audit2allow - מקוון בענן

הפעל audit2allow בספק אירוח חינמי של OnWorks על אובונטו מקוון, פדורה מקוון, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

זוהי הפקודה audit2allow שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

הפעל באובונטו רוץ בפדורה הפעל ב-Windows Sim הפעל ב-MACOS Sim

תָכְנִית:

שֵׁם

audit2allow - הפקת מדיניות SELinux לאפשר/dontaudit כללי מיומנים של פעולות שנדחו

audit2why - מתרגם הודעות ביקורת של SELinux לתיאור מדוע הייתה הגישה
נדחה (audit2allow -w)

תַקצִיר

audit2allow [אפשרויות]

אפשרויות

-a | --את כל
קרא קלט מיומן ביקורת והודעות, מתנגש עם -i

-b | --מַגָף
קרא קלט מהודעות ביקורת מאז האתחול האחרון מתנגש עם -i

-d | --dmesg
קרא קלט מהפלט של /bin/dmesg. שים לב שלא כל הודעות הביקורת
זמין באמצעות dmesg כאשר auditd פועל; השתמש ב-"ausearch -m avc | audit2allow" או
במקום זאת "-a".

-D | -- dontaudit
צור כללי dontaudit (ברירת מחדל: לאפשר)

-h | - עזרה
הדפס הודעת שימוש קצרה

-i | --קֶלֶט
קרא קלט מ

-l | --טעינה אחרונה
קרא קלט רק לאחר טעינת המדיניות האחרונה

-m | --מודול
צור מודול/דרוש פלט

-M
צור חבילת מודול הניתנת לטעינה, מתנגש עם -o

-p | --מְדִינִיוּת
קובץ מדיניות לשימוש לניתוח

-o | --תְפוּקָה
לצרף פלט ל

-r | --מחייב
צור תחביר דרוש פלט עבור מודולים הניתנים לטעינה.

-N | --noreference
אל תיצור מדיניות התייחסות, סגנון מסורתי מאפשר כללים. זה
התנהגות ברירת מחדל.

-R | --התייחסות
צור מדיניות התייחסות באמצעות פקודות מאקרו מותקנות. זה מנסה להתאים הכחשות
נגד ממשקים ועלול להיות לא מדויק.

-w | --למה
מתרגם הודעות ביקורת של SELinux לתיאור מדוע הגישה נדחתה

-v | --מִלוּלִי
הפעל פלט מילולי

תיאור

כלי שירות זה סורק את היומנים עבור הודעות שנרשמו כאשר המערכת דחתה הרשאה עבור
פעולות, ומייצר קטע של כללי מדיניות שאם נטענים למדיניות, עלולים
אפשרו למבצעים הללו להצליח. עם זאת, כלי זה יוצר רק Type
כללי אכיפה (TE) מאפשרים. דחיות הרשאה מסוימות עשויות לדרוש סוגים אחרים של
שינויים במדיניות, למשל הוספת תכונה להצהרת סוג כדי לספק קיים
אילוץ, הוספת כלל לאפשר תפקיד או שינוי אילוץ. ה audit2why(8) שירות
עשוי לשמש לאבחון הסיבה כאשר היא לא ברורה.

יש לנקוט זהירות בזמן הפעולה לפי הפלט של כלי זה כדי להבטיח שה
פעולות המותרות אינן מהוות איום ביטחוני. לעתים קרובות עדיף להגדיר חדש
תחומים ו/או סוגים, או לבצע שינויים מבניים אחרים כדי לאפשר קבוצה אופטימלית של
פעולות כדי להצליח, בניגוד ליישום עיוור של השינויים הרחבים לפעמים
מומלץ על ידי כלי שירות זה. דחיות רשות מסוימות אינן קטלניות עבור
יישום, ובמקרה זה עשוי להיות עדיף פשוט לדכא את רישום ההכחשה
באמצעות כלל 'dontaudit' ולא כלל 'אפשר'.

דוגמא

הערה: אלה דוגמאות יש לו ל מערכות באמצעות מה היא בדיקה חֲבִילָה. If אתה do
לֹא להשתמש מה היא בדיקה חבילה, מה היא AVC הודעות יצטרך be in /var/log/messages.
אנא תחליף / var / log / הודעות ל /var/log/audit/audit.log in מה היא
דוגמאות.

שימוש audit2allow ל ליצור מודול מדיניות

$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
מודול מקומי 1.0;

דורשים {
class file { getattr open read };

הקלד myapp_t;
הקלד etc_t;
};

אפשר myapp_t etc_t:file { getattr פתח לקרוא };

שימוש audit2allow ל ליצור מודול מדיניות באמצעות הפניה מדיניות

$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
policy_module(מקומי, 1.0)

gen_require(`
הקלד myapp_t;
הקלד etc_t;
};

files_read_etc_files(myapp_t)

בִּניָן מודול מדיניות באמצעות קובץ Makefile

# SELinux מספקת סביבת פיתוח מדיניות תחת
# /usr/share/selinux/devel כולל כל הפריטים שנשלחו
# קבצי ממשק.
# אתה יכול ליצור קובץ te ולהרכיב אותו על ידי ביצוע

$ make -f /usr/share/selinux/devel/Makefile local.pp

# פקודת make זו תרכיב קובץ local.te בקובץ הנוכחי
ספרייה אחת. אם לא ציינת קובץ "pp", קובץ ה-make
# יקמפל את כל קבצי "te" בספרייה הנוכחית. לאחר
# אתה מקמפל את קובץ ה-te שלך לקובץ "pp", אתה צריך להתקין
# זה באמצעות הפקודה semodule.

$ semodule -i local.pp

בִּניָן מודול מדיניות באופן ידני

# הרכיב את המודול
$ checkmodule -M -m -o local.mod local.te

# צור את החבילה
$ semodule_package -o local.pp -m local.mod

# טען את המודול לתוך הקרנל
$ semodule -i local.pp

שימוש audit2allow ל ליצור ו לִבנוֹת מודול מדיניות

$ cat /var/log/audit/audit.log | audit2allow -M מקומי
יצירת קובץ אכיפה מסוג: local.te

מדיניות קומפילציה: checkmodule -M -m -o local.mod local.te
חבילת בנייה: semodule_package -o local.pp -m local.mod

******************** חשוב ***********************

על מנת לטעון את חבילת המדיניות החדשה שנוצרה לתוך הליבה,
אתה נדרש לבצע

semodule -i local.pp

שימוש audit2allow ל ליצור מוֹנוֹלִיטִי (לא מודול) מדיניות

$ cd /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
אפשר cupsd_config_t unconfined_t:fifo_file { getattr ioctl };

$ לעשות עומס

השתמש ב-audit2allow באינטרנט באמצעות שירותי onworks.net