ഉബുണ്ടു ഓൺലൈൻ, ഫെഡോറ ഓൺലൈൻ, വിൻഡോസ് ഓൺലൈൻ എമുലേറ്റർ അല്ലെങ്കിൽ MAC OS ഓൺലൈൻ എമുലേറ്റർ എന്നിങ്ങനെയുള്ള ഞങ്ങളുടെ ഒന്നിലധികം സൗജന്യ ഓൺലൈൻ വർക്ക്സ്റ്റേഷനുകളിലൊന്ന് ഉപയോഗിച്ച് OnWorks സൗജന്യ ഹോസ്റ്റിംഗ് ദാതാവിൽ പ്രവർത്തിപ്പിക്കാവുന്ന ഓഡിറ്റ്2why എന്ന കമാൻഡ് ഇതാണ്.
പട്ടിക:
NAME
ഓഡിറ്റ്2അനുവദിക്കുക - നിരസിച്ച പ്രവർത്തനങ്ങളുടെ ലോഗുകളിൽ നിന്ന് SELinux നയം അനുവദിക്കുക/ഡോണ്ടാഡിറ്റ് നിയമങ്ങൾ സൃഷ്ടിക്കുക
ഓഡിറ്റ്2എന്തുകൊണ്ട് - SELinux ഓഡിറ്റ് സന്ദേശങ്ങൾ എന്തുകൊണ്ട് ആക്സസ് ചെയ്തു എന്നതിന്റെ വിവരണത്തിലേക്ക് വിവർത്തനം ചെയ്യുന്നു
നിരസിച്ചു (audit2allow -w)
സിനോപ്സിസ്
ഓഡിറ്റ്2അനുവദിക്കുക [ഓപ്ഷനുകൾ]
ഓപ്ഷനുകൾ
-a | --എല്ലാം
ഓഡിറ്റ്, സന്ദേശ ലോഗ് എന്നിവയിൽ നിന്നുള്ള ഇൻപുട്ട് വായിക്കുക, -i-യുമായുള്ള വൈരുദ്ധ്യങ്ങൾ
-b | --ബൂട്ട്
അവസാന ബൂട്ട് -i-യുമായി പൊരുത്തക്കേടുകൾ ഉണ്ടായതിനാൽ ഓഡിറ്റ് സന്ദേശങ്ങളിൽ നിന്നുള്ള ഇൻപുട്ട് വായിക്കുക
-d | --dmesg
ഔട്ട്പുട്ടിൽ നിന്നുള്ള ഇൻപുട്ട് വായിക്കുക /bin/dmesg. എല്ലാ ഓഡിറ്റ് സന്ദേശങ്ങളും അങ്ങനെയല്ല എന്നത് ശ്രദ്ധിക്കുക
ഓഡിറ്റ് പ്രവർത്തിക്കുമ്പോൾ dmesg വഴി ലഭ്യമാണ്; "ausearch -m avc | audit2allow" ഉപയോഗിക്കുക അല്ലെങ്കിൽ
പകരം "-a".
-D | --ഡോന്റൗഡിറ്റ്
ഡോണ്ടാഡിറ്റ് നിയമങ്ങൾ സൃഷ്ടിക്കുക (സ്ഥിരസ്ഥിതി: അനുവദിക്കുക)
-h | --സഹായിക്കൂ
ഒരു ചെറിയ ഉപയോഗ സന്ദേശം അച്ചടിക്കുക
-i | --ഇൻപുട്ട്
എന്നതിൽ നിന്നുള്ള ഇൻപുട്ട് വായിക്കുക
-l | --ലാസ്റ്റ്രെലോഡ്
അവസാന പോളിസി റീലോഡിന് ശേഷം മാത്രം ഇൻപുട്ട് വായിക്കുക
-m | --മൊഡ്യൂൾ
മൊഡ്യൂൾ ജനറേറ്റ് ചെയ്യുക/ഔട്ട്പുട്ട് ആവശ്യമാണ്
-M
ലോഡ് ചെയ്യാവുന്ന മൊഡ്യൂൾ പാക്കേജ് സൃഷ്ടിക്കുക, -o-യുമായി വൈരുദ്ധ്യങ്ങൾ
-p | --നയം
വിശകലനത്തിനായി ഉപയോഗിക്കേണ്ട നയ ഫയൽ
-o | --ഔട്ട്പുട്ട്
ഔട്ട്പുട്ട് കൂട്ടിച്ചേർക്കുക
-r | --ആവശ്യമാണ്
ലോഡ് ചെയ്യാവുന്ന മൊഡ്യൂളുകൾക്ക് ആവശ്യമായ ഔട്ട്പുട്ട് വാക്യഘടന സൃഷ്ടിക്കുക.
-N | --നോറഫറൻസ്
റഫറൻസ് നയം സൃഷ്ടിക്കരുത്, പരമ്പരാഗത ശൈലി അനുവദിക്കുന്ന നിയമങ്ങൾ. ഇതാണ്
സ്ഥിര സ്വഭാവം.
-R | --റഫറൻസ്
ഇൻസ്റ്റാൾ ചെയ്ത മാക്രോകൾ ഉപയോഗിച്ച് റഫറൻസ് നയം സൃഷ്ടിക്കുക. ഇത് നിഷേധിക്കലുകളുമായി പൊരുത്തപ്പെടാൻ ശ്രമിക്കുന്നു
ഇന്റർഫേസുകൾക്ക് എതിരായതും കൃത്യമല്ലാത്തതുമാകാം.
-w | --എന്തുകൊണ്ട്
എന്തുകൊണ്ട് ആക്സസ് നിരസിച്ചു എന്നതിന്റെ വിവരണത്തിലേക്ക് SELinux ഓഡിറ്റ് സന്ദേശങ്ങൾ വിവർത്തനം ചെയ്യുന്നു
-v | --വാക്കുകൾ
വെർബോസ് ഔട്ട്പുട്ട് ഓണാക്കുക
വിവരണം
സിസ്റ്റം അനുമതി നിഷേധിച്ചപ്പോൾ ലോഗ് ചെയ്ത സന്ദേശങ്ങൾക്കായി ഈ യൂട്ടിലിറ്റി ലോഗുകൾ സ്കാൻ ചെയ്യുന്നു
ഓപ്പറേഷൻസ്, പോളിസി റൂളുകളുടെ ഒരു സ്നിപ്പെറ്റ് സൃഷ്ടിക്കുന്നു, അത് പോളിസിയിൽ ലോഡുചെയ്യുകയാണെങ്കിൽ
ആ പ്രവർത്തനങ്ങൾ വിജയിക്കാൻ അനുവദിച്ചു. എന്നിരുന്നാലും, ഈ യൂട്ടിലിറ്റി തരം മാത്രമേ സൃഷ്ടിക്കൂ
എൻഫോഴ്സ്മെന്റ് (ടിഇ) നിയമങ്ങൾ അനുവദിക്കുന്നു. ചില അനുമതി നിഷേധങ്ങൾക്ക് മറ്റ് തരത്തിലുള്ളവ ആവശ്യമായി വന്നേക്കാം
നയപരമായ മാറ്റങ്ങൾ, ഉദാ: നിലവിലുള്ളവയെ തൃപ്തിപ്പെടുത്താൻ ഒരു തരം ഡിക്ലറേഷനിൽ ഒരു ആട്രിബ്യൂട്ട് ചേർക്കുന്നു
നിയന്ത്രണം, ഒരു റോൾ അനുവദനീയ നിയമം ചേർക്കൽ, അല്ലെങ്കിൽ ഒരു പരിമിതി പരിഷ്ക്കരിക്കുക. ദി ഓഡിറ്റ്2എന്തുകൊണ്ട്(8) പ്രയോജനം
കാരണം വ്യക്തമല്ലാത്തപ്പോൾ അത് നിർണ്ണയിക്കാൻ ഉപയോഗിക്കാം.
ഇത് ഉറപ്പാക്കാൻ ഈ യൂട്ടിലിറ്റിയുടെ ഔട്ട്പുട്ടിൽ പ്രവർത്തിക്കുമ്പോൾ ശ്രദ്ധിക്കേണ്ടതുണ്ട്
അനുവദനീയമായ പ്രവർത്തനങ്ങൾ സുരക്ഷാ ഭീഷണി ഉയർത്തുന്നില്ല. പലപ്പോഴും പുതിയത് നിർവ്വചിക്കുന്നതാണ് നല്ലത്
ഡൊമെയ്നുകൾ കൂടാതെ/അല്ലെങ്കിൽ തരങ്ങൾ, അല്ലെങ്കിൽ ഒപ്റ്റിമൽ സെറ്റ് അനുവദിക്കുന്നതിന് മറ്റ് ഘടനാപരമായ മാറ്റങ്ങൾ വരുത്തുക
ചിലപ്പോൾ വിപുലമായ മാറ്റങ്ങൾ അന്ധമായി നടപ്പിലാക്കുന്നതിന് വിപരീതമായി, വിജയിക്കാനുള്ള പ്രവർത്തനങ്ങൾ
ഈ യൂട്ടിലിറ്റി ശുപാർശ ചെയ്യുന്നു. ചില അനുമതി നിഷേധങ്ങൾ മാരകമല്ല
ആപ്ലിക്കേഷൻ, ഈ സാഹചര്യത്തിൽ നിഷേധത്തിന്റെ ലോഗിംഗ് അടിച്ചമർത്തുന്നത് അഭികാമ്യമാണ്
'അനുവദിക്കുക' നിയമത്തിനുപകരം ഒരു 'ഡോണ്ടാഡിറ്റ്' റൂൾ വഴി.
ഉദാഹരണം
ശ്രദ്ധിക്കുക: ഇവ ഉദാഹരണങ്ങൾ ആകുന്നു വേണ്ടി സിസ്റ്റങ്ങൾ ഉപയോഗിച്ച് The ഓഡിറ്റ് പാക്കേജ്. If നിങ്ങളെ do
അല്ല ഉപയോഗം The ഓഡിറ്റ് പാക്കേജ്, The AVC സന്ദേശങ്ങൾ ഉദ്ദേശിക്കുന്ന be in /var/log/messages.
ദയവായി പകരം / var / ലോഗ് / സന്ദേശങ്ങൾ വേണ്ടി /var/log/audit/audit.log in The
ഉദാഹരണങ്ങൾ.
ഉപയോഗിക്കുന്നു ഓഡിറ്റ്2അനുവദിക്കുക ലേക്ക് ജനറേറ്റ് മൊഡ്യൂൾ നയം
$ cat /var/log/audit/audit.log | audit2allow -m ലോക്കൽ > local.te
$ പൂച്ച local.te
മൊഡ്യൂൾ ലോക്കൽ 1.0;
ആവശ്യമാണ് {
ക്ലാസ് ഫയൽ {getattr ഓപ്പൺ റീഡ്};
myapp_t എന്ന് ടൈപ്പ് ചെയ്യുക;
ടൈപ്പ് etc_t;
};
myapp_t etc_t അനുവദിക്കുക: ഫയൽ {getattr ഓപ്പൺ റീഡ്};
ഉപയോഗിക്കുന്നു ഓഡിറ്റ്2അനുവദിക്കുക ലേക്ക് ജനറേറ്റ് മൊഡ്യൂൾ നയം ഉപയോഗിച്ച് സൂചന നയം
$ cat /var/log/audit/audit.log | audit2allow -R -m ലോക്കൽ > local.te
$ പൂച്ച local.te
policy_module(ലോക്കൽ, 1.0)
gen_require(`
myapp_t എന്ന് ടൈപ്പ് ചെയ്യുക;
ടൈപ്പ് etc_t;
};
files_read_etc_files(myapp_t)
കെട്ടിടം മൊഡ്യൂൾ നയം ഉപയോഗിച്ച് Makefile
# SELinux ഒരു നയ വികസന പരിസ്ഥിതി പ്രദാനം ചെയ്യുന്നു
# /usr/share/selinux/devel എല്ലാം ഷിപ്പ് ചെയ്തവ ഉൾപ്പെടെ
# ഇന്റർഫേസ് ഫയലുകൾ.
# നിങ്ങൾക്ക് ഒരു ടെ ഫയൽ സൃഷ്ടിക്കാനും എക്സിക്യൂട്ട് ചെയ്ത് കംപൈൽ ചെയ്യാനും കഴിയും
$ make -f /usr/share/selinux/devel/Makefile local.pp
# ഈ make കമാൻഡ് കറന്റിൽ ഒരു local.te ഫയൽ കംപൈൽ ചെയ്യും
# ഡയറക്ടറി. നിങ്ങൾ ഒരു "pp" ഫയൽ വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, നിർമ്മിക്കുക ഫയൽ
# നിലവിലെ ഡയറക്ടറിയിലെ എല്ലാ "te" ഫയലുകളും കംപൈൽ ചെയ്യും. ശേഷം
# നിങ്ങളുടെ ടെ ഫയൽ ഒരു "pp" ഫയലിലേക്ക് കംപൈൽ ചെയ്യുന്നു, നിങ്ങൾ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്
# ഇത് സെമോഡ്യൂൾ കമാൻഡ് ഉപയോഗിക്കുന്നു.
$ semodule -i local.pp
കെട്ടിടം മൊഡ്യൂൾ നയം സ്വമേധയാ
# മൊഡ്യൂൾ കംപൈൽ ചെയ്യുക
$ ചെക്ക്മോഡ്യൂൾ -M -m -o local.mod local.te
# പാക്കേജ് സൃഷ്ടിക്കുക
$ semodule_package -o local.pp -m local.mod
# കേർണലിലേക്ക് മൊഡ്യൂൾ ലോഡ് ചെയ്യുക
$ semodule -i local.pp
ഉപയോഗിക്കുന്നു ഓഡിറ്റ്2അനുവദിക്കുക ലേക്ക് ജനറേറ്റ് ഒപ്പം പണിയുക മൊഡ്യൂൾ നയം
$ cat /var/log/audit/audit.log | audit2allow -എം ലോക്കൽ
തരം എൻഫോഴ്സ്മെന്റ് ഫയൽ സൃഷ്ടിക്കുന്നു: local.te
കംപൈൽ നയം: ചെക്ക്മോഡ്യൂൾ -M -m -o local.mod local.te
ബിൽഡിംഗ് പാക്കേജ്: semodule_package -o local.pp -m local.mod
********************** പ്രധാനം ***********************
പുതുതായി സൃഷ്ടിച്ച ഈ പോളിസി പാക്കേജ് കേർണലിലേക്ക് ലോഡ് ചെയ്യുന്നതിനായി,
നിങ്ങൾ നടപ്പിലാക്കേണ്ടതുണ്ട്
semodule -i local.pp
ഉപയോഗിക്കുന്നു ഓഡിറ്റ്2അനുവദിക്കുക ലേക്ക് ജനറേറ്റ് മോണോലിത്തിക്ക് (മോഡ്യൂൾ അല്ലാത്തത്) നയം
$ സിഡി /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
cupsd_config_t അനുവദിക്കുക unconfined_t:fifo_file {getattr ioctl};
$ ലോഡ് ഉണ്ടാക്കുക
onworks.net സേവനങ്ങൾ ഉപയോഗിച്ച് audit2why ഓൺലൈനായി ഉപയോഗിക്കുക
