Aceasta este comanda audit2allow care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
audit2allow - generați regulile de autorizare/dontaudit ale politicii SELinux din jurnalele operațiunilor refuzate
audit2de ce - traduce mesajele de audit SELinux într-o descriere a motivului pentru care a fost accesul
refuzat (audit2allow -w)
REZUMAT
audit2allow [Opțiuni]
OPŢIUNI
-a | --toate
Citiți intrarea din jurnalul de audit și mesaje, intră în conflict cu -i
-b | --cizma
Citiți intrarea din mesajele de audit, deoarece ultima pornire intră în conflict cu -i
-d | --dmesg
Citiți intrarea de la ieșirea lui /bin/dmesg. Rețineți că toate mesajele de audit nu sunt
disponibil prin dmesg când auditd rulează; utilizați „ausearch -m avc | audit2allow” sau
„-a” în schimb.
-D | --dontaudit
Generați reguli dontaudit (implicit: permit)
-h | --Ajutor
Imprimați un mesaj scurt de utilizare
-i | --intrare
citiți intrarea de la
-l | --lastreload
citiți intrarea numai după ultima reîncărcare a politicii
-m | --modul
Generați modul/necesită ieșire
-M
Generați pachetul de module încărcat, intră în conflict cu -o
-p | --politică
Fișier de politică de utilizat pentru analiză
-o | --ieșire
anexați ieșirea la
-r | --necesita
Sintaxa de ieșire Generați necesită pentru modulele încărcate.
-N | --nicio referință
Nu generați politici de referință, stilul tradițional permite reguli. Acesta este
comportament implicit.
-R | --referinţă
Generați o politică de referință folosind macrocomenzi instalate. Aceasta încearcă să egaleze negările
împotriva interfețelor și poate fi inexact.
-w | --De ce
Traduce mesajele de audit SELinux într-o descriere a motivului pentru care accesul a fost refuzat
-v | --verbos
Activați ieșirea verbosă
DESCRIERE
Acest utilitar scanează jurnalele pentru mesaje înregistrate atunci când sistemul a refuzat permisiunea pentru
operațiuni și generează un fragment de reguli de politică care, dacă este încărcat în politică, ar putea
au permis acelor operațiuni să reușească. Cu toate acestea, acest utilitar generează doar Type
Aplicarea (TE) permite reguli. Anumite respingeri de permisiuni pot necesita alte tipuri de
modificări de politică, de exemplu adăugarea unui atribut la o declarație de tip pentru a satisface o declarație existentă
constrângere, adăugarea unei reguli de autorizare a rolului sau modificarea unei constrângeri. The audit2de ce(8) utilitate
poate fi folosit pentru a diagnostica motivul atunci când nu este clar.
Trebuie avut grijă când se acționează asupra ieșirii acestui utilitar pentru a se asigura că
operațiunile care sunt permise nu reprezintă o amenințare pentru securitate. Adesea este mai bine să definiți noul
domenii și/sau tipuri, sau efectuați alte modificări structurale pentru a permite în mod restrâns un set optim de
operațiunile pentru a reuși, spre deosebire de implementarea orbește a schimbărilor uneori ample
recomandat de acest utilitar. Anumite refuzuri de permis nu sunt fatale pentru
aplicație, caz în care poate fi de preferat să suprimați pur și simplu înregistrarea refuzului
printr-o regulă „dontaudit”, mai degrabă decât printr-o regulă „permite”.
EXEMPLU
NOTĂ: Acestea exemple sunt pentru sisteme folosind il de audit pachet. If tu do
nu utilizare il de audit pachet, il AVC mesaje voi be in /var/log/messages.
Te rugăm să ne contactezi substitui / var / log / messages pentru /var/log/audit/audit.log in il
exemple.
Utilizarea audit2allow la genera modul Politica
$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
modul local 1.0;
cere {
class file { getattr open read };
tastați myapp_t;
tip etc_t;
};
permit myapp_t etc_t:file { getattr open read };
Utilizarea audit2allow la genera modul Politica folosind referință Politica
$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
policy_module(local, 1.0)
gen_require(`
tastați myapp_t;
tip etc_t;
};
files_read_etc_files(myapp_t)
Clădire modul Politica folosind makefile
# SELinux oferă un mediu de dezvoltare a politicilor sub
# /usr/share/selinux/devel inclusiv toate cele livrate
# fișiere de interfață.
# Puteți crea un fișier te și îl puteți compila prin executare
$ make -f /usr/share/selinux/devel/Makefile local.pp
# Această comandă make va compila un fișier local.te în versiunea curentă
# director. Dacă nu ați specificat un fișier „pp”, fișierul make
# va compila toate fișierele „te” din directorul curent. După
# vă compilați fișierul te într-un fișier „pp”, trebuie să îl instalați
# folosind comanda semodule.
$ semodule -i local.pp
Clădire modul Politica manual
# Compilați modulul
$ checkmodule -M -m -o local.mod local.te
# Creați pachetul
$ semodule_package -o local.pp -m local.mod
# Încărcați modulul în nucleu
$ semodule -i local.pp
Utilizarea audit2allow la genera și construi modul Politica
$ cat /var/log/audit/audit.log | audit2allow -M local
Se generează fișier de executare de tip: local.te
Politica de compilare: checkmodule -M -m -o local.mod local.te
Pachetul de clădire: semodule_package -o local.pp -m local.mod
******************** IMPORTANT ***********************
Pentru a încărca acest pachet de politici nou creat în nucleu,
vi se cere să executați
semodule -i local.pp
Utilizarea audit2allow la genera monolitic (non-modul) Politica
$ cd /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/diverse/local.te
permit cupsd_config_t unconfined_t:fifo_file { getattr ioctl };
$ make load
Utilizați audit2allow online folosind serviciile onworks.net
