Jest to polecenie audyt2allow, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
audyt2zezwól - generowanie reguł polityki SELinux zezwalaj/nie zezwalaj na operacje z dzienników odrzuconych operacji
audyt2dlaczego - tłumaczy komunikaty audytu SELinux na opis przyczyny dostępu
odmowa (audit2allow -w)
STRESZCZENIE
audyt2zezwól [Opcje]
OPCJE
-a | --wszystko
Odczyt danych wejściowych z dziennika audytu i komunikatów, powoduje konflikty z opcją -i
-b | --uruchomić
Odczytywanie danych wejściowych z komunikatów kontroli od czasu ostatniego rozruchu powoduje konflikt z opcją -i
-d | --dmesg
Odczytaj wejście z wyjścia /bin/dmesg. Należy zauważyć, że nie wszystkie komunikaty kontroli
dostępne przez dmesg, gdy działa auditd; użyj „ausearch -m avc | audit2allow” lub
zamiast tego „-a”.
-D | --nie sprawdzaj
Generuj reguły dontaudit (domyślnie: zezwalaj)
-h | --help
Wydrukuj krótką wiadomość o użytkowaniu
-i | --Wejście
przeczytaj wejście z
-l | --ostatnie ładowanie
odczyt danych wejściowych tylko po ostatnim przeładowaniu zasad
-m | --moduł
Wygeneruj moduł/wymagaj danych wyjściowych
-M
Wygeneruj ładowalny pakiet modułów, konflikty z -o
-p | --polityka
Plik zasad do wykorzystania do analizy
-o | --wyjście
dołącz wyjście do
-r | --wymaga
Wygeneruj wymaganą składnię wyjściową dla ładowalnych modułów.
-N | --noreferencja
Nie generuj zasad referencyjnych, tradycyjne reguły zezwalają. To jest
zachowanie domyślne.
-R | --referencja
Wygeneruj zasady referencyjne przy użyciu zainstalowanych makr. To próbuje dopasować odmowy
względem interfejsów i mogą być niedokładne.
-w | --Dlaczego
Tłumaczy komunikaty audytu SELinux na opis przyczyny odmowy dostępu
-v | --gadatliwy
Włącz szczegółowe dane wyjściowe
OPIS
To narzędzie skanuje dzienniki w poszukiwaniu komunikatów zarejestrowanych, gdy system odmówił zezwolenia
operacji i generuje fragment reguł zasad, które, jeśli zostaną załadowane do zasad, mogą
pozwoliły na powodzenie tych operacji. Jednak to narzędzie generuje tylko typ
Egzekwowanie (TE) zezwala na reguły. Niektóre odmowy pozwolenia mogą wymagać innego rodzaju
zmiany zasad, np. dodanie atrybutu do deklaracji typu w celu spełnienia istniejącego
ograniczenie, dodanie reguły zezwalającej na rolę lub zmodyfikowanie ograniczenia. The audyt2dlaczego(8) użyteczność
może być użyty do zdiagnozowania przyczyny, gdy jest niejasna.
Należy zachować ostrożność podczas działania na danych wyjściowych tego narzędzia, aby zapewnić, że
dozwolone operacje nie stanowią zagrożenia dla bezpieczeństwa. Często lepiej jest zdefiniować nowe
domen i/lub typów lub wprowadzić inne zmiany strukturalne, aby wąsko umożliwić optymalny zestaw
operacji, aby odnieść sukces, w przeciwieństwie do ślepego wdrażania czasami szerokich zmian
zalecane przez to narzędzie. Niektóre odmowy pozwolenia nie są śmiertelne dla
aplikacji, w którym to przypadku korzystne może być po prostu wyłączenie rejestrowania odmowy
poprzez regułę „dontaudit”, a nie regułę „zezwól”.
PRZYKŁAD
UWAGA: Te przykłady jest dla systemy za pomocą dotychczasowy Audyt pakiet. If ty do
nie posługiwać się dotychczasowy Audyt Pakiet, dotychczasowy AVC wiadomości będzie be in / var / log / messages.
Proszę zastąpić / var / log / messages dla /var/log/audyt/audyt.log in dotychczasowy
przykłady.
Korzystanie z audyt2zezwól do Generować moduł polityka
$ cat /var/log/audit/audit.log | audit2allow -m lokalny > lokalny.te
$ cat lokalny.te
moduł lokalny 1.0;
wymagać {
plik klasy { getattr otwórz czytaj };
wpisz mojaaplikacja_t;
wpisz etc_t;
};
zezwól na moją aplikację_t etc_t: plik { getattr otwórz odczyt };
Korzystanie z audyt2zezwól do Generować moduł polityka za pomocą odniesienie polityka
$ cat /var/log/audit/audit.log | audit2allow -R -m lokalny > lokalny.te
$ cat lokalny.te
policy_module(lokalny, 1.0)
gen_wymaganie(`
wpisz mojaaplikacja_t;
wpisz etc_t;
};
pliki_odczyt_etc_pliki(mojaaplikacja_t)
Budowanie moduł polityka za pomocą Makefile
# SELinux zapewnia środowisko do tworzenia zasad w ramach
# /usr/share/selinux/devel łącznie ze wszystkimi dostarczonymi
# pliki interfejsu.
# Możesz utworzyć plik te i skompilować go, wykonując
$ make -f /usr/share/selinux/devel/Makefile local.pp
# Ta komenda make skompiluje plik local.te w bieżącym
# katalog. Jeśli nie określiłeś pliku „pp”, plik make
# skompiluje wszystkie pliki „te” w bieżącym katalogu. Po
# kompilujesz plik te do pliku „pp”, który musisz zainstalować
# za pomocą polecenia semodule.
$ semodule -i local.pp
Budowanie moduł polityka ręcznie
# Skompiluj moduł
$ moduł kontrolny -M -m -o local.mod local.te
# Utwórz pakiet
$ semodule_package -o lokalny.pp -m lokalny.mod
# Załaduj moduł do jądra
$ semodule -i local.pp
Korzystanie z audyt2zezwól do Generować i budować moduł polityka
$ cat /var/log/audit/audit.log | audit2allow -M lokalny
Generowanie pliku wymuszającego typ: local.te
Kompilowanie zasad: checkmodule -M -m -o local.mod local.te
Pakiet budujący: semodule_package -o local.pp -m local.mod
******************** WAŻNY ***********************
Aby załadować ten nowo utworzony pakiet zasad do jądra,
jesteś zobowiązany wykonać
semodule -i local.pp
Korzystanie z audyt2zezwól do Generować monolityczny (bez modułu) polityka
$ cd /etc/selinux/$SELINUXTYPE/źródło/polityka
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
zezwalaj na cupsd_config_t unconfined_t: fifo_file { getattr ioctl };
$ ładuj
Skorzystaj z funkcji audyt2allow online, korzystając z usług onworks.net
