এটি হল audit2allow কমান্ড যা আমাদের একাধিক বিনামূল্যের অনলাইন ওয়ার্কস্টেশন যেমন উবুন্টু অনলাইন, ফেডোরা অনলাইন, উইন্ডোজ অনলাইন এমুলেটর বা MAC OS অনলাইন এমুলেটর ব্যবহার করে OnWorks ফ্রি হোস্টিং প্রদানকারীতে চালানো যেতে পারে।
কার্যক্রম:
NAME এর
audit2allow - অস্বীকৃত ক্রিয়াকলাপগুলির লগ থেকে SELinux নীতি অনুমোদন/অপরীক্ষার নিয়ম তৈরি করুন
audit2why - কেন অ্যাক্সেস ছিল তার বর্ণনায় SELinux অডিট বার্তা অনুবাদ করে
অস্বীকৃত (audit2allow -w)
সাইনোপিসিস
audit2allow [অপশন]
বিকল্প
-a | --সব
অডিট এবং বার্তা লগ থেকে ইনপুট পড়ুন, -i এর সাথে দ্বন্দ্ব
-b | -বুট
-i এর সাথে শেষ বুট বিরোধের পর থেকে অডিট বার্তাগুলি থেকে ইনপুট পড়ুন
-d | --dmesg
এর আউটপুট থেকে ইনপুট পড়ুন /bin/dmesg। মনে রাখবেন যে সমস্ত অডিট বার্তা নয়
dmesg এর মাধ্যমে উপলব্ধ যখন auditd চলছে; "ausearch -m avc | audit2allow" ব্যবহার করুন বা
পরিবর্তে "-a"।
-D | --ডন্টাডিট
ডোন্টাডিট নিয়ম তৈরি করুন (ডিফল্ট: অনুমতি দিন)
-h | --help
একটি সংক্ষিপ্ত ব্যবহারের বার্তা প্রিন্ট করুন
-i | --ইনপুট
থেকে ইনপুট পড়ুন
-l | --লাস্ট্রেলোড
শেষ পলিসি রিলোড করার পরেই ইনপুট পড়ুন
-m | --মডিউল
মডিউল তৈরি করুন/আউটপুট প্রয়োজন
-M
লোডযোগ্য মডিউল প্যাকেজ তৈরি করুন, -o এর সাথে দ্বন্দ্ব
-p | --নীতি
বিশ্লেষণের জন্য ব্যবহার করার জন্য নীতি ফাইল
-o | --আউটপুট
আউটপুট যোগ করুন
-r | --প্রয়োজন
লোডযোগ্য মডিউলগুলির জন্য প্রয়োজন আউটপুট সিনট্যাক্স তৈরি করুন।
-N | --নোরেফারেন্স
রেফারেন্স নীতি তৈরি করবেন না, ঐতিহ্যগত শৈলী নিয়মগুলিকে অনুমতি দেয়। এই হল
ডিফল্ট আচরণ।
-R | -- রেফারেন্স
ইনস্টল করা ম্যাক্রো ব্যবহার করে রেফারেন্স নীতি তৈরি করুন। এই অস্বীকার মেলে চেষ্টা
ইন্টারফেসের বিরুদ্ধে এবং ভুল হতে পারে।
-w | --কেন
কেন অ্যাক্সেস অস্বীকার করা হয়েছিল তার বর্ণনায় SELinux অডিট বার্তাগুলিকে অনুবাদ করে৷
-v | -- ভারবোস
ভার্বোস আউটপুট চালু করুন
বর্ণনাঃ
এই ইউটিলিটি লগগুলি স্ক্যান করে লগ করা বার্তাগুলির জন্য যখন সিস্টেম অনুমতি অস্বীকার করে
অপারেশন, এবং নীতির নিয়মগুলির একটি স্নিপেট তৈরি করে যা, যদি নীতিতে লোড করা হয়, হতে পারে
যারা অপারেশন সফল করার অনুমতি দিয়েছে. যাইহোক, এই ইউটিলিটি শুধুমাত্র টাইপ তৈরি করে
এনফোর্সমেন্ট (TE) নিয়মগুলিকে অনুমতি দেয়৷ কিছু অনুমতি অস্বীকার অন্যান্য ধরনের প্রয়োজন হতে পারে
নীতি পরিবর্তন, যেমন একটি বিদ্যমান সন্তুষ্ট একটি টাইপ ঘোষণা একটি বৈশিষ্ট্য যোগ
সীমাবদ্ধতা, একটি ভূমিকা যোগ করা নিয়ম অনুমোদন করা, বা একটি সীমাবদ্ধতা সংশোধন করা। দ্য audit2why(8) উপযোগিতা
এটি অস্পষ্ট হলে কারণ নির্ণয় করতে ব্যবহার করা যেতে পারে।
নিশ্চিত করতে এই ইউটিলিটির আউটপুটটিতে কাজ করার সময় যত্ন নেওয়া উচিত
ক্রিয়াকলাপগুলির অনুমতি দেওয়া নিরাপত্তা হুমকির সৃষ্টি করে না৷ প্রায়ই নতুন সংজ্ঞায়িত করা ভাল
ডোমেন এবং/অথবা প্রকার, অথবা সংকীর্ণভাবে একটি সর্বোত্তম সেটের অনুমতি দেওয়ার জন্য অন্যান্য কাঠামোগত পরিবর্তন করুন
কখনও কখনও বিস্তৃত পরিবর্তনগুলি অন্ধভাবে বাস্তবায়নের বিপরীতে সফল হওয়ার জন্য অপারেশনগুলি
এই ইউটিলিটি দ্বারা প্রস্তাবিত. কিছু অনুমতি অস্বীকারের জন্য মারাত্মক নয়
আবেদন, যে ক্ষেত্রে এটি কেবল অস্বীকারের লগিং দমন করা বাঞ্ছনীয় হতে পারে
একটি 'অনুমতি দিন' নিয়মের পরিবর্তে একটি 'ডন্টাডিট' নিয়মের মাধ্যমে।
EXAMPLE টি
লক্ষ্য করুন: এইগুলো উদাহরণ হয় উন্নত সিস্টেম ব্যবহার দ্য নিরীক্ষা প্যাকেজ। If আপনি do
না ব্যবহার দ্য নিরীক্ষা প্যাকেজ, দ্য অধীনে লাইসেন্সীকৃত বার্তা ইচ্ছা be in /var/log/messages।
অনুগ্রহ করে বিকল্প প্রথমেই / var / log /? বার্তা উন্নত /var/log/audit/audit.log in দ্য
উদাহরণ।
ব্যবহার audit2allow থেকে উত্পাদন করা মডিউল নীতি
$ cat /var/log/audit/audit.log | audit2allow -m স্থানীয় > local.te
$ cat local.te
মডিউল স্থানীয় 1.0;
প্রয়োজন {
ক্লাস ফাইল { getattr open read };
myapp_t টাইপ করুন;
টাইপ etc_t;
};
অনুমতি দিন myapp_t etc_t:file { getattr open read };
ব্যবহার audit2allow থেকে উত্পাদন করা মডিউল নীতি ব্যবহার উল্লেখ নীতি
$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
নীতি_মডিউল (স্থানীয়, 1.0)
gen_require(`
myapp_t টাইপ করুন;
টাইপ etc_t;
};
files_read_etc_files(myapp_t)
ভবন মডিউল নীতি ব্যবহার Makefile নামক
# SELinux এর অধীনে একটি নীতি উন্নয়ন পরিবেশ প্রদান করে
# /usr/share/selinux/devel সমস্ত পাঠানো সহ
#টি ইন্টারফেস ফাইল।
# আপনি একটি te ফাইল তৈরি করতে পারেন এবং এটি সম্পাদন করে কম্পাইল করতে পারেন
$ make -f /usr/share/selinux/devel/Makefile local.pp
# এই মেক কমান্ড কারেন্টে একটি local.te ফাইল কম্পাইল করবে
# ডিরেক্টরি। আপনি একটি "pp" ফাইল নির্দিষ্ট না হলে, ফাইল তৈরি করুন
# বর্তমান ডিরেক্টরিতে সমস্ত "te" ফাইল কম্পাইল করবে। পরে
# আপনি আপনার te ফাইলটিকে একটি "pp" ফাইলে কম্পাইল করুন, আপনাকে ইনস্টল করতে হবে
# এটি সেমডিউল কমান্ড ব্যবহার করে।
$ semodule -i local.pp
ভবন মডিউল নীতি ম্যানুয়ালি
# মডিউল কম্পাইল করুন
$ checkmodule -M -m -o local.mod local.te
# প্যাকেজ তৈরি করুন
$ semodule_package -o local.pp -m local.mod
# কার্নেলে মডিউল লোড করুন
$ semodule -i local.pp
ব্যবহার audit2allow থেকে উত্পাদন করা এবং নির্মাণ করা মডিউল নীতি
$ cat /var/log/audit/audit.log | audit2allow -M স্থানীয়
টাইপ এনফোর্সমেন্ট ফাইল তৈরি করা হচ্ছে: local.te
কম্পাইলিং নীতি: checkmodule -M -m -o local.mod local.te
বিল্ডিং প্যাকেজ: semodule_package -o local.pp -m local.mod
******************** গুরুত্বপূর্ণ ***********************
কার্নেলের মধ্যে এই নতুন তৈরি নীতি প্যাকেজ লোড করার জন্য,
আপনি কার্যকর করতে হবে
semodule -i local.pp
ব্যবহার audit2allow থেকে উত্পাদন করা একঘেয়েমি (অ-মডিউল) নীতি
$ সিডি /etc/selinux/$SELINUXTYPE/src/নীতি
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat ডোমেইন/misc/local.te
cupsd_config_t unconfined_t অনুমতি দিন:fifo_file { getattr ioctl };
$ মেক লোড
onworks.net পরিষেবা ব্যবহার করে audit2allow অনলাইন ব্যবহার করুন
