ນີ້ແມ່ນຄໍາສັ່ງ audit2allow ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
audit2 ອະນຸຍາດໃຫ້ - ສ້າງກົດລະບຽບ SELinux ອະນຸຍາດ / dontaudit ຈາກບັນທຶກການດໍາເນີນງານທີ່ຖືກປະຕິເສດ
ການກວດສອບ 2 ເປັນຫຍັງ - ແປຂໍ້ຄວາມກວດສອບ SELinux ເປັນຄໍາອະທິບາຍວ່າເປັນຫຍັງການເຂົ້າເຖິງຈຶ່ງເປັນ
ປະຕິເສດ (audit2allow -w)
ສະຫຼຸບສັງລວມ
audit2 ອະນຸຍາດໃຫ້ [ທາງເລືອກໃນການ]
OPTIONS
-a | --ທັງໝົດ
ອ່ານການປ້ອນຂໍ້ມູນຈາກການກວດສອບແລະບັນທຶກຂໍ້ຄວາມ, ຂັດກັບ -i
-b | -ເປີດ
ອ່ານການປ້ອນຂໍ້ມູນຈາກຂໍ້ຄວາມກວດສອບຕັ້ງແຕ່ການບູດຄັ້ງສຸດທ້າຍຂັດກັບ -i
-d | --dmesg
ອ່ານ input ຈາກ output ຂອງ /bin/dmesg. ໃຫ້ສັງເກດວ່າຂໍ້ຄວາມການກວດສອບທັງຫມົດບໍ່ແມ່ນ
ສາມາດໃຊ້ໄດ້ຜ່ານ dmesg ໃນເວລາທີ່ການກວດສອບກໍາລັງດໍາເນີນການ; ໃຊ້ "ausearch -m avc | audit2allow" ຫຼື
"-a" ແທນ.
-D | --dontaudit
ສ້າງກົດລະບຽບ dontaudit (ຄ່າເລີ່ມຕົ້ນ: ອະນຸຍາດ)
-h | - ຊ່ວຍ
ພິມຂໍ້ຄວາມການນຳໃຊ້ສັ້ນ
-i | --ການປ້ອນຂໍ້ມູນ
ອ່ານການປ້ອນຂໍ້ມູນຈາກ
-l | --lastreload
ອ່ານການປ້ອນຂໍ້ມູນຫຼັງຈາກໂຫຼດນະໂຍບາຍຫຼ້າສຸດຄືນໃໝ່ເທົ່ານັ້ນ
-m | --ໂມດູນ
ສ້າງໂມດູນ / ຕ້ອງການຜົນຜະລິດ
-M
ສ້າງຊຸດໂມດູນທີ່ສາມາດໂຫຼດໄດ້, ຂັດແຍ້ງກັບ -o
-p | --ນະໂຍບາຍ
ເອກະສານນະໂຍບາຍທີ່ຈະໃຊ້ສໍາລັບການວິເຄາະ
-o | -- ຜົນຜະລິດ
ຕື່ມຂໍ້ມູນໃສ່ກັບ
-r | -- ຕ້ອງການ
ການສ້າງຕ້ອງການ syntax ຜົນຜະລິດສໍາລັບໂມດູນທີ່ສາມາດໂຫຼດໄດ້.
-N | --noreference
ບໍ່ສ້າງນະໂຍບາຍອ້າງອີງ, ແບບດັ້ງເດີມອະນຸຍາດໃຫ້ກົດລະບຽບ. ນີ້ແມ່ນ
ພຶດຕິກໍາເລີ່ມຕົ້ນ.
-R | --ອ້າງອີງ
ສ້າງນະໂຍບາຍການອ້າງອີງໂດຍໃຊ້ມາໂຄທີ່ຕິດຕັ້ງ. ນີ້ພະຍາຍາມຈັບຄູ່ການປະຕິເສດ
ຕໍ່ກັບການໂຕ້ຕອບ ແລະອາດຈະບໍ່ຖືກຕ້ອງ.
-w | --ເປັນຫຍັງ
ແປຄຳອະທິບາຍກັບຄືນເປັນ ອັງກິດ (ສະຫະລັດ) ແປພາສາ SELinux audit messages into a description of why the access was denied
-v | -- verbose
ເປີດການສົ່ງອອກ verbose
ລາຍລະອຽດ
ຜົນປະໂຫຍດນີ້ສະແກນບັນທຶກສໍາລັບຂໍ້ຄວາມທີ່ຖືກບັນທຶກເມື່ອລະບົບປະຕິເສດການອະນຸຍາດ
ການດໍາເນີນງານ, ແລະສ້າງ snippet ຂອງກົດລະບຽບນະໂຍບາຍທີ່, ຖ້າ loaded ເຂົ້າໄປໃນນະໂຍບາຍ, ອາດຈະ
ໄດ້ອະນຸຍາດໃຫ້ການດໍາເນີນງານເຫຼົ່ານັ້ນປະສົບຜົນສໍາເລັດ. ຢ່າງໃດກໍຕາມ, ຜົນປະໂຫຍດນີ້ພຽງແຕ່ສ້າງປະເພດ
ການບັງຄັບໃຊ້ (TE) ອະນຸຍາດໃຫ້ກົດລະບຽບ. ການປະຕິເສດການອະນຸຍາດບາງຢ່າງອາດຈະຕ້ອງການປະເພດອື່ນໆ
ການປ່ຽນແປງນະໂຍບາຍ, ເຊັ່ນ: ການເພີ່ມຄຸນສົມບັດໃນການປະກາດປະເພດທີ່ຈະຕອບສະຫນອງການທີ່ມີຢູ່ແລ້ວ
ຂໍ້ຈໍາກັດ, ການເພີ່ມພາລະບົດບາດອະນຸຍາດໃຫ້ກົດລະບຽບ, ຫຼືແກ້ໄຂຂໍ້ຈໍາກັດ. ໄດ້ ການກວດສອບ 2 ເປັນຫຍັງ(8) ປະໂຫຍດ
ອາດຈະຖືກນໍາໃຊ້ເພື່ອວິນິດໄສເຫດຜົນໃນເວລາທີ່ມັນບໍ່ຊັດເຈນ.
ການດູແລຕ້ອງໄດ້ຮັບການປະຕິບັດໃນຂະນະທີ່ປະຕິບັດຜົນຜະລິດຂອງຜົນປະໂຫຍດນີ້ເພື່ອຮັບປະກັນວ່າ
ການປະຕິບັດງານທີ່ໄດ້ຮັບອະນຸຍາດບໍ່ໄດ້ເປັນໄພຂົ່ມຂູ່ຕໍ່ຄວາມປອດໄພ. ເລື້ອຍໆມັນດີກວ່າທີ່ຈະກໍານົດໃຫມ່
ໂດເມນ ແລະ/ຫຼື ປະເພດ, ຫຼືເຮັດການປ່ຽນແປງໂຄງສ້າງອື່ນໆເພື່ອໃຫ້ແຄບໆຊຸດທີ່ເຫມາະສົມ
ການດໍາເນີນງານໃຫ້ປະສົບຜົນສໍາເລັດ, ກົງກັນຂ້າມກັບການຈັດຕັ້ງປະຕິບັດການປ່ຽນແປງທີ່ກວ້າງຂວາງໃນບາງຄັ້ງ
ແນະນໍາໂດຍຜົນປະໂຫຍດນີ້. ການປະຕິເສດການອະນຸຍາດບາງອັນແມ່ນບໍ່ເປັນອັນຕະລາຍຕໍ່
ຄໍາຮ້ອງສະຫມັກ, ໃນກໍລະນີນີ້ມັນອາດຈະດີກວ່າທີ່ຈະພຽງແຕ່ສະກັດກັ້ນການຕັດໄມ້ຂອງການປະຕິເສດ
ຜ່ານກົດລະບຽບ 'dontaudit' ແທນທີ່ຈະເປັນກົດລະບຽບ 'ອະນຸຍາດ'.
EXAMPLE
ຫມາຍເຫດ: ເຫຼົ່ານີ້ ຕົວຢ່າງ ມີ ສໍາລັບການ ລະບົບ ການນໍາໃຊ້ ໄດ້ ກວດສອບ package If ທ່ານ do
ບໍ່ ການນໍາໃຊ້ ໄດ້ ກວດສອບ ຊຸດ, ໄດ້ AVC ຂໍ້ຄວາມ ຈະ be in /var/log/messages.
ກະລຸນາ ທົດແທນ / var / log / ຂໍ້ຄວາມ ສໍາລັບການ /var/log/audit/audit.log in ໄດ້
ຕົວຢ່າງ.
ການນໍາໃຊ້ audit2 ອະນຸຍາດໃຫ້ to ຜະລິດ ໂມດູນ ນະໂຍບາຍ
$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
ໂມດູນທ້ອງຖິ່ນ 1.0;
ຕ້ອງການ {
class file { getattr ເປີດອ່ານ };
ພິມ myapp_t;
ພິມ etc_t;
};
ອະນຸຍາດໃຫ້ myapp_t etc_t:file { getattr ເປີດອ່ານ };
ການນໍາໃຊ້ audit2 ອະນຸຍາດໃຫ້ to ຜະລິດ ໂມດູນ ນະໂຍບາຍ ການນໍາໃຊ້ ອ້າງອິງ ນະໂຍບາຍ
$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
policy_module(local, 1.0)
gen_require(`
ພິມ myapp_t;
ພິມ etc_t;
};
files_read_etc_files(myapp_t)
ການກໍ່ສ້າງ ໂມດູນ ນະໂຍບາຍ ການນໍາໃຊ້ makefile
# SELinux ໃຫ້ສະພາບແວດລ້ອມການພັດທະນານະໂຍບາຍພາຍໃຕ້
# /usr/share/selinux/devel ລວມທັງການຈັດສົ່ງທັງໝົດ
# ໄຟລ໌ການໂຕ້ຕອບ.
# ທ່ານສາມາດສ້າງໄຟລ໌ te ແລະລວບລວມມັນໂດຍການດໍາເນີນການ
$ make -f /usr/share/selinux/devel/Makefile local.pp
# ຄໍາສັ່ງເຮັດໃຫ້ນີ້ຈະລວບລວມໄຟລ໌ local.te ໃນປະຈຸບັນ
# ໄດເລກະທໍລີ. ຖ້າທ່ານບໍ່ໄດ້ລະບຸໄຟລ໌ "pp", ເຮັດໃຫ້ໄຟລ໌
# ຈະລວບລວມໄຟລ໌ "te" ທັງຫມົດໃນໄດເລກະທໍລີປະຈຸບັນ. ຫຼັງຈາກ
# ທ່ານລວບລວມໄຟລ໌ te ຂອງທ່ານເຂົ້າໄປໃນໄຟລ໌ "pp", ທ່ານຈໍາເປັນຕ້ອງຕິດຕັ້ງ
# ມັນໃຊ້ຄໍາສັ່ງ semodule.
$ semodule -i local.pp
ການກໍ່ສ້າງ ໂມດູນ ນະໂຍບາຍ ຄູ່ມື
# ລວບລວມໂມດູນ
$ checkmodule -M -m -o local.mod local.te
# ສ້າງຊຸດ
$ semodule_package -o local.pp -m local.mod
# ໂຫລດໂມດູນເຂົ້າໄປໃນແກ່ນ
$ semodule -i local.pp
ການນໍາໃຊ້ audit2 ອະນຸຍາດໃຫ້ to ຜະລິດ ແລະ ການກໍ່ສ້າງ ໂມດູນ ນະໂຍບາຍ
$ cat /var/log/audit/audit.log | audit2allow -M ທ້ອງຖິ່ນ
ກຳລັງສ້າງໄຟລ໌ບັງຄັບໃຊ້ປະເພດ: local.te
ນະໂຍບາຍການລວບລວມ: checkmodule -M -m -o local.mod local.te
ຊຸດອາຄານ: semodule_package -o local.pp -m local.mod
******************** ສຳຄັນ ***********************
ເພື່ອໂຫລດຊຸດນະໂຍບາຍທີ່ສ້າງໃຫມ່ນີ້ເຂົ້າໄປໃນ kernel,
ທ່ານຖືກກໍານົດໃຫ້ປະຕິບັດ
semodule -i local.pp
ການນໍາໃຊ້ audit2 ອະນຸຍາດໃຫ້ to ຜະລິດ ເສົາຫີນ (ບໍ່ແມ່ນໂມດູນ) ນະໂຍບາຍ
$cd /etc/selinux/$SELINUXTYPE/src/ນະໂຍບາຍ
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
ອະນຸຍາດໃຫ້ cupsd_config_t unconfined_t:fifo_file { getattr ioctl } ;
$ ເຮັດໃຫ້ການໂຫຼດ
ໃຊ້ audit2allow ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net