Este é o comando audit2allow que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador Windows online ou emulador MAC OS online
PROGRAMA:
NOME
audit2allow - gerar regras de permissão / não auditoria da política SELinux a partir de registros de operações negadas
audit2por que - traduz as mensagens de auditoria SELinux em uma descrição de porque o acesso foi
negado (audit2allow -w)
SINOPSE
audit2allow [opções]
OPÇÕES
-a | --tudo
Leia a entrada de auditoria e log de mensagens, conflitos com -i
-b | --Bota
Leia a entrada de mensagens de auditoria desde o último conflito de inicialização com -i
-d | --dmesg
Leia a entrada da saída de / bin / dmesg. Observe que todas as mensagens de auditoria não são
disponível via dmesg quando auditd está rodando; use "ausearch -m avc | audit2allow" ou
"-a" em vez disso.
-D | --dontaudit
Gerar regras de não auditoria (Padrão: permitir)
-h | --Socorro
Imprimir uma mensagem curta de uso
-i | --entrada
ler a entrada de
-l | --lastreload
leia a entrada somente após a última recarga da política
-m | --módulo
Gerar módulo / exigir saída
-M
Gerar pacote de módulo carregável, conflita com -o
-p | --política
Arquivo de política a ser usado para análise
-o | --resultado
anexar saída a
-r | --requer
Gerar sintaxe de saída necessária para módulos carregáveis.
-N | --noreferência
Não gere política de referência, regras de permissão de estilo tradicional. Isto é o
comportamento padrão.
-R | --referência
Gere política de referência usando macros instaladas. Isso tenta corresponder às negações
contra interfaces e pode ser impreciso.
-w | --porque
Traduz as mensagens de auditoria do SELinux em uma descrição do motivo pelo qual o acesso foi negado
-v | --verbose
Ativar saída detalhada
DESCRIÇÃO
Este utilitário verifica os logs em busca de mensagens registradas quando o sistema negou permissão para
operações e gera um snippet de regras de política que, se carregado na política, pode
permitiram que essas operações fossem bem-sucedidas. No entanto, este utilitário só gera Tipo
A aplicação (TE) permite regras. Certas negações de permissão podem exigir outros tipos de
mudanças de política, por exemplo, adicionar um atributo a uma declaração de tipo para satisfazer um existente
restrição, adicionando uma regra de permissão de função ou modificando uma restrição. o audit2por que(8) utilidade
pode ser usado para diagnosticar o motivo quando não estiver claro.
Deve-se ter cuidado ao agir sobre a saída deste utilitário para garantir que o
operações sendo permitidas não representam uma ameaça à segurança. Freqüentemente, é melhor definir novos
domínios e / ou tipos, ou fazer outras mudanças estruturais para permitir estreitamente um conjunto ideal de
operações para ter sucesso, ao contrário de implementar cegamente as mudanças às vezes amplas
recomendado por este utilitário. Certas negações de permissão não são fatais para o
aplicativo, caso em que pode ser preferível simplesmente suprimir o registro da negação
por meio de uma regra 'não auditar' em vez de uma regra 'permitir'.
EXEMPLO
NOTA: Este exemplos e guarante que os mesmos estão para sistemas utilização que o auditor pacote. If Você do
não usar que o auditor pacote que o AVC mensagens precisarão be in / var / log / messages.
. substituto / var / log / messages para /var/log/audit/audit.log in que o
exemplos.
utilização audit2allow para gerar módulo Privacidade
$ cat /var/log/audit/audit.log | audit2allow -m local> local.te
$ gato local.te
módulo local 1.0;
requerem {
arquivo de classe {getattr open read};
digite myapp_t;
digite etc_t;
};
permitir myapp_t etc_t: arquivo {getattr open read};
utilização audit2allow para gerar módulo Privacidade utilização referência Privacidade
$ cat /var/log/audit/audit.log | audit2allow -R -m local> local.te
$ gato local.te
policy_module (local, 1.0)
gen_require (`
digite myapp_t;
digite etc_t;
};
arquivos_read_etc_files(meuaplicativo_t)
Prédio módulo Privacidade utilização Makefile
# SELinux fornece um ambiente de desenvolvimento de políticas sob
# / usr / share / selinux / devel incluindo todos os enviados
# arquivos de interface.
# Você pode criar um arquivo te e compilá-lo executando
$ make -f / usr / share / selinux / devel / Makefile local.pp
# Este comando make irá compilar um arquivo local.te no atual
# diretório. Se você não especificou um arquivo "pp", o make file
# irá compilar todos os arquivos "te" no diretório atual. Depois de
# você compila seu arquivo te em um arquivo "pp", você precisa instalar
# usando o comando semodule.
$ semodule -i local.pp
Prédio módulo Privacidade manualmente
# Compile o módulo
$ checkmodule -M -m -o local.mod local.te
# Crie o pacote
$ semodule_package -o local.pp -m local.mod
# Carregue o módulo no kernel
$ semodule -i local.pp
utilização audit2allow para gerar e construir módulo Privacidade
$ cat /var/log/audit/audit.log | audit2allow -M local
Gerando arquivo de aplicação de tipo: local.te
Política de compilação: checkmodule -M -m -o local.mod local.te
Pacote de construção: semodule_package -o local.pp -m local.mod
******************** IMPORTANTE ***********************
Para carregar este pacote de políticas recém-criado no kernel,
você é obrigado a executar
semódulo -i local.pp
utilização audit2allow para gerar monolítico (não módulo) Privacidade
$cd / etc / selinux /$ SELINUXTYPE / src / política
$ cat /var/log/audit/audit.log | audit2allow >> domains / misc / local.te
$ cat domains / misc / local.te
permitir cupsd_config_t unconfined_t: fifo_file {getattr ioctl};
$ fazer carga
Use audit2allow online usando serviços onworks.net
