audit2allow – Online in der Cloud

PROGRAMM:

NAME/FUNKTION

audit2erlauben - Generieren Sie SELinux-Richtlinien-Zulassungs-/Dontaudit-Regeln aus Protokollen verweigerter Vorgänge

audit2why - übersetzt SELinux-Überwachungsmeldungen in eine Beschreibung, warum der Zugriff erfolgte
verweigert (audit2allow -w)

ZUSAMMENFASSUNG

audit2erlauben [Optionen]

OPTIONAL

-a | --alle
Eingaben aus Audit- und Nachrichtenprotokoll lesen, Konflikte mit -i

-b | --Stiefel
Das Lesen von Eingaben aus Prüfmeldungen seit dem letzten Start steht in Konflikt mit -i

-d | --dmesg
Lesen Sie die Eingabe aus der Ausgabe von /bin/dmesg. Beachten Sie, dass dies nicht bei allen Prüfmeldungen der Fall ist
verfügbar über dmesg, wenn auditd ausgeführt wird; Verwenden Sie „aussearch -m avc | audit2allow“ oder
stattdessen „-a“.

-D | --dontaudit
Dontaudit-Regeln generieren (Standard: zulassen)

-h | --help
Drucken Sie eine kurze Nutzungsnachricht

-i | --Eingang
Eingabe lesen von

-l | --lastreload
Eingaben erst nach dem letzten Neuladen der Richtlinie lesen

-m | --Modul
Generieren Sie eine Modul-/Anforderungsausgabe

-M
Ladbares Modulpaket generieren, Konflikte mit -o

-p | --Politik
Richtliniendatei zur Verwendung für die Analyse

-o | --Ausgabe
Ausgabe anhängen

-r | --erfordert
Generieren Sie eine erforderliche Ausgabesyntax für ladbare Module.

-N | --keine Referenz
Generieren Sie keine Referenzrichtlinie, sondern erlauben Sie Regeln im traditionellen Stil. Dies ist das
Standardverhalten.

-R | --Hinweis
Referenzrichtlinie mithilfe installierter Makros generieren. Dadurch wird versucht, Ablehnungen zuzuordnen
gegen Schnittstellen und kann ungenau sein.

-w | --Warum
Übersetzt SELinux-Überwachungsmeldungen in eine Beschreibung, warum der Zugriff verweigert wurde

-v | - ausführlich
Aktivieren Sie die ausführliche Ausgabe

BESCHREIBUNG

Dieses Dienstprogramm durchsucht die Protokolle nach Nachrichten, die protokolliert wurden, als das System die Berechtigung dafür verweigerte
Vorgänge und generiert einen Ausschnitt aus Richtlinienregeln, die, wenn sie in die Richtlinie geladen werden, möglicherweise
haben den Erfolg dieser Operationen ermöglicht. Dieses Dienstprogramm generiert jedoch nur den Typ
Durchsetzungsregeln (TE) erlauben Regeln. Bestimmte Genehmigungsverweigerungen erfordern möglicherweise andere Arten von Genehmigungen
Richtlinienänderungen, z. B. Hinzufügen eines Attributs zu einer Typdeklaration, um eine vorhandene zu erfüllen
Einschränkung, Hinzufügen einer Rollenzulassungsregel oder Ändern einer Einschränkung. Der audit2why(8) Dienstprogramm
kann zur Diagnose der Ursache verwendet werden, wenn diese unklar ist.

Bei der Bearbeitung der Ausgabe dieses Dienstprogramms muss darauf geachtet werden, dass die
Der erlaubte Betrieb stellt kein Sicherheitsrisiko dar. Oft ist es besser, neu zu definieren
B. Domänen und/oder Typen, oder nehmen Sie andere strukturelle Änderungen vor, um einen optimalen Satz von Domänen und/oder Typen zu ermöglichen
um den Betrieb zum Erfolg zu führen, anstatt blindlings die manchmal weitreichenden Veränderungen umzusetzen
von diesem Dienstprogramm empfohlen. Bestimmte Erlaubnisverweigerungen sind für die nicht fatal
In diesem Fall kann es besser sein, die Protokollierung der Ablehnung einfach zu unterdrücken
über eine „dontaudit“-Regel statt einer „allow“-Regel.

BEISPIEL

Anmerkungen: Diese Beispiele sind für Systeme Verwendung von Prüfung Paket. If U do
nicht - Prüfung Paket, AVC Nachrichten werden wir be in /var/log/messages.
Bitte kontaktieren Sie uns, wenn Sie Probleme im Zusammenhang mit dieser Website haben oder Ersatz / var / log / Nachrichten für /var/log/audit/audit.log in
Beispiele.

Die richtigen audit2erlauben zu erzeugen Modulen Datenschutzrichtlinien

$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
Modul lokal 1.0;

erfordern {
Klassendatei { getattr open read };

Geben Sie myapp_t ein;
Typ etc_t;
};

erlauben Sie myapp_t etc_t:file { getattr open read };


Die richtigen audit2erlauben zu erzeugen Modulen Datenschutzrichtlinien Verwendung von Referenz Datenschutzrichtlinien

$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
Policy_module(local, 1.0)

gen_require(`
Geben Sie myapp_t ein;
Typ etc_t;
};

files_read_etc_files(myapp_t)


Building Modulen Datenschutzrichtlinien Verwendung von Make-Datei

# SELinux bietet eine Richtlinienentwicklungsumgebung unter
# /usr/share/selinux/devel einschließlich aller ausgelieferten Dateien
# Schnittstellendateien.
# Sie können eine TE-Datei erstellen und diese durch Ausführen kompilieren

$ make -f /usr/share/selinux/devel/Makefile local.pp

# Dieser Make-Befehl kompiliert eine local.te-Datei im aktuellen
# Verzeichnis. Wenn Sie keine „pp“-Datei angegeben haben, ist dies die Make-Datei
# kompiliert alle „te“-Dateien im aktuellen Verzeichnis. Nach
# Sie kompilieren Ihre TE-Datei in eine „pp“-Datei, die Sie installieren müssen
# es mit dem Befehl semodule.

$ semodule -i local.pp

Building Modulen Datenschutzrichtlinien manuell

# Kompilieren Sie das Modul
$ checkmodule -M -m -o local.mod local.te

# Erstellen Sie das Paket
$ semodule_package -o local.pp -m local.mod

# Laden Sie das Modul in den Kernel
$ semodule -i local.pp

Die richtigen audit2erlauben zu erzeugen und bauen Modulen Datenschutzrichtlinien

$ cat /var/log/audit/audit.log | audit2allow -M lokal
Typerzwingungsdatei wird generiert: local.te

Kompilierungsrichtlinie: checkmodule -M -m -o local.mod local.te
Paket erstellen: semodule_package -o local.pp -m local.mod

******************** WICHTIG ***********************

Um dieses neu erstellte Richtlinienpaket in den Kernel zu laden,
Sie sind zur Ausführung verpflichtet

semodule -i local.pp

Die richtigen audit2erlauben zu erzeugen monolithisch (Nicht-Modul) Datenschutzrichtlinien

$ CD /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
erlauben cupsd_config_t unconfined_t:fifo_file { getattr ioctl };

$ machen laden

Nutzen Sie audit2allow online über die Dienste von onworks.net