Ini adalah perintah audit2allow yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
audit2izinkan - buat aturan izinkan/janganaudit kebijakan SELinux dari log operasi yang ditolak
audit2mengapa - menerjemahkan pesan audit SELinux ke dalam deskripsi mengapa akses itu
ditolak (audit2allow -w)
RINGKASAN
audit2izinkan [Pilihan]
PILIHAN
-a | --semua
Baca masukan dari audit dan log pesan, bertentangan dengan -i
-b | --boot
Baca masukan dari pesan audit sejak boot terakhir bertentangan dengan -i
-d | --dmesg
Baca input dari output /bin/dmesg. Perhatikan bahwa semua pesan audit tidak
tersedia melalui dmesg saat auditd berjalan; gunakan "ausearch -m avc | audit2allow" atau
"-a" sebagai gantinya.
-D | --jangan diaudit
Buat aturan dontaudit (Default: allow)
-h | --membantu
Cetak pesan penggunaan singkat
-i | --memasukkan
membaca masukan dari
-l | --muat ulang terakhir
baca input hanya setelah reload kebijakan terakhir
-m | --modul
Hasilkan modul/perlu output
-M
Hasilkan paket modul yang dapat dimuat, konflik dengan -o
-p | --aturan
File kebijakan yang akan digunakan untuk analisis
-o | --keluaran
tambahkan output ke
-r | --memerlukan
Menghasilkan memerlukan sintaks output untuk modul yang dapat dimuat.
-N | --noreferensi
Jangan membuat kebijakan referensi, aturan izinkan gaya tradisional. Ini adalah
perilaku bawaan.
-R | --referensi
Buat kebijakan referensi menggunakan makro yang diinstal. Ini mencoba untuk mencocokkan penolakan
terhadap antarmuka dan mungkin tidak akurat.
-w | --mengapa
Menerjemahkan pesan audit SELinux ke dalam deskripsi mengapa akses ditolak
-v | --bertele-tele
Aktifkan keluaran verbose
DESKRIPSI
Utilitas ini memindai log untuk pesan yang dicatat ketika sistem menolak izin untuk
operasi, dan menghasilkan potongan aturan kebijakan yang, jika dimuat ke dalam kebijakan, mungkin
telah memungkinkan operasi tersebut berhasil. Namun, utilitas ini hanya menghasilkan Type
Penegakan (TE) memungkinkan aturan. Penolakan izin tertentu mungkin memerlukan jenis
perubahan kebijakan, misalnya menambahkan atribut ke deklarasi tipe untuk memenuhi yang sudah ada
batasan, menambahkan aturan izinkan peran, atau memodifikasi batasan. NS audit2mengapa(8) utilitas
dapat digunakan untuk mendiagnosis alasan ketika tidak jelas.
Perawatan harus dilakukan saat bekerja pada output utilitas ini untuk memastikan bahwa:
operasi yang diizinkan tidak menimbulkan ancaman keamanan. Seringkali lebih baik mendefinisikan yang baru
domain dan/atau tipe, atau membuat perubahan struktural lain untuk secara sempit memungkinkan sekumpulan yang optimal
operasi untuk berhasil, sebagai lawan dari menerapkan secara membabi buta perubahan yang terkadang luas
direkomendasikan oleh utilitas ini. Penolakan izin tertentu tidak berakibat fatal bagi
aplikasi, dalam hal ini mungkin lebih baik untuk hanya menekan pencatatan penolakan
melalui aturan 'janganaudit' daripada aturan 'izinkan'.
CONTOH
CATATAN: Ini contoh adalah untuk sistem menggunakan itu Audit paket. If kamu do
tidak menggunakan itu Audit paket, itu AVC pesan akan be in /var/log/pesan.
Silahkan pengganti / var / log / messages untuk /var/log/audit/audit.log in itu
contoh.
Menggunakan audit2izinkan untuk menghasilkan modul kebijaksanaan
$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ kucing lokal.te
modul lokal 1.0;
memerlukan {
file kelas { getattr buka baca };
ketik myapp_t;
ketik etc_t;
};
izinkan myapp_t etc_t:file { getattr buka baca };
Menggunakan audit2izinkan untuk menghasilkan modul kebijaksanaan menggunakan referensi kebijaksanaan
$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ kucing lokal.te
policy_module(lokal, 1.0)
gen_persyaratan(`
ketik myapp_t;
ketik etc_t;
};
file_read_etc_files(aplikasi_saya)
Bangunan modul kebijaksanaan menggunakan Makefile
# SELinux menyediakan lingkungan pengembangan kebijakan di bawah
# /usr/share/selinux/devel termasuk semua yang dikirim
# file antarmuka.
# Anda dapat membuat file te dan mengompilasinya dengan mengeksekusi
$ make -f /usr/share/selinux/devel/Makefile lokal.pp
# Perintah make ini akan mengkompilasi file local.te di saat ini
# direktori. Jika Anda tidak menentukan file "pp", file make
# akan mengkompilasi semua file "te" di direktori saat ini. Setelah
# Anda mengkompilasi file te Anda menjadi file "pp", Anda perlu menginstal
# menggunakan perintah semodule.
$ semodul -i local.pp
Bangunan modul kebijaksanaan manual
# Kompilasi modul
$ checkmodule -M -m -o lokal.mod lokal.te
# Buat paket
$ semodule_package -o lokal.pp -m lokal.mod
# Muat modul ke dalam kernel
$ semodul -i local.pp
Menggunakan audit2izinkan untuk menghasilkan dan membangun modul kebijaksanaan
$ cat /var/log/audit/audit.log | audit2allow -M lokal
Menghasilkan file penegakan jenis: local.te
Kebijakan kompilasi: checkmodule -M -m -o local.mod local.te
Paket bangunan: semodule_package -o local.pp -m local.mod
******************** PENTING ***********************
Untuk memuat paket kebijakan yang baru dibuat ini ke dalam kernel,
Anda diminta untuk mengeksekusi
semodule -i lokal.pp
Menggunakan audit2izinkan untuk menghasilkan monolitis (non-modul) kebijaksanaan
$ cd /etc/selinux/$SELINUXTYPE/src/kebijakan
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ domain kucing/misc/local.te
izinkan cupsd_config_t unconfined_t:fifo_file { getattr ioctl };
$ membuat beban
Gunakan audit2allow online menggunakan layanan onworks.net
