Ini ialah arahan audit2allow yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
audit2allow - jana dasar SELinux membenarkan/dontaudit peraturan daripada log operasi yang ditolak
audit2kenapa - menterjemah mesej audit SELinux ke dalam huraian tentang sebab akses itu
ditolak (audit2allow -w)
SINOPSIS
audit2allow [pilihan]
PILIHAN
-a | --semua
Baca input daripada log audit dan mesej, bercanggah dengan -i
-b | --but
Baca input daripada mesej audit sejak but terakhir bercanggah dengan -i
-d | --dmesg
Baca input daripada output daripada /bin/dmesg. Ambil perhatian bahawa semua mesej audit tidak
tersedia melalui dmesg apabila auditd sedang berjalan; gunakan "ausearch -m avc | audit2allow" atau
"-a" sebaliknya.
-D | --dontaudit
Hasilkan peraturan dontaudit (Lalai: benarkan)
-h | - membantu
Cetak mesej penggunaan ringkas
-i | --input
baca input daripada
-l | --lastreload
baca input hanya selepas muat semula dasar terakhir
-m | --modul
Hasilkan modul/memerlukan output
-M
Hasilkan pakej modul yang boleh dimuatkan, bercanggah dengan -o
-p | --dasar
Fail dasar untuk digunakan untuk analisis
-o | --pengeluaran
tambahkan output kepada
-r | --memerlukan
Jana memerlukan sintaks output untuk modul yang boleh dimuatkan.
-N | --tiada rujukan
Jangan jana dasar rujukan, gaya tradisional membenarkan peraturan. Ini adalah
tingkah laku lalai.
-R | --rujukan
Hasilkan dasar rujukan menggunakan makro yang dipasang. Ini cuba untuk memadankan penafian
terhadap antara muka dan mungkin tidak tepat.
-w | --kenapa
Menerjemahkan mesej audit SELinux ke dalam huraian tentang sebab akses itu ditolak
-v | --verbose
Hidupkan output verbose
DESCRIPTION
Utiliti ini mengimbas log untuk mesej yang dilog apabila sistem menolak kebenaran untuk
operasi, dan menjana coretan peraturan dasar yang, jika dimuatkan ke dalam dasar, mungkin
telah membenarkan operasi tersebut berjaya. Walau bagaimanapun, utiliti ini hanya menjana Jenis
Penguatkuasaan (TE) membenarkan peraturan. Penafian kebenaran tertentu mungkin memerlukan jenis lain
perubahan dasar, cth menambahkan atribut pada pengisytiharan jenis untuk memenuhi yang sedia ada
kekangan, menambah peraturan membenarkan peranan, atau mengubah suai kekangan. The audit2kenapa(8) utiliti
boleh digunakan untuk mendiagnosis sebab apabila ia tidak jelas.
Penjagaan mesti dilakukan semasa bertindak ke atas output utiliti ini untuk memastikan bahawa
operasi yang dibenarkan tidak menimbulkan ancaman keselamatan. Selalunya lebih baik untuk menentukan yang baru
domain dan/atau jenis, atau buat perubahan struktur lain untuk membenarkan set optimum
operasi untuk berjaya, berbanding dengan membuta tuli melaksanakan perubahan yang kadangkala luas
disyorkan oleh utiliti ini. Penafian kebenaran tertentu tidak membawa maut kepada
permohonan, dalam hal ini mungkin lebih baik untuk hanya menyekat pembalakan penafian
melalui peraturan 'dontaudit' dan bukannya peraturan 'benarkan'.
CONTOH
PERHATIAN: Ini contoh adalah Untuk sistem menggunakan yang audit pakej. If anda do
tidak penggunaan yang audit pakej, yang AVC mesej akan be in /var/log/message.
Sila pengganti / var / log / mesej Untuk /var/log/audit/audit.log in yang
contoh.
Menggunakan audit2allow kepada menjana modul dasar
$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
modul tempatan 1.0;
memerlukan {
fail kelas { getattr open read };
taip myapp_t;
taip etc_t;
};
benarkan myapp_t etc_t:file { getattr open read };
Menggunakan audit2allow kepada menjana modul dasar menggunakan rujukan dasar
$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
policy_module(tempatan, 1.0)
gen_require(`
taip myapp_t;
taip etc_t;
};
files_read_etc_files(myapp_t)
Bangunan modul dasar menggunakan Makefile
# SELinux menyediakan persekitaran pembangunan dasar di bawah
# /usr/share/selinux/devel termasuk semua yang dihantar
# fail antara muka.
# Anda boleh mencipta fail te dan menyusunnya dengan melaksanakan
$ make -f /usr/share/selinux/devel/Makefile local.pp
# Perintah make ini akan menyusun fail local.te dalam semasa
# direktori. Jika anda tidak menyatakan fail "pp", fail make
# akan menyusun semua fail "te" dalam direktori semasa. Selepas
# anda menyusun fail anda ke dalam fail "pp", anda perlu memasang
# ia menggunakan arahan semodule.
$ semodule -i tempatan.pp
Bangunan modul dasar secara manual
# Susun modul
$ checkmodule -M -m -o local.mod local.te
# Buat pakej
$ semodule_package -o local.pp -m local.mod
# Muatkan modul ke dalam kernel
$ semodule -i tempatan.pp
Menggunakan audit2allow kepada menjana and membina modul dasar
$ cat /var/log/audit/audit.log | audit2allow -M tempatan
Menjana fail penguatkuasaan jenis: local.te
Dasar penyusunan: checkmodule -M -m -o local.mod local.te
Pakej bangunan: semodule_package -o local.pp -m local.mod
********************* PENTING *********************
Untuk memuatkan pakej dasar yang baru dibuat ini ke dalam kernel,
anda dikehendaki melaksanakan
semodule -i tempatan.pp
Menggunakan audit2allow kepada menjana monolitik (bukan modul) dasar
$ cd /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> domain/misc/local.te
$ domain kucing/misc/local.te
benarkan cupsd_config_t unconfined_t:fifo_file { getattr ioctl };
$ buat beban
Gunakan audit2allow dalam talian menggunakan perkhidmatan onworks.net