Este es el comando audit2allow que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
auditoría2permitir - generar reglas de permitir / no auditar la política de SELinux a partir de registros de operaciones denegadas
auditoría2por qué - traduce los mensajes de auditoría de SELinux en una descripción de por qué el acceso fue
denegado (audit2allow -w)
SINOPSIS
auditoría2permitir [opciones]
CAMPUS
-a | --todas
Leer la entrada de la auditoría y el registro de mensajes, entra en conflicto con -i
-b | --bota
Leer la entrada de los mensajes de auditoría desde el último arranque en conflicto con -i
-d | --dmesg
Leer la entrada de la salida de / bin / dmesg. Tenga en cuenta que no todos los mensajes de auditoría
disponible a través de dmesg cuando se está ejecutando auditd; utilice "ausearch -m avc | audit2allow" o
"-a" en su lugar.
-D | --dontauditar
Generar reglas de no auditoría (predeterminado: permitir)
-h | --ayuda
Imprime un breve mensaje de uso
-i | --aporte
leer la entrada de
-l | --lastrecarga
leer la entrada solo después de la última recarga de la política
-m | --módulo
Generar módulo / requerir salida
-M
Generar paquete de módulo cargable, entra en conflicto con -o
-p | --política
Archivo de política que se utilizará para el análisis
-o | --producción
añadir salida a
-r | --requiere
Generar sintaxis de salida requerida para módulos cargables.
-N | --sin referencia
No genere una política de referencia, el estilo tradicional permite reglas. Este es el
comportamiento por defecto.
-R | --referencia
Genere una política de referencia utilizando macros instaladas. Esto intenta igualar las negaciones
contra interfaces y puede ser inexacto.
-w | --por qué
Traduce los mensajes de auditoría de SELinux en una descripción de por qué se denegó el acceso
-v | --verboso
Activar salida detallada
DESCRIPCIÓN
Esta utilidad escanea los registros en busca de mensajes registrados cuando el sistema denegó el permiso para
operaciones, y genera un fragmento de reglas de política que, si se cargan en la política, podrían
han permitido que esas operaciones tengan éxito. Sin embargo, esta utilidad solo genera Type
La aplicación (TE) permite reglas. Ciertas denegaciones de permisos pueden requerir otros tipos de
cambios de política, por ejemplo, agregar un atributo a una declaración de tipo para satisfacer un
restricción, agregar una regla de permiso de rol o modificar una restricción. los auditoría2por qué(8) utilidad
se puede utilizar para diagnosticar el motivo cuando no está claro.
Se debe tener cuidado al actuar sobre la salida de esta utilidad para asegurar que el
las operaciones permitidas no suponen una amenaza para la seguridad. A menudo es mejor definir nuevos
dominios y / o tipos, o realizar otros cambios estructurales para permitir un conjunto óptimo de
operaciones para tener éxito, en lugar de implementar ciegamente los cambios a veces amplios
recomendado por esta utilidad. Ciertas denegaciones de permisos no son fatales para el
solicitud, en cuyo caso puede ser preferible simplemente suprimir el registro de la denegación
a través de una regla de 'no auditar' en lugar de una regla de 'permitir'.
EJEMPLO
NOTA: Estas ejemplos en para sistemas usando las auditoría paquete. If Usted do
no utilizan el las auditoría paquete, las AVC la vida seguirá be in / var / log / messages.
Por favor, sustitutas / var / log / messages para /var/log/auditoría/auditoría.log in las
ejemplos.
Usar auditoría2permitir a generar módulo política
$ cat /var/log/audit/audit.log | audit2allow -m local> local.te
$ gato local.te
módulo local 1.0;
exigir {
archivo de clase {getattr open read};
escriba myapp_t;
escriba etc_t;
};
permitir myapp_t etc_t: file {getattr open read};
Usar auditoría2permitir a generar módulo política usando referencia política
$ cat /var/log/audit/audit.log | audit2allow -R -m local> local.te
$ gato local.te
módulo_políticas (local, 1.0)
gen_require (`
escriba myapp_t;
escriba etc_t;
};
archivos_leer_etc_archivos(miaplicación_t)
Construir la módulo política usando Makefile
# SELinux proporciona un entorno de desarrollo de políticas bajo
# / usr / share / selinux / devel incluyendo todos los enviados
# archivos de interfaz.
# Puede crear un archivo te y compilarlo ejecutando
$ make -f / usr / share / selinux / devel / Makefile local.pp
# Este comando make compilará un archivo local.te en el actual
# directorio. Si no especificó un archivo "pp", el archivo make
# compilará todos los archivos "te" en el directorio actual. Después
# compila su archivo te en un archivo "pp", necesita instalar
# usando el comando semodule.
$ semodulo -i local.pp
Construir la módulo política a mano
# Compilar el módulo
$ módulo de verificación -M -m -o local.mod local.te
# Crea el paquete
$ semodule_package -o local.pp -m local.mod
# Cargue el módulo en el kernel
$ semodulo -i local.pp
Usar auditoría2permitir a generar y build módulo política
$ cat /var/log/auditoría/auditoría.log | audit2allow -M local
Generando archivo de aplicación de tipo: local.te
Política de compilación: checkmodule -M -m -o local.mod local.te
Paquete de construcción: semodule_package -o local.pp -m local.mod
******************** IMPORTANTE ***********************
Para cargar este paquete de políticas recién creado en el kernel,
estás obligado a ejecutar
semódulo -i local.pp
Usar auditoría2permitir a generar monolítico (sin módulo) política
$ cd / etc / selinux /$ SELINUXTYPE / src / policy
$ cat /var/log/audit/audit.log | audit2allow >> domains / misc / local.te
$ cat domains / misc / local.te
permitir tazasd_config_t undefined_t: Fifo_file {getattr ioctl};
$ hacer carga
Utilice audit2allow en línea utilizando los servicios de onworks.net
