audit2allow - آنلاین در ابر

Audi2allow را در ارائه دهنده هاست رایگان OnWorks از طریق Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا کنید.

این دستور audit2allow است که می تواند در ارائه دهنده میزبانی رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.

در اوبونتو اجرا شود در فدورا اجرا کنید در ویندوز سیم اجرا شود در MACOS Sim اجرا کنید

برنامه:

نام

audit2allow - قوانین مجوز/عملکرد SELinux را از لاگ های عملیات رد شده ایجاد کنید

حسابرسی 2 چرا - پیام های ممیزی SELinux را به توضیح علت دسترسی ترجمه می کند
رد شد (audit2allow -w)

خلاصه

audit2allow [گزینه های]

OPTIONS

-a | --همه
خواندن ورودی از حسابرسی و گزارش پیام، با -i در تضاد است

-b | -- بوت
خواندن ورودی از پیام های ممیزی از زمانی که آخرین بوت با -i در تضاد است

-d | --dmesg
خواندن ورودی از خروجی /bin/dmesg. توجه داشته باشید که همه پیام های حسابرسی نیستند
هنگامی که ممیزی در حال اجرا است، از طریق dmesg در دسترس است. از "ausearch -m avc | audit2allow" یا استفاده کنید
در عوض "-a".

-D | -- انجام حسابرسی
ایجاد قوانین dontaudit (پیش‌فرض: مجاز)

-h | --کمک
یک پیام استفاده کوتاه را چاپ کنید

-i | -- ورودی
خواندن ورودی از

-l | --lastreload
خواندن ورودی فقط پس از آخرین بارگیری مجدد خط مشی

-m | --مدول
تولید ماژول/نیاز به خروجی

-M
تولید بسته ماژول قابل بارگیری، با -o در تضاد است

-p | --خط مشی
فایل خط مشی برای استفاده برای تجزیه و تحلیل

-o | -- خروجی
خروجی را به

-r | --نیاز دارد
برای ماژول های قابل بارگذاری، دستور خروجی مورد نیاز را ایجاد کنید.

-N | -- هیچ مرجعی
خط مشی مرجع تولید نکنید، سبک سنتی قوانین را مجاز می کند. این است
رفتار پیش فرض

-R | --مرجع
خط مشی مرجع را با استفاده از ماکروهای نصب شده ایجاد کنید. این تلاش برای مطابقت با انکارها است
در برابر رابط ها قرار دارد و ممکن است نادرست باشد.

-w | --چرا
پیام‌های ممیزی SELinux را به توضیحی در مورد علت رد دسترسی ترجمه می‌کند

-v | -- پرحرف
خروجی پرمخاطب را روشن کنید

شرح

این ابزار گزارش‌ها را برای پیام‌هایی که در زمانی که سیستم اجازه آن را رد کرده است، اسکن می‌کند
عملیات، و قطعه ای از قوانین خط مشی تولید می کند که اگر در خط مشی بارگذاری شود، ممکن است
اجازه داده اند که این عملیات ها با موفقیت انجام شود. با این حال، این ابزار فقط Type را تولید می کند
اجرای قوانین (TE) اجازه می دهد. برخی از رد مجوز ممکن است به انواع دیگری نیاز داشته باشد
تغییر خط مشی، به عنوان مثال افزودن یک ویژگی به یک اعلان نوع برای ارضای یک موجود
محدودیت، اضافه کردن یک قانون اجازه نقش، یا اصلاح یک محدودیت. را حسابرسی 2 چرا(8) ابزار
ممکن است برای تشخیص دلیل زمانی که نامشخص است استفاده شود.

هنگام اقدام بر روی خروجی این ابزار باید مراقب بود تا اطمینان حاصل شود که
عملیاتی که مجاز است، تهدید امنیتی ایجاد نمی کند. اغلب بهتر است جدید را تعریف کنید
دامنه ها و/یا انواع، یا ایجاد تغییرات ساختاری دیگر برای اجازه دادن به مجموعه ای بهینه از
عملیات برای موفقیت، در مقابل اجرای کورکورانه تغییرات گاهی اوقات گسترده
توسط این ابزار توصیه می شود. برخی از رد مجوزها برای آنها کشنده نیست
برنامه، در این صورت ممکن است ترجیح داده شود که به سادگی از ثبت انکار جلوگیری شود
از طریق یک قانون "dontaudit" به جای یک قانون "اجازه دادن".

مثال

توجه: اینها مثال ها هستند برای سیستم های با استفاده از la حسابرسی بسته. If شما do
نه استفاده کنید la حسابرسی بسته بندی، la AVC پیام اراده be in /var/log/messages.
لطفا جایگزین / var / log / پیام ها برای /var/log/audit/audit.log in la
مثال ها.

با استفاده از audit2allow به تولید می کنند واحد سیاست

$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
ماژول محلی 1.0;

نیاز {
فایل کلاس { getattr open read };

myapp_t را تایپ کنید.
etc_t را تایپ کنید.
};

اجازه myapp_t etc_t:file { getattr open read };

با استفاده از audit2allow به تولید می کنند واحد سیاست با استفاده از مرجع سیاست

$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
Policy_module (محلی، 1.0)

gen_require(`
myapp_t را تایپ کنید.
etc_t را تایپ کنید.
};

files_read_etc_files(myapp_t)

بنا واحد سیاست با استفاده از makefile

# SELinux یک محیط توسعه سیاست را در زیر فراهم می کند
# /usr/share/selinux/devel از جمله تمام موارد ارسال شده
# فایل رابط.
# می توانید یک فایل te بسازید و با اجرا آن را کامپایل کنید

$ make -f /usr/share/selinux/devel/Makefile local.pp

# این دستور make یک فایل local.te را در جریان فعلی کامپایل می کند
# فهرست راهنما. اگر فایل "pp" را مشخص نکرده‌اید، فایل make
# تمام فایل های "te" را در فهرست فعلی کامپایل می کند. بعد از
# شما فایل te خود را در یک فایل "pp" کامپایل می کنید، باید نصب کنید
# آن را با استفاده از دستور semodule.

$ semodule -i local.pp

بنا واحد سیاست دستی

# ماژول را کامپایل کنید
$ checkmodule -M -m -o local.mod local.te

# بسته را ایجاد کنید
$ semodule_package -o local.pp -m local.mod

# ماژول را در هسته بارگذاری کنید
$ semodule -i local.pp

با استفاده از audit2allow به تولید می کنند و ساختن واحد سیاست

$ cat /var/log/audit/audit.log | audit2allow -M محلی
ایجاد فایل اجرایی نوع: local.te

خط مشی کامپایل: checkmodule -M -m -o local.mod local.te
پکیج ساختمان: semodule_package -o local.pp -m local.mod

******************** مهم ***********************

برای بارگیری این بسته سیاستی جدید ایجاد شده در هسته،
شما ملزم به اجرا هستید

semodule -i local.pp

با استفاده از audit2allow به تولید می کنند یک پارچه (غیر ماژول) سیاست

$ cd /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
اجازه cupsd_config_t unconfined_t:fifo_file { getattr ioctl };

$ را بار کنید

با استفاده از خدمات onworks.net از audit2allow آنلاین استفاده کنید