Dit is de opdracht audit2allow die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
audit2toestaan - genereer SELinux-beleidsregels voor toestaan/niet-auditen uit logboeken van geweigerde bewerkingen
audit2waarom - vertaalt SELinux-auditberichten in een beschrijving van waarom de toegang was
geweigerd (audit2allow -w)
KORTE INHOUD
audit2toestaan [opties]
OPTIES
-a | --alle
Invoer lezen van audit- en berichtenlogboek, conflicteert met -i
-b | --laars
Lees de invoer van controleberichten sinds de laatste keer opstarten conflicteert met -i
-d | --dmesg
Lees input van output van /bin/dmesg. Merk op dat dat niet alle controleberichten zijn
beschikbaar via dmesg wanneer auditd actief is; gebruik "ausearch -m avc | audit2allow" of
"-a" in plaats daarvan.
-D | --niet controleren
Genereer dontaudit-regels (Standaard: toestaan)
-h | --help
Druk een kort gebruiksbericht af
-i | --invoer
invoer lezen van
-l | --laatste opnieuw laden
invoer alleen lezen na laatste keer opnieuw laden van beleid
-m | --module
Genereer module/vereist uitvoer
-M
Laadbaar modulepakket genereren, conflicteert met -o
-p | --beleid
Beleidsbestand om te gebruiken voor analyse
-o | --uitvoer
uitvoer toevoegen aan
-r | --vereist
Genereer vereiste uitvoersyntaxis voor laadbare modules.
-N | --geen referentie
Geen referentiebeleid genereren, regels in traditionele stijl toestaan. Dit is de
standaard gedrag.
-R | --verwijzing
Genereer referentiebeleid met behulp van geïnstalleerde macro's. Dit probeert ontkenningen te evenaren
tegen interfaces en kan onnauwkeurig zijn.
-w | --Waarom
Vertaalt SELinux-auditberichten in een beschrijving van waarom de toegang werd geweigerd
-v | --uitgebreid
Schakel uitgebreide uitvoer in
PRODUCTBESCHRIJVING
Dit hulpprogramma scant de logboeken op berichten die zijn geregistreerd wanneer het systeem toestemming heeft geweigerd
operaties, en genereert een fragment van beleidsregels die, als ze in het beleid worden geladen, mogelijk
hebben deze operaties laten slagen. Dit hulpprogramma genereert echter alleen Type
Handhaving (TE) staat regels toe. Bepaalde weigeringen van toestemming kunnen andere soorten vereisen
beleidswijzigingen, bijv. het toevoegen van een attribuut aan een typedeclaratie om te voldoen aan een bestaand
beperking, het toevoegen van een roltoestemmingsregel of het wijzigen van een beperking. De audit2waarom(8) hulpprogramma
kan worden gebruikt om de reden te diagnosticeren wanneer deze onduidelijk is.
Wees voorzichtig bij het handelen op de uitvoer van dit hulpprogramma om ervoor te zorgen dat het
operaties die zijn toegestaan, vormen geen bedreiging voor de veiligheid. Vaak is het beter om nieuw te definiëren
domeinen en/of typen, of breng andere structurele wijzigingen aan om een optimale set van
operaties om te slagen, in tegenstelling tot het blindelings doorvoeren van de soms brede veranderingen
aanbevolen door dit hulpprogramma. Bepaalde weigeringen van toestemming zijn niet fataal voor de
toepassing, in welk geval het de voorkeur kan hebben om het loggen van de weigering eenvoudigweg te onderdrukken
via een 'dontaudit'-regel in plaats van een 'toestaan'-regel.
VOORBEELD
NOTITIE: Deze voorbeelden zijn For systemen gebruik de controleren pakket. If u do
niet . de controleren pakket, de AVC berichten wil be in /var/log/berichten.
Alstublieft vervanging / Var / log / messages For /var/log/audit/audit.log in de
voorbeelden.
gebruik audit2toestaan naar voortbrengen module beleidsmaatregelen
$cat /var/log/audit/audit.log | audit2allow -m lokaal > lokaal.te
$ kat lokaal.te
module lokaal 1.0;
vereisen {
klassenbestand { getattr openen lezen };
typ mijnapp_t;
typ etc_t;
};
sta myapp_t toe etc_t:file { getattr open read };
gebruik audit2toestaan naar voortbrengen module beleidsmaatregelen gebruik referentie beleidsmaatregelen
$cat /var/log/audit/audit.log | audit2allow -R -m lokaal > lokaal.te
$ kat lokaal.te
policy_module(lokaal, 1.0)
gen_require(`
typ mijnapp_t;
typ etc_t;
};
files_read_etc_files(mijnapp_t)
Gebouw module beleidsmaatregelen gebruik Makefile
# SELinux biedt een beleidsontwikkelingsomgeving onder
# /usr/share/selinux/devel inclusief alle verzonden
# interfacebestanden.
# U kunt een te-bestand maken en het compileren door het uit te voeren
$ make -f /usr/share/selinux/devel/Makefile local.pp
# Dit make-commando compileert een local.te-bestand in het huidige
# map. Als u geen "pp"-bestand hebt opgegeven, wordt het make-bestand
# zal alle "te"-bestanden in de huidige map compileren. Na
# u compileert uw te-bestand in een "pp"-bestand, u moet het installeren
# het met behulp van de opdracht semodule.
$ semodule -i lokaal.pp
Gebouw module beleidsmaatregelen handmatig
# Stel de module samen
$ checkmodule -M -m -o local.mod local.te
# Maak het pakket
$ semodule_pakket -o lokaal.pp -m lokaal.mod
# Laad de module in de kernel
$ semodule -i lokaal.pp
gebruik audit2toestaan naar voortbrengen en bouw module beleidsmaatregelen
$cat /var/log/audit/audit.log | audit2allow -M lokaal
Type handhavingsbestand genereren: local.te
Beleid samenstellen: checkmodule -M -m -o local.mod local.te
Bouwpakket: semodule_package -o local.pp -m local.mod
******************** BELANGRIJK ***********************
Om dit nieuw gemaakte beleidspakket in de kernel te laden,
je bent verplicht om uit te voeren
semodule -i lokaal.pp
gebruik audit2toestaan naar voortbrengen monolitisch (niet-module) beleidsmaatregelen
$ cd /etc/selinux/$SELINUXTYPE/src/beleid
$cat /var/log/audit/audit.log | audit2allow >> domeinen/misc/local.te
$cat-domeinen/misc/local.te
sta toe cupsd_config_t unconfined_t:fifo_file { getattr ioctl };
$ laad op
Gebruik audit2allow online met behulp van onworks.net-services
