이것은 Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 공급자에서 실행할 수 있는 명령 audit2allow입니다.
프로그램:
이름
감사2허용 - 거부된 작업의 로그에서 SELinux 정책 허용/감사 금지 규칙 생성
감사2왜 - SELinux 감사 메시지를 액세스 이유에 대한 설명으로 변환합니다.
거부됨(audit2allow -w)
개요
감사2허용 [옵션]
옵션
-a | --모두
감사 및 메시지 로그에서 입력 읽기, -i와 충돌
-b | --신병
마지막 부팅 이후 감사 메시지에서 입력 읽기가 -i와 충돌합니다.
-d | --dmesg
의 출력에서 입력 읽기 /bin/dmesg. 모든 감사 메시지가
auditd가 실행 중일 때 dmesg를 통해 사용할 수 있습니다. "ausearch -m avc | audit2allow"를 사용하거나
대신 "-a".
-D | --감사하지 않음
dontaudit 규칙 생성(기본값: 허용)
-h | --도움
짧은 사용 메시지 인쇄
-i | --입력
에서 입력 읽기
-l | --lastreload
마지막 정책을 다시 로드한 후에만 입력 읽기
-m | --기준 치수
모듈 생성/출력 필요
-M
로드 가능한 모듈 패키지 생성, -o와 충돌
-p | --정책
분석에 사용할 정책 파일
-o | --산출
출력을 추가
-r | --필요
로드 가능한 모듈에 대한 필수 출력 구문을 생성합니다.
-N | --참조 없음
참조 정책을 생성하지 마십시오. 기존 스타일은 규칙을 허용합니다. 이것이
기본 동작.
-R | --참조
설치된 매크로를 사용하여 참조 정책을 생성합니다. 거부 일치를 시도합니다.
인터페이스에 대해 정확하지 않을 수 있습니다.
-w | --왜
SELinux 감사 메시지를 액세스가 거부된 이유에 대한 설명으로 변환합니다.
-v | --말 수가 많은
자세한 출력 켜기
기술
이 유틸리티는 시스템이
작업을 수행하고 정책에 로드되는 경우
이러한 작업이 성공할 수 있도록 했습니다. 그러나 이 유틸리티는 유형만 생성합니다.
시행(TE) 허용 규칙. 특정 권한 거부에는 다른 종류의
정책 변경, 예를 들어 기존 속성을 충족하기 위해 유형 선언에 속성 추가
제약 조건, 역할 허용 규칙 추가 또는 제약 조건 수정. NS 감사2왜(8) 유틸리티
불분명한 경우 원인을 진단하는 데 사용할 수 있습니다.
이 유틸리티의 출력에 대해 조치를 취하는 동안 주의를 기울여야 합니다.
허용된 작업은 보안 위협이 되지 않습니다. 종종 새로운 것을 정의하는 것이 더 낫습니다.
도메인 및/또는 유형, 또는 최적의 집합을 좁게 허용하기 위해 기타 구조적 변경
때로는 광범위한 변경 사항을 맹목적으로 구현하는 것과는 대조적으로 성공적인 작업
이 유틸리티에서 권장합니다. 특정 권한 거부는
이 경우 단순히 거부 기록을 억제하는 것이 바람직할 수 있습니다.
'허용' 규칙이 아닌 'dontaudit' 규칙을 통해.
예
알림: Bowman의 예 are for 시스템 사용 전에, 회계 감사 패키지. If 당신 do
지원 사용 전에, 회계 감사 패키지 전에, AVC 메시지 의지 be in / var / log / messages.
XNUMX-XNUMX학년도 PTA 학교 위원회의 지명 후보를 확인하시려면 대용품 / var / log / messages for /var/log/audit/audit.log in 전에,
예.
사용 감사2허용 에 생성 모듈 정책
$ 고양이 /var/log/audit/audit.log | audit2allow -m 로컬 > local.te
$ 고양이 local.te
모듈 로컬 1.0;
필요하다 {
클래스 파일 { getattr 열기 읽기 };
입력 myapp_t;
유형 etc_t;
};
허용 myapp_t etc_t:file { getattr 열기 읽기 };
사용 감사2허용 에 생성 모듈 정책 사용 참고 정책
$ 고양이 /var/log/audit/audit.log | audit2allow -R -m 로컬 > local.te
$ 고양이 local.te
policy_module(로컬, 1.0)
gen_require(`
입력 myapp_t;
유형 etc_t;
};
파일_읽기_etc_파일(myapp_t)
건물 모듈 정책 사용 Makefile
# SELinux는 아래의 정책 개발 환경을 제공합니다.
# /usr/share/selinux/devel(제공된 모든
# 인터페이스 파일.
# te 파일을 생성하고 다음을 실행하여 컴파일할 수 있습니다.
$ make -f /usr/share/selinux/devel/Makefile local.pp
# 이 make 명령은 현재 위치에서 local.te 파일을 컴파일합니다.
# 디렉토리. "pp" 파일을 지정하지 않으면 make 파일이
# 현재 디렉토리에 있는 모든 "te" 파일을 컴파일합니다. 후에
# te 파일을 "pp" 파일로 컴파일하면 다음을 설치해야 합니다.
# semodule 명령을 사용합니다.
$ semodule -i local.pp
건물 모듈 정책 수동으로
# 모듈 컴파일
$ 체크모듈 -M -m -o local.mod local.te
# 패키지 생성
$ semodule_package -o local.pp -m local.mod
# 모듈을 커널에 로드
$ semodule -i local.pp
사용 감사2허용 에 생성 및 빌드 모듈 정책
$ 고양이 /var/log/audit/audit.log | audit2allow -M 로컬
유형 적용 파일 생성: local.te
컴파일 정책: checkmodule -M -m -o local.mod local.te
빌드 패키지: semodule_package -o local.pp -m local.mod
******************** 중요한 ***********************
이 새로 생성된 정책 패키지를 커널에 로드하려면,
당신은 실행해야합니다
semodule -i local.pp
사용 감사2허용 에 생성 단단히 짜여 하나로 되어 있는 (비모듈) 정책
$ cd /etc/selinux/$SELINUXTYPE/src/정책
$ 고양이 /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ 고양이 도메인/기타/local.te
cupd_config_t unconfined_t:fifo_file 허용 { getattr ioctl };
$ 로드
onworks.net 서비스를 사용하여 온라인으로 audit2allow 사용