audit2allow - ອອນລາຍໃນຄລາວ

ໂຄງການ:

NAME

audit2 ອະ​ນຸ​ຍາດ​ໃຫ້​ - ສ້າງກົດລະບຽບ SELinux ອະນຸຍາດ / dontaudit ຈາກບັນທຶກການດໍາເນີນງານທີ່ຖືກປະຕິເສດ

ການກວດສອບ 2 ເປັນຫຍັງ - ແປຂໍ້ຄວາມກວດສອບ SELinux ເປັນຄໍາອະທິບາຍວ່າເປັນຫຍັງການເຂົ້າເຖິງຈຶ່ງເປັນ
ປະຕິເສດ (audit2allow -w)

ສະຫຼຸບສັງລວມ

audit2 ອະ​ນຸ​ຍາດ​ໃຫ້​ [ທາງເລືອກໃນການ]

OPTIONS

-a | --ທັງໝົດ
ອ່ານການປ້ອນຂໍ້ມູນຈາກການກວດສອບແລະບັນທຶກຂໍ້ຄວາມ, ຂັດກັບ -i

-b | -ເປີດ
ອ່ານການປ້ອນຂໍ້ມູນຈາກຂໍ້ຄວາມກວດສອບຕັ້ງແຕ່ການບູດຄັ້ງສຸດທ້າຍຂັດກັບ -i

-d | --dmesg
ອ່ານ input ຈາກ output ຂອງ /bin/dmesg. ໃຫ້ສັງເກດວ່າຂໍ້ຄວາມການກວດສອບທັງຫມົດບໍ່ແມ່ນ
ສາມາດໃຊ້ໄດ້ຜ່ານ dmesg ໃນເວລາທີ່ການກວດສອບກໍາລັງດໍາເນີນການ; ໃຊ້ "ausearch -m avc | audit2allow" ຫຼື
"-a" ແທນ.

-D | --dontaudit
ສ້າງກົດລະບຽບ dontaudit (ຄ່າເລີ່ມຕົ້ນ: ອະນຸຍາດ)

-h | - ຊ່ວຍ
ພິມຂໍ້ຄວາມການນຳໃຊ້ສັ້ນ

-i | --ການປ້ອນຂໍ້ມູນ
ອ່ານການປ້ອນຂໍ້ມູນຈາກ

-l | --lastreload
ອ່ານການປ້ອນຂໍ້ມູນຫຼັງຈາກໂຫຼດນະໂຍບາຍຫຼ້າສຸດຄືນໃໝ່ເທົ່ານັ້ນ

-m | --ໂມດູນ
ສ້າງໂມດູນ / ຕ້ອງການຜົນຜະລິດ

-M
ສ້າງຊຸດໂມດູນທີ່ສາມາດໂຫຼດໄດ້, ຂັດແຍ້ງກັບ -o

-p | --ນະໂຍບາຍ
ເອກະສານນະໂຍບາຍທີ່ຈະໃຊ້ສໍາລັບການວິເຄາະ

-o | -- ຜົນຜະລິດ
ຕື່ມຂໍ້ມູນໃສ່ກັບ

-r | -- ຕ້ອງການ
ການສ້າງຕ້ອງການ syntax ຜົນຜະລິດສໍາລັບໂມດູນທີ່ສາມາດໂຫຼດໄດ້.

-N | --noreference
ບໍ່ສ້າງນະໂຍບາຍອ້າງອີງ, ແບບດັ້ງເດີມອະນຸຍາດໃຫ້ກົດລະບຽບ. ນີ້​ແມ່ນ
ພຶດຕິກໍາເລີ່ມຕົ້ນ.

-R | --ອ້າງອີງ
ສ້າງນະໂຍບາຍການອ້າງອີງໂດຍໃຊ້ມາໂຄທີ່ຕິດຕັ້ງ. ນີ້ພະຍາຍາມຈັບຄູ່ການປະຕິເສດ
ຕໍ່ກັບການໂຕ້ຕອບ ແລະອາດຈະບໍ່ຖືກຕ້ອງ.

-w | --ເປັນຫຍັງ
ແປຄຳອະທິບາຍກັບຄືນເປັນ ອັງກິດ (ສະຫະລັດ) ແປພາສາ SELinux audit messages into a description of why the access was denied

-v | -- verbose
ເປີດການສົ່ງອອກ verbose

ລາຍລະອຽດ

ຜົນປະໂຫຍດນີ້ສະແກນບັນທຶກສໍາລັບຂໍ້ຄວາມທີ່ຖືກບັນທຶກເມື່ອລະບົບປະຕິເສດການອະນຸຍາດ
ການດໍາເນີນງານ, ແລະສ້າງ snippet ຂອງກົດລະບຽບນະໂຍບາຍທີ່, ຖ້າ loaded ເຂົ້າໄປໃນນະໂຍບາຍ, ອາດຈະ
ໄດ້ອະນຸຍາດໃຫ້ການດໍາເນີນງານເຫຼົ່ານັ້ນປະສົບຜົນສໍາເລັດ. ຢ່າງໃດກໍຕາມ, ຜົນປະໂຫຍດນີ້ພຽງແຕ່ສ້າງປະເພດ
ການບັງຄັບໃຊ້ (TE) ອະນຸຍາດໃຫ້ກົດລະບຽບ. ການປະຕິເສດການອະນຸຍາດບາງຢ່າງອາດຈະຕ້ອງການປະເພດອື່ນໆ
ການ​ປ່ຽນ​ແປງ​ນະ​ໂຍ​ບາຍ, ເຊັ່ນ​: ການ​ເພີ່ມ​ຄຸນ​ສົມ​ບັດ​ໃນ​ການ​ປະ​ກາດ​ປະ​ເພດ​ທີ່​ຈະ​ຕອບ​ສະ​ຫນອງ​ການ​ທີ່​ມີ​ຢູ່​ແລ້ວ
ຂໍ້ຈໍາກັດ, ການເພີ່ມພາລະບົດບາດອະນຸຍາດໃຫ້ກົດລະບຽບ, ຫຼືແກ້ໄຂຂໍ້ຈໍາກັດ. ໄດ້ ການກວດສອບ 2 ເປັນຫຍັງ(8) ປະໂຫຍດ
ອາດຈະຖືກນໍາໃຊ້ເພື່ອວິນິດໄສເຫດຜົນໃນເວລາທີ່ມັນບໍ່ຊັດເຈນ.

ການດູແລຕ້ອງໄດ້ຮັບການປະຕິບັດໃນຂະນະທີ່ປະຕິບັດຜົນຜະລິດຂອງຜົນປະໂຫຍດນີ້ເພື່ອຮັບປະກັນວ່າ
ການປະຕິບັດງານທີ່ໄດ້ຮັບອະນຸຍາດບໍ່ໄດ້ເປັນໄພຂົ່ມຂູ່ຕໍ່ຄວາມປອດໄພ. ເລື້ອຍໆມັນດີກວ່າທີ່ຈະກໍານົດໃຫມ່
ໂດເມນ ແລະ/ຫຼື ປະເພດ, ຫຼືເຮັດການປ່ຽນແປງໂຄງສ້າງອື່ນໆເພື່ອໃຫ້ແຄບໆຊຸດທີ່ເຫມາະສົມ
ການດໍາເນີນງານໃຫ້ປະສົບຜົນສໍາເລັດ, ກົງກັນຂ້າມກັບການຈັດຕັ້ງປະຕິບັດການປ່ຽນແປງທີ່ກວ້າງຂວາງໃນບາງຄັ້ງ
ແນະນໍາໂດຍຜົນປະໂຫຍດນີ້. ການປະຕິເສດການອະນຸຍາດບາງອັນແມ່ນບໍ່ເປັນອັນຕະລາຍຕໍ່
ຄໍາຮ້ອງສະຫມັກ, ໃນກໍລະນີນີ້ມັນອາດຈະດີກວ່າທີ່ຈະພຽງແຕ່ສະກັດກັ້ນການຕັດໄມ້ຂອງການປະຕິເສດ
ຜ່ານກົດລະບຽບ 'dontaudit' ແທນທີ່ຈະເປັນກົດລະບຽບ 'ອະນຸຍາດ'.

EXAMPLE

ຫມາຍ​ເຫດ​: ເຫຼົ່ານີ້ ຕົວຢ່າງ ມີ ສໍາລັບການ ລະບົບ ການນໍາໃຊ້ ໄດ້ ກວດສອບ package If ທ່ານ do
ບໍ່ ການນໍາໃຊ້ ໄດ້ ກວດສອບ ຊຸດ, ໄດ້ AVC ຂໍ້ຄວາມ ຈະ be in /var/log/messages.
ກະ​ລຸ​ນາ ທົດແທນ / var / log / ຂໍ້ຄວາມ ສໍາລັບການ /var/log/audit/audit.log in ໄດ້
ຕົວຢ່າງ.

ການນໍາໃຊ້ audit2 ອະ​ນຸ​ຍາດ​ໃຫ້​ to ຜະລິດ ໂມດູນ ນະໂຍບາຍ

$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
ໂມດູນທ້ອງຖິ່ນ 1.0;

ຕ້ອງການ {
class file { getattr ເປີດອ່ານ };

ພິມ myapp_t;
ພິມ etc_t;
};

ອະນຸຍາດໃຫ້ myapp_t etc_t:file { getattr ເປີດອ່ານ };


ການນໍາໃຊ້ audit2 ອະ​ນຸ​ຍາດ​ໃຫ້​ to ຜະລິດ ໂມດູນ ນະໂຍບາຍ ການນໍາໃຊ້ ອ້າງອິງ ນະໂຍບາຍ

$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
policy_module(local, 1.0)

gen_require(`
ພິມ myapp_t;
ພິມ etc_t;
};

files_read_etc_files(myapp_t)


ການກໍ່ສ້າງ ໂມດູນ ນະໂຍບາຍ ການນໍາໃຊ້ makefile

# SELinux ໃຫ້ສະພາບແວດລ້ອມການພັດທະນານະໂຍບາຍພາຍໃຕ້
# /usr/share/selinux/devel ລວມທັງການຈັດສົ່ງທັງໝົດ
# ໄຟລ໌ການໂຕ້ຕອບ.
# ທ່ານສາມາດສ້າງໄຟລ໌ te ແລະລວບລວມມັນໂດຍການດໍາເນີນການ

$ make -f /usr/share/selinux/devel/Makefile local.pp

# ຄໍາສັ່ງເຮັດໃຫ້ນີ້ຈະລວບລວມໄຟລ໌ local.te ໃນປະຈຸບັນ
# ໄດເລກະທໍລີ. ຖ້າທ່ານບໍ່ໄດ້ລະບຸໄຟລ໌ "pp", ເຮັດໃຫ້ໄຟລ໌
# ຈະລວບລວມໄຟລ໌ "te" ທັງຫມົດໃນໄດເລກະທໍລີປະຈຸບັນ. ຫຼັງຈາກ
# ທ່ານລວບລວມໄຟລ໌ te ຂອງທ່ານເຂົ້າໄປໃນໄຟລ໌ "pp", ທ່ານຈໍາເປັນຕ້ອງຕິດຕັ້ງ
# ມັນໃຊ້ຄໍາສັ່ງ semodule.

$ semodule -i local.pp

ການກໍ່ສ້າງ ໂມດູນ ນະໂຍບາຍ ຄູ່ມື

# ລວບລວມໂມດູນ
$ checkmodule -M -m -o local.mod local.te

# ສ້າງຊຸດ
$ semodule_package -o local.pp -m local.mod

# ໂຫລດໂມດູນເຂົ້າໄປໃນແກ່ນ
$ semodule -i local.pp

ການນໍາໃຊ້ audit2 ອະ​ນຸ​ຍາດ​ໃຫ້​ to ຜະລິດ ແລະ ການກໍ່ສ້າງ ໂມດູນ ນະໂຍບາຍ

$ cat /var/log/audit/audit.log | audit2allow -M ທ້ອງຖິ່ນ
ກຳລັງສ້າງໄຟລ໌ບັງຄັບໃຊ້ປະເພດ: local.te

ນະໂຍບາຍການລວບລວມ: checkmodule -M -m -o local.mod local.te
ຊຸດອາຄານ: semodule_package -o local.pp -m local.mod

******************** ສຳຄັນ ***********************

ເພື່ອໂຫລດຊຸດນະໂຍບາຍທີ່ສ້າງໃຫມ່ນີ້ເຂົ້າໄປໃນ kernel,
ທ່ານຖືກກໍານົດໃຫ້ປະຕິບັດ

semodule -i local.pp

ການນໍາໃຊ້ audit2 ອະ​ນຸ​ຍາດ​ໃຫ້​ to ຜະລິດ ເສົາຫີນ (ບໍ່ແມ່ນໂມດູນ) ນະໂຍບາຍ

$cd /etc/selinux/$SELINUXTYPE/src/ນະໂຍບາຍ
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
ອະນຸຍາດໃຫ້ cupsd_config_t unconfined_t:fifo_file { getattr ioctl } ;

$ ເຮັດໃຫ້ການໂຫຼດ

ໃຊ້ audit2allow ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net