هذا هو الأمر Audit2allow الذي يمكن تشغيله في مزود الاستضافة المجانية OnWorks باستخدام إحدى محطات العمل المجانية المتعددة على الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
Audit2allow - إنشاء سياسة SELinux allow / dontaudit من سجلات العمليات المرفوضة
تدقيق 2 لماذا - يترجم رسائل تدقيق SELinux إلى وصف لسبب الوصول
مرفوض (Audit2allow -w)
موجز
Audit2allow [الخيارات]
OPTIONS
-a | --الكل
قراءة المدخلات من التدقيق وسجل الرسائل ، تتعارض مع -i
-b | --حذاء طويل
قراءة المدخلات من رسائل التدقيق منذ تعارض التمهيد الأخير مع -i
-d | --dmesg
قراءة المدخلات من إخراج / بن / dmesg. لاحظ أن جميع رسائل التدقيق ليست كذلك
متاح عبر dmesg عند تشغيل Auditd ؛ استخدم "ausearch -m avc | Audit2allow" أو
بدلا من ذلك "-a".
-D | --دونتودت
إنشاء قواعد عدم المراجعة (الافتراضي: سماح)
-h | --مساعدة
اطبع رسالة استخدام قصيرة
-i | --إدخال
قراءة المدخلات من
-l | --آخر تحميل
قراءة الإدخال فقط بعد إعادة تحميل السياسة الأخيرة
-m | --وحدة
توليد وحدة / تتطلب الإخراج
-M
إنشاء حزمة وحدة قابلة للتحميل ، تتعارض مع -o
-p | --سياسة
ملف السياسة لاستخدامه في التحليل
-o | --انتاج
إلحاق الإخراج بـ
-r | --يتطلب
إنشاء يتطلب بناء جملة الإخراج للوحدات النمطية للتحميل.
-N | --لا مرجع
لا تقم بإنشاء سياسة مرجعية ، فالنمط التقليدي يسمح بالقواعد. هذا ال
السلوك الافتراضي.
-R | --المرجعي
إنشاء نهج مرجعي باستخدام وحدات الماكرو المثبتة. هذا يحاول مضاهاة النفي
ضد الواجهات وقد تكون غير دقيقة.
-w | --لماذا
يترجم رسائل تدقيق SELinux إلى وصف لسبب رفض الوصول
-v | - الإسراف
قم بتشغيل الإخراج المطول
الوصف
تقوم هذه الأداة بفحص السجلات بحثًا عن الرسائل التي تم تسجيلها عندما رفض النظام إذنًا لـ
العمليات ، وينشئ مقتطفًا من قواعد السياسة التي ، إذا تم تحميلها في السياسة ، فقد
سمحت لهذه العمليات بالنجاح. ومع ذلك ، تقوم هذه الأداة المساعدة بإنشاء النوع فقط
تطبيق (TE) يسمح بالقواعد. قد تتطلب بعض أنواع رفض الإذن أنواعًا أخرى من
تغييرات السياسة ، على سبيل المثال إضافة سمة إلى إعلان نوع لتلبية موجود
القيد ، إضافة دور يسمح القاعدة ، أو تعديل القيد. ال تدقيق 2 لماذا(8) فائدة
يمكن استخدامها لتشخيص السبب عندما يكون غير واضح.
يجب توخي الحذر أثناء العمل على ناتج هذه الأداة المساعدة للتأكد من أن ملف
لا تشكل العمليات المسموح بها تهديدًا أمنيًا. غالبًا ما يكون من الأفضل تحديد الجديد
المجالات و / أو الأنواع ، أو إجراء تغييرات هيكلية أخرى للسماح لمجموعة مثالية من
عمليات ناجحة ، بدلاً من التنفيذ الأعمى للتغييرات الواسعة أحيانًا
أوصت به هذه الأداة. بعض حالات رفض الإذن ليست قاتلة لـ
التطبيق ، وفي هذه الحالة قد يكون من الأفضل ببساطة إلغاء تسجيل الرفض
عبر قاعدة "dontaudit" بدلاً من قاعدة "allow".
مثال
NOTE: تشبه أمثلة . For نظم استخدام ال التدقيق الحزمة. If لصحتك! do
ليس تستخدم ال التدقيق حزمة، ال AVC رسائل سوف be in / فار / سجل / رسائل.
من فضلك قم استبدل / فار / سجل / رسائل For /var/log/audit/audit.log in ال
أمثلة.
باستخدام Audit2allow إلى توليد وحدة سياسة
$ cat /var/log/audit/audit.log | Audit2allow -m محلي> local.te
$ القطة local.te
الوحدة المحلية 1.0 ؛
يتطلب {
ملف الفصل {getattr open read} ؛
اكتب myapp_t ؛
اكتب etc_t ؛
};
allow myapp_t etc_t: file {getattr open read} ؛
باستخدام Audit2allow إلى توليد وحدة سياسة استخدام مرجع سياسة
$ cat /var/log/audit/audit.log | Audit2allow -R -m محلي> local.te
$ القطة local.te
policy_module (محلي ، 1.0)
gen_require (`.
اكتب myapp_t ؛
اكتب etc_t ؛
};
files_read_etc_files(myapp_t)
ابني وحدة سياسة استخدام ماكيفيلي
# يوفر SELinux بيئة تطوير السياسة في ظل
# / usr / share / selinux / devel بما في ذلك جميع الشحنات
# ملفات واجهة.
# يمكنك إنشاء ملف وتجميعه عن طريق التنفيذ
$ make -f / usr / share / selinux / devel / Makefile local.pp
# سيؤدي هذا الأمر make إلى ترجمة ملف local.te في الملف الحالي
# الدليل. إذا لم تحدد ملف "pp" ، فقم بإنشاء ملف
# سيجمع كل ملفات "te" في الدليل الحالي. بعد
# تقوم بتجميع ملف te الخاص بك في ملف "pp" ، وتحتاج إلى تثبيته
# باستخدام الأمر semodule.
semodule $ -i local.pp
ابني وحدة سياسة يدويا
# تجميع الوحدة
$ checkmodule -M -m -o local.mod local.te
# قم بإنشاء الحزمة
$ semodule_package -o local.pp -m local.mod
# قم بتحميل الوحدة النمطية في النواة
semodule $ -i local.pp
باستخدام Audit2allow إلى توليد و نساعدك في بناء وحدة سياسة
$ cat /var/log/audit/audit.log | Audit2allow -M محلي
إنشاء ملف فرض النوع: local.te
نهج التجميع: checkmodule -M -m -o local.mod local.te
حزمة البناء: semodule_package -o local.pp -m local.mod
******************** مهم ***********************
لتحميل حزمة السياسة هذه التي تم إنشاؤها حديثًا في النواة ،
أنت مطالب بالتنفيذ
semodule -i local.pp
باستخدام Audit2allow إلى توليد المتجانسة (غير وحدة) سياسة
$ cd / etc / selinux /SELINUXTYPE $ / src / policy
$ cat /var/log/audit/audit.log | Audit2allow >> المجالات / misc / local.te
نطاقات $ cat / متفرقات / local.te
allow cupsd_config_t unconfined_t: fifo_file {getattr ioctl}؛
$ جعل الحمل
استخدم Audit2allow عبر الإنترنت باستخدام خدمات onworks.net