Это команда audit2allow, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
аудит2разрешить - генерировать правила SELinux для разрешения / запрета аудита из журналов запрещенных операций
аудит2почему - переводит сообщения аудита SELinux в описание причины доступа
отказано (audit2allow -w)
СИНТАКСИС
аудит2разрешить [кредита]
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-a | --все
Чтение ввода из журнала аудита и сообщений, конфликтует с -i
-b | --ботинок
Чтение ввода из сообщений аудита с момента последней загрузки конфликтует с -i
-d | --dmesg
Прочитать ввод из вывода / bin / dmesg. Обратите внимание, что не все сообщения аудита
доступно через dmesg при запущенном auditd; используйте "ausearch -m avc | audit2allow" или
"-a" вместо этого.
-D | --dontaudit
Сгенерировать правила dontaudit (по умолчанию: разрешить)
-h | --Помогите
Распечатайте короткое сообщение об использовании
-i | --Вход
читать ввод от
-l | --lastreload
читать ввод только после последней перезагрузки политики
-m | --модуль
Сгенерировать модуль / запросить вывод
-M
Создать пакет загружаемого модуля, конфликтует с -o
-p | --политика
Файл политики, используемый для анализа
-o | --выход
добавить вывод в
-r | --требует
Сгенерировать требуемый синтаксис вывода для загружаемых модулей.
-N | - нет ссылки
Не создавайте справочную политику, разрешающие правила традиционного стиля. Это
поведение по умолчанию.
-R | --ссылка
Сгенерируйте эталонную политику, используя установленные макросы. Это пытается соответствовать отрицаниям
против интерфейсов и может быть неточным.
-w | --Почему
Преобразует сообщения аудита SELinux в описание причины отказа в доступе
-v | --подробный
Включить подробный вывод
ОПИСАНИЕ
Эта утилита сканирует журналы на наличие сообщений, зарегистрированных, когда система отказала в разрешении для
операций и генерирует фрагмент правил политики, которые при загрузке в политику могут
позволили этим операциям добиться успеха. Однако эта утилита генерирует только Type
Принуждение (TE) разрешает правила. Для некоторых отказов в разрешении могут потребоваться другие виды
изменения политики, например, добавление атрибута к объявлению типа для удовлетворения существующей
ограничение, добавление правила разрешения роли или изменение ограничения. В аудит2почему(8) полезность
может использоваться для диагностики причины, когда она неясна.
При работе с выходными данными этой утилиты необходимо проявлять осторожность, чтобы гарантировать, что
разрешенные операции не представляют угрозы безопасности. Часто лучше определить новые
доменов и / или типов, или внести другие структурные изменения, чтобы ограничить оптимальный набор
операций, чтобы добиться успеха, а не слепо внедрять иногда широкие изменения
рекомендовано этой утилитой. Определенные отказы в разрешении не являются фатальными для
приложение, и в этом случае может быть предпочтительнее просто подавить регистрацию отказа
с помощью правила «dontaudit», а не «разрешающего» правила.
ПРИМЕР
ПРИМЕЧАНИЕ: Эти Примеры реализованных проектов для системы через аудит пакет. If do
используют аудит пакет, AVC Сообщения предусматривает be in / Вар / Журнал / сообщения.
Пожалуйста, замена / var / log / сообщения для /var/журнал/аудит/audit.log in
примеры.
. аудит2разрешить в генерируют на модуль и политика
$ cat /var/log/audit/audit.log | audit2allow -m локальный> local.te
$ кот местный.те
модуль локальный 1.0;
требовать {
файл класса {getattr open read};
введите myapp_t;
тип etc_t;
};
разрешить myapp_t etc_t: file {getattr open read};
. аудит2разрешить в генерируют на модуль и политика через ссылка и политика
$ cat /var/log/audit/audit.log | audit2allow -R -m local> local.te
$ кот местный.те
policy_module (локальный, 1.0)
gen_require (`
введите myapp_t;
тип etc_t;
};
files_read_etc_files(myapp_t)
Здание модуль и политика через Makefile
# SELinux предоставляет среду разработки политик под
# / usr / share / selinux / devel, включая все поставленные
# интерфейсных файлов.
# Вы можете создать te-файл и скомпилировать его, выполнив
$ make -f / usr / share / selinux / devel / Makefile local.pp
# Эта команда make скомпилирует файл local.te в текущем
# каталог. Если вы не указали файл "pp", файл make
# скомпилирует все файлы "te" в текущем каталоге. После
# вы компилируете свой te файл в файл "pp", вам необходимо установить
# с помощью команды semodule.
$ семодуль -i local.pp
Здание модуль и политика вручную
# Скомпилируем модуль
$ checkmodule -M -m -o local.mod local.te
# Создать пакет
$ semodule_package -o local.pp -m local.mod
# Загрузить модуль в ядро
$ семодуль -i local.pp
. аудит2разрешить в генерируют на и строить модуль и политика
$ cat /var/log/audit/audit.log | audit2allow -M местный
Создание файла принуждения типа: local.te
Политика компиляции: checkmodule -M -m -o local.mod local.te
Пакет сборки: semodule_package -o local.pp -m local.mod
******************** ВАЖНЫЙ ***********************
Чтобы загрузить этот недавно созданный пакет политик в ядро,
вы обязаны выполнить
семодуль -i local.pp
. аудит2разрешить в генерируют на монолитный (немодульный) и политика
$ cd / и т. д. / selinux /$ SELINUXTYPE / src / policy
$ cat /var/log/audit/audit.log | audit2allow >> домены / разное / local.te
$ cat домены / разное / local.te
разрешить cupsd_config_t unlimited_t: fifo_file {getattr ioctl};
$ сделать загрузку
Используйте audit2allow онлайн с помощью сервисов onworks.net
