinux_raw_to_trans_context�str)rJ����rcZtransr���r���r����format����s����
zAvcContext.formatc�����������������C���s���|���|
�
�S�r���)
�__eq__�rJ����otherr���r���r����__ne__����s����
zAvcContext.__ne__c�����������������C���s2���t�|�j
����
D�]}t|�|�t|
|�kr
�d
S�qdS��NFT)�list� _xml_info�keys�getattr)rJ���rW����namer���r���r���rU�������s����



zAvcContext.__eq__) �__name__� __module__�__qualname__r[���rD���rP���rT���rX���rU���� __classcell__r���r���rM���r���r�������s���


� r���c�����������������������sv���e�Z
d�Zd
ed�d
ed�d
ed�dd
i
d�Zd��f
dd� Zdd ��Zd d��Zdd ��Ze dd���
Z dd��Zdd��Z���Z S�)r���r<����r;����import_typecastr;���)r.���r/���r0���r,���Nc��������������������s2���t�t
|�����
�|
|�_||�_||�_|d�u
r.||�_d�S�r���)rC���r���rD���r.���r/���r0���r,���)rJ���r.���r/���r0���r,���rM���r���r���rD�������s����





zAuditEventID.__init__c�����������������C���sD���|�j�|
j�krd
S�|�j
|
j
kr d
S�|�j|
jkr0d
S�|�j|
jkr@d
S�dS�rY���)r,���r.���r/���r0���rV���r���r���r���rU�������s����








zAuditEventID.__eq__c�����������������C���sb���|�j�|
j�kr&t
d
|�jj|�j�|
j�f��
�
|�j|
jkr>|�j|
jk�S�|�j|
jkrV|�j|
jk�S�|�j|
jk�S�)Nz?cannot compare two %s objects whose host values differ (%s!=%s))r,���� ValueErrorrN���r_���r.���r/���r0���rV���r���r���r����__lt__����s����


�


zAuditEventID.__lt__c
�����������������C���s���d
d�l�}
|
��|��
S��Nr
���)
�copy)rJ���rh���r���r���r���rh�������s����

zAuditEventID.copyc
�����������
������C���s���t�|�j
�
|�jd
��S�)N������@�@)�floatZsecr/���rO���r���r���r���r�������r���zAuditEventID.<lambda>c
�����������
������C���s���d
|�j�|�j
|�jf�S�)Nzaudit(%d.%d:%d)�r.���r/���r0���rO���r���r���r���rP�������s����
zAuditEventID.__str__c
�����������
������C���s.���|�j�d�u�rd
S�|�j
d�u�rd
S�|�jd�u�r*d
S�dS�rY���rk���rO���r���r���r����is_valid����s����






zAuditEventID.is_valid)
N)r_���r`���ra���r*���r[���rD���rU���rf���rh����property�timerP���rl���rb���r���r���rM���r���r�������s���


�r���c�����������������������s����e�Z
d�Zd
di
ded�d
di
ded�d�ZdZdZe� e�
Z e�d�
Z e�d �
Ze�d �
Zd*��f
dd � Zdd��Zdd��Zdd��Zdd��Zdd��Zdd��Zdd��Zdd��Zdd��Zd d!��Zd"d#��Zd$d%��Zd&d'��Zd(d)��Z���ZS�)+r ���r;���r<����elementrc���)r���r���r����line_numberr
���Ziiiiz([^ \t]+)\s*=\s*([^ \t]+)z$avc:\s+([^\s]+)\s+{([^}]+)}\s+for\s+z^a\d+$Nc��������������������s8���t�t
|�����
�|
|�_||�_||�_||�_||�_|����
�d�S�r���) rC���r ���rD���r���r���r���rL���rp����_init_postprocess)rJ���r���r���r���rL���rp���rM���r���r���rD���
��s����





zAuditRecord.__init__c
�����������������C���sr���t�|�d
d��d�u�r|��
|�j�

�|�jdv�rnd|�jv
rntj�|�j�
}
|
rn|
�d�
}||�jd<�|
�d�
}|� ��|�jd<�d�S�)NrL����r���ZUSER_AVCZ1400Z1107�seresultr1���r!����seperms) r]����set_fields_from_textr���r���rL���r ����avc_rer���r)���rG���)rJ���r-���rs���rt���r���r���r���rq���
��s����







zAuditRecord._init_postprocessc
�����������
������C���s���|�����S�r���)
�to_host_textrO���r���r���r���rP���(
��s����
zAuditRecord.__str__c
�����������
������C���s ���d�|�_�|�j
jd�u�rt��|�j
_d�S�r���)rp���r���r,���Zget_hostnamerO���r���r���r����audispd_rectify+
��s����


zAuditRecord.audispd_rectifyc
�����������
������C���s.���|�j��
��sd
S�|�jd�u�rd
S�|�jd�u�r*d
S�dS�rY���)r���rl���r����messagerO���r���r���r���rl���0
��s����






zAuditRecord.is_validc
�����������������C���s4���|�j�d
�}
|
dkrdS�|
dkr"dS�t
j�d|
�
�dS�)Nrs���ZdeniedFZgrantedTz!unknown value for seresult ('%s'))rL����logZavc�warn)rJ���rs���r���r���r���� is_granted9
��s����






zAuditRecord.is_grantedc
�����������������C���s����g�d
�
}
|
D�]>}||�j�v�r|�j
dkr.|dkr.q|�j�|�}t|�
}||�j�|<�q|�j
dkr�t|�j�����
D�]0\}}|�j�|�
rd|�j�|�}t|�
}||�j�|<�qdd�S�)N)Zacct�cmd�comm�cwdrK����dir�exe�filer,����key�msgr^����newZocommold�pathZwatchr���ZsaddrZEXECVE)rL���r���Zaudit_msg_decoderZ����items�exec_arg_rer���)rJ���Zencoded_fieldsZfield�valueZ decoded_valuer���r���r���� decode_fieldsB
��s����











zAuditRecord.decode_fieldsc�����������������C���sF���z0t�j
d
�dk�r|
�d�
W�S�t�|
�
�d�
W�S�W�n
�
�
�|
�Y�S�0�d�S�)Nr
���r����hexzutf-8)�sys�version_info�decode� bytearray�fromhex�rJ���r����r���r���r���� translate_hexV
��s����



zAuditRecord.translate_hexc�������������� ���C���s
��g�|�_�i�|�_
tj�|
�
D�]�}|�d
�
}|�d�
}|�d�
}z�|dkr^t�t |d��
}t� |�
}|dv�r�|�d�
�d�
s�|��|�
}|dkr�zt jtt |�
�
�}W�n
�
�
�Y�n0�|dkr�t�t |�
t����}|r�|}W�n�ty�
�
�
�Y�n0�||�j
|<�|�j��|�

�qd�S�) Nr1���r!����
"�arch����)r^���r����r~���r}���r����r����exit�syscall)� fields_ordrL���r ����key_value_pair_re�finditerr)����strip�auditZaudit_elf_to_machiner*���Zaudit_machine_to_name� startswithr�����errno� errorcode�absZaudit_syscall_to_nameZaudit_detect_machinere����append)rJ���r���r-���r����r�����
iZsyscall_namer���r���r���ru���e
��s4����



















z AuditRecord.set_fields_from_textc�����������������C���s���|�j��
|
�
S�r���)rL����get)rJ���r^���r���r���r���� get_field�
��s����
zAuditRecord.get_fieldc�����������������C���s"���t�|
�
}t
�tjtjtj|�j|�S�r���)rH����struct�packr ����binary_header_format�binary_version�binary_header_sizer���)rJ���r����� msg_lengthr���r���r����get_binary_header�
��s����


�zAuditRecord.get_binary_headerc
��������������������sj�����j�d�u�rd
S���j
dkr4d��j
��jd���j�
f�}
nd��j
��jf�}
|
d���f
dd���jD��
�
d�7�}
|
S�) N��r���z#type=%s msg=%s: avc: denied { %s } �
ztype=%s msg=%s: c
��������������������s���g�|�]}
d�|
��j�|
�f��qS�)
z%s=%s)
rL���)r8����
krO���r���r���r9����
��r���z.AuditRecord.fields_to_text.<locals>.<listcomp>�
)rL���r���r���rI����accessr����)rJ����bufr���rO���r����fields_to_text�
��s����




"
zAuditRecord.fields_to_textc
�����������
������C���s���d
|�j�|�j
|�jf�S�)Nztype=%s msg=%s: %s )r���r���r���rO���r���r���r����to_text�
��s����
zAuditRecord.to_textc
�����������
������C���s2���|�j�j
d�u
r&d
|�j�j
|�j|�j�|�jf�S�|����S�d�S�)Nznode=%s type=%s msg=%s: %s )r���r,���r���r���r����rO���r���r���r���rw����
��s ����


�zAuditRecord.to_host_textc
�����������������C���s���d
|�j�|�j
f�}
|��|
�
|
�S�)Nz%s: %s)r���r���r�����rJ����recordr���r���r���� to_binary�
��s����

zAuditRecord.to_binary)NN) r_���r`���ra���r���r*���r[���r����r����r�����calcsizer����r����compiler����rv���r����rD���rq���rP���rx���rl���r|���r����r����ru���r����r����r����r����rw���r����rb���r���r���rM���r���r ���

��s4���


�




   " r ���c�������������������@���s,���e�Z
d�Zd
ZdZdd��Zdd��Zdd��Zd S�) r���r1���r!���c�����������������C���sV���|
|�_�d
|�_
d|�_|�j�|�jkr(|�j|�_n*|�j�|�jkr>|�j|�_ntd|
|�j j f��
�
d�S�)Nr����r
���z unknown record format (%s) in %s)� record_format� _input_bufferrp���r���� feed_textZfeedr ����feed_binaryre���rN���r_���)rJ���r����r���r���r���rD����
��s����





zAuditRecordReader.__init__c�����������������c���s����t�|
�
d
k
rd�S�|��j
|
7��_
t�|�j
�
tjk�r2d�S�t�tj|�j
d
tj���\}}}}tj|�}t�|�j
�
|k�rpd�S�|�j
tj|��}t|�
\}} } |�j
|d���|�_
|rt� |�
| | d�d
fV�
�qd�S�rg���) rH���r����r ���r����r�����unpackr����r4���r����Zaudit_msg_type_to_name)rJ����new_datar����r����r���r����Z total_lenr���r���r���r���r���r���r���r�����
��s$����


 

��  



zAuditRecordReader.feed_binaryc����������� ������c���s����t�|
�
d
k
rd�S�|��j
|
7��_
d
}|�j
�d|�}|d
kr�|��jd7��_|d7�}|�j
||��}t|�
\}}}}|r�|||d�|�jfV�
�|}|�j
�d|�}q0|�j
|d���|�_
d�S�)Nr
���r����r1���)rH���r�����findrp���r���) rJ���r�����start�end�liner���r���r���r���r���r���r���r�����
��s ����












zAuditRecordReader.feed_textN)r_���r`���ra���r ���r���rD���r����r����r���r���r���r���r����
��s ���

!r���c�����������������������s����e�Z
d�Zd
ded�d
ed�d�Z��f
dd�Zdd ��Zd d��Zd$d d�
Z dd��Z edd���
Zdd��Z dd��Zd%dd�
Zdd��Zdd��Zdd��Zd d!��Zd"d#��Z���ZS�)&r ���ro���r���)r;���rZ���rd���rc���)�recordsr���c
�����������
���������s*���t�t
|�����
�d�|�_g�|�_i�|�_d�|�_d�S�r���)rC���r ���rD���r���r�����record_types� timestamprO���rM���r���r���rD����
��s ����




zAuditEvent.__init__c
�����������������C���s0���t�|�d
d��d�u�ri�|�_
|�jD�]}
|��|
�

�qd�S�)Nr����)r]���r����r�����process_recordr����r���r���r���rq�����s����


zAuditEvent._init_postprocessc
�������������� ���C���sL���|�j�}
|
�
��
�d
|�j|����|����d�dd��|
D��
�
d�dd��|�jD��
�
f�S�)Nz2%s: is_avc=%s, is_granted=%s: line_numbers=[%s] %s�
,c
�����������������S���s���g�|�]}
t�|
�
�qS�r����
rR���r7���r���r���r���r9�����r���z&AuditEvent.__str__.<locals>.<listcomp>r����c
�����������������S���s���g�|�]}
d�|
��qS�)
z %sr����r8���r����r���r���r���r9�����r���)�line_numbers�sortr����is_avcr|���rI���r����)rJ���r����r���r���r���rP�����s����





��zAuditEvent.__str__r����c�����������������C���s���|
��d
d��|�j
D��
�
S�)Nc
�����������������S���s���g�|�]}
t�|
�
�qS�r���r����r����r���r���r���r9�����r���z%AuditEvent.format.<locals>.<listcomp>)rI���r����)rJ���� separatorr���r���r���rT�����s����
zAuditEvent.formatc
�����������
������C���s ���t�|�j
�
S�r���)rH���r����rO���r���r���r����num_records��s����
zAuditEvent.num_recordsc
�����������
������C���s���d
d��|�j�D��
S�)Nc
�����������������S���s���g�|�]}
|
j�r|
j��qS�r���)
rp���r����r���r���r���r9�����r���z'AuditEvent.<lambda>.<locals>.<listcomp>)
r����rO���r���r���r���r�����r���zAuditEvent.<lambda>c�����������������C���s���|�j��
|
�

�|��|
�

�d�S�r���)r����r����r����r����r���r���r���� add_record��s����

zAuditEvent.add_recordc�����������������C���sp���|�j�d�u�r2|
j��
��|�_�t|�j�j�
|�j�jd
��|�_n |�j�|
j�ksRtd|�j�|
j�f��
�
|�j�|
j g��}|� |
�

�d�S�)Nri���zBcannot add audit record to audit event, event_id mismatch %s != %s)r���rh���rj���r.���r/���r����re���r����� setdefaultr���r����)rJ���r����Zrecord_listr���r���r���r������s����




�
zAuditEvent.process_recordNc�����������������C���sR���g�}|d
u�r|�j�}n |��
|�
}|D�]*}|j�|
�
}|d
u�r<q"|�||jf�

�q"|S�)aN
��Return list of (value, record_type) tuples. In other words return the value matching name for every record_type. If record_type is not specified then all records are searched. Note: it is possible to have more than one record of a given type thus it is always possible to have multiple values returned.N)r�����get_records_of_typerL���r����r����r@���)rJ���r^���r���r����r����r����r����r���r���r���r����+��s����

 



zAuditEvent.get_fieldc�����������������C���s ���d�}|�j��
|
�
}|r|d
�}|S�rg����r����r����)rJ���r@���r����r����r���r���r����get_record_of_type?��s ����




zAuditEvent.get_record_of_typec�����������������C���s���|�j��
|
g��S�r���r����)rJ���r@���r���r���r���r����F��s����
zAuditEvent.get_records_of_typec
�����������������C���s$���d
D�]}
|���|
�
}|r|�
�S�qd�S�)Nrr���)
r����)rJ���r���r����r���r���r����get_avc_recordI��s����



zAuditEvent.get_avc_recordc
�����������
������C���s���|�����d�u
S�r���)
r����rO���r���r���r���r����O��s����
zAuditEvent.is_avcc
�����������������C���s:���d
}
dD�],}|���|�
}|D�]}|�
��s.
�
�d
S�d}
qq|
S�)NFrr���T)r����r|���)rJ���Zall_grantedr���r����r����r���r���r���r|���R��s����





zAuditEvent.is_granted)
r����)
N)r_���r`���ra���r ���r���r[���rD���rq���rP���rT���r����rm���r����r����r����r����r����r����r����r����r|���rb���r���r���rM���r���r ����
��s"���
�  r ���c����������������
���@���s���e�Z
d�Zd
S�)�AVCErrorN)r_���r`���ra���r���r���r���r���r����a��s���
r����c�������������������@���s�
��e�Z
d�Zd
g
Zd
dgZg�d�
Zg�d�
Zg�d�
Zg�d�
Zg�d�
Z g�d�
Z g�d �
Zg�d �
Zg�d�
Z g�d�
Zg�d �
Zd
dgZd
g
Zdg
Zg�d�
Zg�d�
Zg�d�
Zg�d�
Zd
g
Zdg
Zg�d�
Zg�d�
Zg�d�
Zg�d�
Zd
dgZg�d�
Ze� d�
Z!e� d�
Z"dFdd�
Z#d d!��Z$d"d#��Z%d$d%��Z&d&d'��Z'd(d)��Z(d*d+��Z)d,d-��Z*d.d/��Z+d0d1��Z,d2d3��Z-d4d5��Z.d6d7��Z/d8d9��Z0d:d;��Z1d<d=��Z2d>d?��Z3d@dA��Z4dBdC��Z5dDdE��Z6dS�)Gr���r]����execute)�open�readr]����lock�ioctl)r����r����r]���r����r����r����)r����r����r����r]���r����r����)r]����link�unlink�rename)�creater����r]����setattrr����r����r����)r����r����r����r����r]���r�����writer����r����r����r����r����)r����r����r]���r����r���r����) r����r����r]���r����r���r�����add_name�remove_namer����)r����r����r]���r����r���r����r����r����)r����r����r����r]���r����r����r����r����r����r����r���r����r�����reparentr�����rmdir)ZmountZremountZunmountr]���r���r����)r����r]���r���r����r����r����)r����r]���r���r����r����r����r����)r����r]���r���r����r����r����r����)r����r����r]���r����r����r����r����r����r����r���r����r����r����r����r����r����)r����r]���r����r����r����)r����r]���r����r����r����)r����r]���r����r����r����r����)r����r]���r����r����r����r����r����r����)r����r����r]���r����r����r����r����r����r����r����r����r����z^(\w+):\[([^\]]*)\]z^(/proc/)(\d+)(.*)NTc�����������������C���s����|
|�_�||�_
i�|�_d�|�_d�|�_d�|�_d�|�_d�|�_d�|�_d�|�_ d�|�_ d�|�_g�|�_g�|�_ d�|�_d�|�_d�|�_d�|�_d�|�_g�|�_|��|�

�d�S�r���)�audit_event�query_environment�template_substitutions�tpath�spath�source� source_pkgr�����scontext�tcontext�tclass�port�src_rpms�tgt_rpmsr,����pid�kmodr�����why�bools� derive_avc_info_from_audit_event)rJ���r����� avc_recordr����r���r���r���rD������s*����



















zAVC.__init__c
�����������
������C���s���|�����S�r���)
� format_avcrO���r���r���r���rP������s����
zAVC.__str__c
�����������������C���sN���d
}
|
d|�j��7�}
|
d|�j
�7�}
|
d|�j�7�}
|
d|�j�7�}
|
d|�j�7�}
|
S�)Nr����zscontext=%s ztcontext=%s z access=%s z tclass=%s z tpath=%s )r����r����r����r����r����)rJ���r���r���r���r���r�������s����





zAVC.format_avcc�����������������C���s,���|�j�d
u�rdS�|�j�D�]}||
v�r
�dS�qdS�)zMReturns true if the AVC contains _any_ of the permissions in the access list.NFT�
r�����rJ���Zaccess_list�
ar���r���r����has_any_access_in���s����



zAVC.has_any_access_inc�����������������C���s,���|�j�d
u�rdS�|�j�D�]}||
v
r
�dS�qdS�)zmReturns true if _every_ access in the AVC matches at least one of the permissions in the access list.NFTr����r����r���r���r����all_accesses_are_in���s����



zAVC.all_accesses_are_inc
�������������� ���C���s����t���t
���}
|
���
�t��}|���
�g�}d
d��dd��ttg
t|�jjt |�j t|�ji�D��
D��
}|}|D�]$}||v�rb|� ttt|��
d��

�qb|D�]}||
v�r�||v
r�|�|�

�q�|���
�|S�)Nc
�����������������S���s���g�|�]}
|
t���qS�r���)
ZTARGETr7���r���r���r���r9������r���z,AVC.allowed_target_types.<locals>.<listcomp>c
�����������������S���s���g�|�]}
|
d��r|
�qS�)
Zenabledr���)r8���r���r���r���r���r9������r����types)Zget_all_file_typesZget_all_port_typesr����Zget_all_attributesr����ALLOW�SOURCEr����r@���ZCLASSr����ZPERMSr�����extend�next�infoZ ATTRIBUTEr����)rJ���Z all_typesZall_attributesZ allowed_typesZwtypesr�����
tr���r���r����allowed_target_types���s ����





4








zAVC.allowed_target_typesc
�����������
������C���sB���|���d
g
�
r>z$|�j
r.t|�j
�
t@�tjkr.W�dS�W�n
�
�
�Y�n0�dS�)Nr����TF)r�����a1r*���� O_ACCMODE�os�O_RDONLYrO���r���r���r����open_with_write���s����






zAVC.open_with_writec�����������������C���s"���|D�]}t��
||
j�r
�d
S�qdS�)NTF)r���r-���r@���)rJ����context� type_listr@���r���r���r���Z__typeMatch���s����



zAVC.__typeMatchc�����������������C���s���|�j�d
u�rdS�|��
|�j�|
�S�)zReturns true if the type in the source context of the avc regular expression matches any of the types in the type list.NF)r�����_AVC__typeMatch�rJ���r
��r���r���r����matches_source_types���s����

zAVC.matches_source_typesc�����������������C���s���|�j�d
u�rdS�|��
|�j�|
�S�)zReturns true if the type in the target context of the avc regular expression matches any of the types in the type list.NF)r����r
��r
��r���r���r����matches_target_types���s����

zAVC.matches_target_typesc�����������������C���s���|�j�d�u�rd
S�|�j�|
v�S�)NF)
r����)rJ���Ztclass_listr���r���r���� has_tclass_in���s����


zAVC.has_tclass_inc
�����������
������C���s���|�����
�|��
��
�d�S�r���)�derive_environmental_info�%update_derived_template_substitutionsrO���r���r���r����update
��s����

z AVC.updatec
�����������
������C���s���t�|�j
�
�S�r���)�is_standard_directoryr����rO���r���r���r����path_is_not_standard_directory��s����
z"AVC.path_is_not_standard_directoryc�������������� ���C���s���|�j��
d
�
}|�j��
d�
}|�j��
d�
}|du�r�|�j�d�
}|D�]D}|�
d�
}|rX|dkrXq<|�
d
�
}|r<|r<|dkr<|�|�
r<
�q�q<|r�tj�|�
s�|
du
r�tj�|
�
r�tj�tj� |
|��
}|du��
r"|�j��
d
�
}|du
�
r"|�j��
d�
}|d kr�d |�}n(|dk�
r|dk�
r|}nd |�}n|}|du
�r�|dk�r|�rg�} �
z�d } |�j��
d�
}tj� d|��
�
rvt�d|��
j} t |�
}tdd�} | ����d�
D�]�}|���}t|�
�
r�|d�d �dk�
r�zP| d k�
s�t�|d ��
j| k�rt t�|d��
j�
|k�r| �|dd���

�W�n�t�y(
�
�
�Y��
q�Y�n0��
q�| ���
�t| �
dk�rR| d �d�}n�t| �
dk�r�| D�]�}|d �d|�k�s�|d�|k�r�|d�}
��q�nJz4| d k�r�t�|d ��
j| k�r�|d�}W�
��q�W�n�t�y�
�
�
�Y�n0��qdW�n.�t�y�
�
�
�d}Y�n�t�y
�
�
�d}Y�n0�n�|�d�
dk�r�|�r�d dl}ddd|�g}zl|j||jdd�}t |�
}|�d�
D�]B}z&t t�|�
j�
|k�r�|}W�
��q�W�n�t�y�
�
�
�Y�n0��qlW�n�t�y�
�
�
�Y�n0�|du
�r$tj�|�
�r�|�j�d|�}n4|�j� |�
}|�r|�j!}|d �dk�r$d |�"d�
�}||�_#|�j#du��r~|�j!d!k�rJd"|�_#n4|�j!d#k�sb|�j!d$k�rtt$d%�
|�j%�|�_#n t$d&�
|�_#dS�)'a���Derive the target path. If path information is available the avc record will have a path field and no name field because the path field is more specific and supersedes name. The name field is typically the directory entry. For some special files the kernel embeds instance information into the file name. For example 'pipe:[1234]' or 'socket:[1234]' where the number inside the brackets is the inode number. The proc pseudo file system has the process pid embedded in the name, for example '/proc/1234/mem'. These numbers are ephemeral and do not contribute meaningful information for our reports. Plus we may use the path information to decide if an alert is identical to a previous alert, we coalesce them if they are. The presence of an instance specific number in the path confuses this comparison. For these reasons we strip any instance information out of the path, Example input and output: pipe:[1234] --> pipe socket:[1234] --> socket /proc/1234/fd --> /proc/<pid>/fd ./foo --> ./foo /etc/sysconfig --> /etc/sysconfig r^���r�����inoN�PATHZnametypeZPARENTr����r�����%sr�����
/r
����devz/dev/z/proc/mounts�
rr����r1���r���z/dev/%sr!���zunknown mountpointFZlocatez-bz\%sT)�stderrZuniversal_newlinesz \1<pid>\3�
��
@Z filesystemr����Z udp_socketZ tcp_socketzport %sZUnknown)&r����r����r����r�����endswithr
��r�����isabs�normpathrI����exists�lstat�st_rdevr*���r����r����rG���rH����stat�st_inor�����OSError�close� TypeErrorr����� subprocessZcheck_outputZSTDOUT� Exception�proc_pid_instance_re�sub�pipe_instance_path_rer���r����r����r�����
_r����)rJ���r���r^���r����ZinodestrZavc_path_recordsZavc_path_recordr���r�����matchesZdev_rdevr
��r
���fdr����r���r+
��Zcommand�outputr����r-���r���r���r���� _set_tpath��s�����



 
$
 



  











:



























�
















zAVC._set_tpathc����������� ������C���s���d�|�_�d�|�_
d�|�_d�|�_d
|�_g�|�_d��}�}�}}|
r@|
|�_n|�j���|�_|�j� d�
}|�j� d�
|�_t|�j t�s�t|�j� d�
�
|�_ t|�jt�s�t|�j� d�
�
|�_|�j� d�
|�_|�j� d�
d�u�r�|�j� d�
|�_n|�j� d�
|�_|�j� d �
|�_|�j� d �
|�_|�
r<|� d�
}|� d�
}|� d �
|�_|� d�
dk|�_|� d�
|�_|d�u��
rR|�j� d�
}|d�u��
rh|�j� d�
}||�_
|�
r|||�_n|�
r�|�j
|�_|�j
�
s�|�j|�_
|�j
�
s�|�j j|�_
|�j� d�
}|�
r�|� d�
}nd�}|��|�

�|�j�d�
} | D�]H} | � d�
}tj�|�
�s |�s|�j�|�

�n|�j�tj�||��

��
q�g�|�_g�|�_|�jjj |�_ t!�"t#|�j �
t#|�j�
t#|�j�
|�j�\|�_$}|�j$t!j%k�r�t&t'd�
|�j��
�
|�j$t!j(k�r�t&t'd�
|�j��
�
|�j$t!j)k�r�t&t'd�
�
�
|�j$t!j*k�r�t&t'd�
|�j��
�
|�j$t!j+k�rt&t'd�
|�j��
�
|�j$t!j,k�r.t&t'd�
|�j��
�
|�j$t!j-k�rNt&t'd�
|�j��
�
|�j$t!j.k�rht&t'd�
�
�
|�j$t!j/k�r|||�_0d�S�)NFZSYSCALLrt���r����r����r�����dest�srcr����r����r����r~���r�����successZyesr
��ZCWDr���r
��r^���z8%s **** Recorded AVC is allowed in current policy **** zh%s **** Recorded AVC is dontaudited in current policy. 'semodule -B' will turn on dontaudit rules **** zMust call policy_init firstz.%s **** Invalid AVC: bad target context **** z.%s **** Invalid AVC: bad source context **** z*%s **** Invalid AVC: bad type class **** z*%s **** Invalid AVC: bad permission **** z&Error during access vector computation)1r����r����r����r
��r7
��Z syscall_pathsr����r����r����r����r����r����rE���r����r���r����r����r����r����r����r����r@���r4
��r����r
��r����r!
��r����rI���r����r����r���r,���� audit2whyZanalyzerR���r����r����r����r0
��Z DONTAUDITZNOPOLICYZBADTCONZBADSCONZ BADTCLASSZBADPERMZ BADCOMPUTEZBOOLEANr����) rJ���r����r����r~���r����r����Zsyscall_recordZ cwd_recordr���Zpath_recordsZpath_recordr����r����r���r���r���r�������s�����


























 




*

















z$AVC.derive_avc_info_from_audit_eventc
�����������������C���sT���|�j�rP|�j
r,t|�j
�
|�_|�jr,|�j�|�j�

�t|�j�
sPt|�j�
}
|
rP|�j�|
�

�d�S�r���) r����r����Zget_package_nvr_by_file_pathr����r����r����r
��r����r����)rJ���Zrpmr���r���r���r
����s����







zAVC.derive_environmental_infoc�����������������C���s���|�j�d�u�r|
|�_�d�S�r���)
r����r����r���r���r����set_alt_path��s����

zAVC.set_alt_pathc
�����������������K���s(���t�|
�
���
D�]\}}|r||�j|<�qd�S�r���)rZ���r����r����)rJ����kwdsr����r����r���r���r����set_template_substitutions��s����


zAVC.set_template_substitutionsc
�����������
������C���sV
��t�|�j
j�
|�jd
<�t�|�jj�
|�jd<�t�|�j�
|�jd<�t�|�j�
|�jd<�|�jrdt�ddt�|�j�
�|�jd<�t�|�j �
|�jd<�|�j r�t�ddt�|�j �
�|�jd <�|�j d�u�r�d�|�jd <�nJ|�j dkr�t�|�j �
|�jd <�n.|�j dkr�t�tj� |�j �
�
|�jd <�n d�|�jd <�t�|�j �
|�jd <�|�jd�u��
rd�|�jd<�nt�d�|�j�
�
|�jd<�t�|�j�
|�jd<�t�|�j�
|�jd<�d�S�)NZSOURCE_TYPEZTARGET_TYPEr�
��ZSOURCE_PATHr�����
.ZFIX_SOURCE_PATHZTARGET_PATHZFIX_TARGET_PATHZ TARGET_DIRr����r����ZTARGET_CLASSZACCESSZSOURCE_PACKAGEZPORT_NUMBER)�escape_htmlr����r@���r����r����r����r����r���r.
��r����r����r
��r�����dirnamer����rI���r����r����rO���r���r���r���r
��$��s,����












 

z)AVC.update_derived_template_substitutionsc
�����������������C���s6���t�|�j
����
D�]"\}
}|d�u�rtt|�
�
|�j
|
<�qd�S�r���)rZ���r����r����r=
��Zdefault_text)rJ���r����r����r���r���r����validate_template_substitutionsC��s����

z#AVC.validate_template_substitutions)NT)7r_���r`���ra���Zstat_file_permsZx_file_permsZr_file_permsZ rx_file_permsZ ra_file_permsZlink_file_permsZcreate_lnk_permsZcreate_file_permsZr_dir_permsZrw_dir_permsZra_dir_permsZcreate_dir_permsZmount_fs_permsZsearch_dir_permsZgetattr_dir_permsZsetattr_dir_permsZlist_dir_permsZadd_entry_dir_permsZdel_entry_dir_permsZmanage_dir_permsZgetattr_file_permsZsetattr_file_permsZread_file_permsZappend_file_permsZwrite_file_permsZ rw_file_permsZdelete_file_permsZmanage_file_permsr���r����r/
��r-
��rD���rP���r����r����r����r
��r
��r
��r
��r
��r
��r
��r
��r4
��r����r
��r9
��r;
��r
��r?
��r���r���r���r���r���e��sf���
























   �"fr���c
�����������������C���s����g�}
znd
D�]d}|���|�
}|D�]P}z|
�
t|�|��

�W�q�tyj
�}
�z|�|jd|��
�W�Y�d�}~qd�}~0�0�qq W�nR�ty�
�}
�z:dd�l}dd�l}|�|jd|��
�t|� ���

�W�Y�d�}~n d�}~0�0�|
S�)Nrr���r
��r
���z!Unable to process audit event: %s) r����r����r���r�����syslogZLOG_ERRr,
��� tracebackZsyslog_trace� format_exc)r����Zavcsr���r����r�����
er@
��rA
��r���r���r���r���J��s����







0




"r���)*Z __future__r���rF���Z six.movesr���r�����__all__r����r����r
��r����r���rQ����base64r����Zselinux.audit2whyr8
��Zsetroubleshoot.utilZsetroubleshoot.html_utilZsetroubleshoot.xml_serializeZsepolicyr
���cmpr���r���r����r(���r���r3���r4���r5���r6���ZXmlSerializer���r���r ���r���r ���r,
��r����r���r���r���r���r���r����<module>
���sP���


 











  )<�*Mj���h