นี่คือคำสั่ง audit2allow ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
ตรวจสอบ2อนุญาต - สร้างนโยบาย SELinux อนุญาต / ไม่ตรวจสอบกฎจากบันทึกการดำเนินการที่ถูกปฏิเสธ
ตรวจสอบ2ทำไม - แปลข้อความการตรวจสอบ SELinux เป็นคำอธิบายว่าเหตุใดการเข้าถึงจึงเป็น
ปฏิเสธ (audit2allow -w)
เรื่องย่อ
ตรวจสอบ2อนุญาต [ตัวเลือก]
OPTIONS
-a | --ทั้งหมด
อ่านข้อมูลจากการตรวจสอบและบันทึกข้อความ ขัดแย้งกับ -i
-b | --บูต
อ่านอินพุตจากข้อความการตรวจสอบเนื่องจากการบู๊ตครั้งล่าสุดขัดแย้งกับ -i
-d | --dmesg
อ่านอินพุตจากเอาต์พุตของ /bin/dmesg โปรดทราบว่าข้อความการตรวจสอบทั้งหมดไม่ใช่
พร้อมใช้งานผ่าน dmesg เมื่อ auditd ทำงานอยู่ ใช้ "ausearch -m avc | audit2allow" หรือ
"-a" แทน
-D | --dontaudit
สร้างกฎ dontaudit (ค่าเริ่มต้น: อนุญาต)
-h | --ช่วยด้วย
พิมพ์ข้อความการใช้งานสั้นๆ
-i | --ป้อนข้อมูล
อ่านข้อมูลจาก
-l | --lastreload
อ่านอินพุตหลังจากโหลดนโยบายล่าสุดเท่านั้น
-m | --โมดูล
สร้างโมดูล/ต้องการเอาต์พุต
-M
สร้างแพ็คเกจโมดูลที่โหลดได้ ขัดแย้งกับ -o
-p | --นโยบาย
ไฟล์นโยบายที่จะใช้สำหรับการวิเคราะห์
-o | --เอาท์พุท
ต่อท้ายผลลัพธ์ไปยัง
-r | --ต้องใช้
สร้างต้องการไวยากรณ์เอาต์พุตสำหรับโมดูลที่โหลดได้
-N | --noreference
อย่าสร้างนโยบายอ้างอิง อนุญาตให้ใช้กฎแบบเดิม นี้เป็น
พฤติกรรมเริ่มต้น
-R | --อ้างอิง
สร้างนโยบายอ้างอิงโดยใช้มาโครที่ติดตั้ง นี้พยายามที่จะจับคู่การปฏิเสธ
กับอินเทอร์เฟซและอาจไม่ถูกต้อง
-w | --ทำไม
แปลข้อความการตรวจสอบ SELinux เป็นคำอธิบายว่าทำไมการเข้าถึงจึงถูกปฏิเสธ
-v | --รายละเอียด
เปิดเอาต์พุตแบบละเอียด
DESCRIPTION
ยูทิลิตีนี้จะสแกนบันทึกสำหรับข้อความที่บันทึกไว้เมื่อระบบปฏิเสธการอนุญาตสำหรับ
และสร้างข้อมูลโค้ดของกฎนโยบาย ซึ่งหากโหลดเข้าสู่นโยบาย อาจ
ได้อนุญาตให้การดำเนินการเหล่านั้นประสบความสำเร็จ อย่างไรก็ตาม ยูทิลิตี้นี้สร้างเฉพาะ Type
การบังคับใช้ (TE) อนุญาตกฎ การปฏิเสธการอนุญาตบางอย่างอาจต้องใช้ .ประเภทอื่น
การเปลี่ยนแปลงนโยบาย เช่น การเพิ่มแอตทริบิวต์ให้กับการประกาศประเภทเพื่อตอบสนองที่มีอยู่
ข้อจำกัด เพิ่มกฎการอนุญาตบทบาท หรือแก้ไขข้อจำกัด NS ตรวจสอบ2ทำไม(8) อรรถประโยชน์
อาจใช้วินิจฉัยสาเหตุเมื่อไม่ชัดเจน
ต้องใช้ความระมัดระวังในขณะที่ดำเนินการกับผลลัพธ์ของยูทิลิตี้นี้เพื่อให้แน่ใจว่า
การดำเนินการที่ได้รับอนุญาตจะไม่ก่อให้เกิดภัยคุกคามด้านความปลอดภัย มักจะเป็นการดีกว่าที่จะกำหนดใหม่
โดเมนและ/หรือประเภท หรือทำการเปลี่ยนแปลงโครงสร้างอื่นๆ เพื่อให้มีชุด .ที่เหมาะสมที่สุด
การดำเนินงานที่จะประสบความสำเร็จเมื่อเทียบกับการดำเนินการเปลี่ยนแปลงในวงกว้างบางครั้งสุ่มสี่สุ่มห้า
แนะนำโดยยูทิลิตี้นี้ การปฏิเสธการอนุญาตบางอย่างไม่เป็นอันตรายต่อ
แอปพลิเคชัน ซึ่งในกรณีนี้ อาจเป็นการดีกว่าที่จะเพียงแค่ระงับการบันทึกการปฏิเสธ
ผ่านกฎ 'dontaudit' แทนที่จะเป็นกฎ 'อนุญาต'
ตัวอย่าง
หมายเหตุ: ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน ตัวอย่าง เป็น for ระบบ การใช้ การตรวจสอบบัญชี บรรจุภัณฑ์ If เธอ do
ไม่ ใช้ การตรวจสอบบัญชี แพคเกจ, AVC ข้อความ จะ be in /var/log/ข้อความ.
กรุณา แทน / var / log / ข้อความ for /var/log/audit/audit.log in
ตัวอย่าง.
การใช้ ตรวจสอบ2อนุญาต ไปยัง สร้าง โมดูล นโยบาย
$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ แมว local.te
โมดูลท้องถิ่น 1.0;
จำเป็นต้อง {
ไฟล์คลาส { getattr open read };
พิมพ์ myapp_t;
พิมพ์ etc_t;
};
อนุญาต myapp_t etc_t: ไฟล์ { getattr open read };
การใช้ ตรวจสอบ2อนุญาต ไปยัง สร้าง โมดูล นโยบาย การใช้ การอ้างอิง นโยบาย
$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ แมว local.te
policy_module (ท้องถิ่น 1.0)
gen_require(` .)
พิมพ์ myapp_t;
พิมพ์ etc_t;
};
files_read_etc_files(myapp_t)
การก่อสร้าง โมดูล นโยบาย การใช้ Makefile
# SELinux ให้สภาพแวดล้อมการพัฒนานโยบายภายใต้
# /usr/share/selinux/devel รวมถึงจัดส่งทั้งหมด
#ไฟล์อินเตอร์เฟส
# คุณสามารถสร้างไฟล์ te และคอมไพล์ได้โดยดำเนินการ
$ make -f /usr/share/selinux/devel/Makefile local.pp
# คำสั่ง make นี้จะรวบรวมไฟล์ local.te ใน current
#ไดเรกทอรี หากคุณไม่ได้ระบุไฟล์ "pp" ให้สร้างไฟล์
# จะรวบรวมไฟล์ "te" ทั้งหมดในไดเร็กทอรีปัจจุบัน หลังจาก
# คุณรวบรวมไฟล์ te ของคุณเป็นไฟล์ "pp" คุณต้องติดตั้ง
# โดยใช้คำสั่ง semodule
$ semodule -i local.pp
การก่อสร้าง โมดูล นโยบาย ด้วยมือ
# รวบรวมโมดูล
$ ตรวจสอบโมดูล -M -m -o local.mod local.te
#สร้างแพ็คเกจ
$ semodule_package -o local.pp -m local.mod
# โหลดโมดูลลงในเคอร์เนล
$ semodule -i local.pp
การใช้ ตรวจสอบ2อนุญาต ไปยัง สร้าง และ สร้าง โมดูล นโยบาย
$ cat /var/log/audit/audit.log | audit2allow -M ท้องถิ่น
กำลังสร้างไฟล์บังคับใช้ประเภท: local.te
นโยบายการรวบรวม: checkmodule -M -m -o local.mod local.te
การสร้างแพ็คเกจ: semodule_package -o local.pp -m local.mod
******************** สำคัญ ***********************
เพื่อโหลดแพ็คเกจนโยบายที่สร้างขึ้นใหม่นี้ลงในเคอร์เนล
คุณต้องดำเนินการ
โมดูล -i local.pp
การใช้ ตรวจสอบ2อนุญาต ไปยัง สร้าง เป็นเสาหิน (ไม่ใช่โมดูล) นโยบาย
$ cd /etc/selinux/$SELINUXTYPE/src/นโยบาย
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ โดเมน cat/misc/local.te
อนุญาต cupsd_config_t unconfined_t:fifo_file { getattr ioctl };
$ ทำให้โหลด
ใช้ audit2allow ออนไลน์โดยใช้บริการ onworks.net
