audit2allow - Online sa Cloud

PROGRAMA:

NAME

audit2allow - bumuo ng SELinux policy allow/dontaudit rules mula sa mga log ng mga tinanggihang operasyon

audit2bakit - isinasalin ang mga mensahe ng pag-audit ng SELinux sa isang paglalarawan kung bakit ang pag-access ay
tinanggihan (audit2allow -w)

SINOPSIS

audit2allow [pagpipilian]

Opsyon

-a | --lahat
Basahin ang input mula sa audit at log ng mensahe, salungat sa -i

-b | --boot
Basahin ang input mula sa mga mensahe sa pag-audit mula noong sumalungat ang huling boot sa -i

-d | --dmesg
Basahin ang input mula sa output ng /bin/dmesg. Tandaan na ang lahat ng mga mensahe sa pag-audit ay hindi
magagamit sa pamamagitan ng dmesg kapag tumatakbo ang auditd; gamitin ang "ausearch -m avc | audit2allow" o
"-a" sa halip.

-D | --dontaudit
Bumuo ng mga panuntunan sa dontaudit (Default: payagan)

-h | - Tumulong
Mag-print ng maikling mensahe ng paggamit

-i | --input
basahin ang input mula sa

-l | --lastreload
basahin lamang ang input pagkatapos ng huling pag-reload ng patakaran

-m | --modyul
Bumuo ng module/nangangailangan ng output

-M
Bumuo ng loadable module package, sumasalungat sa -o

-p | --patakaran
File ng patakaran na gagamitin para sa pagsusuri

-o | --output
idagdag ang output sa

-r | --nangangailangan
Bumuo ng nangangailangan ng output syntax para sa mga na-load na module.

-N | --walang sanggunian
Huwag bumuo ng reference na patakaran, pinahihintulutan ng tradisyonal na istilo ang mga panuntunan. Ito ang
default na pag-uugali.

-R | --sanggunian
Bumuo ng patakaran sa sanggunian gamit ang mga naka-install na macro. Sinusubukan nitong tumugma sa mga pagtanggi
laban sa mga interface at maaaring hindi tumpak.

-w | --bakit
Isinasalin ang mga mensahe ng pag-audit ng SELinux sa isang paglalarawan kung bakit tinanggihan ang pag-access

-v | --verbose
I-on ang verbose output

DESCRIPTION

Ini-scan ng utility na ito ang mga log para sa mga mensaheng naka-log kapag tinanggihan ng system ang pahintulot para sa
pagpapatakbo, at bumubuo ng isang snippet ng mga patakaran ng patakaran na, kung mai-load sa patakaran, ay maaaring
pinahintulutan ang mga operasyong iyon na magtagumpay. Gayunpaman, ang utility na ito ay bumubuo lamang ng Uri
Pinapayagan ng Enforcement (TE) ang mga panuntunan. Ang ilang partikular na pagtanggi sa pahintulot ay maaaring mangailangan ng iba pang uri ng
mga pagbabago sa patakaran, hal. pagdaragdag ng isang katangian sa isang uri ng deklarasyon upang masiyahan ang isang umiiral na
pagpilit, pagdaragdag ng panuntunang pinapayagan ang tungkulin, o pagbabago ng hadlang. Ang audit2bakit(8) utility
maaaring gamitin upang masuri ang dahilan kapag ito ay hindi malinaw.

Kailangang mag-ingat habang kumikilos sa output ng utility na ito upang matiyak na ang
ang mga operasyong pinahihintulutan ay hindi nagdudulot ng banta sa seguridad. Kadalasan ito ay mas mahusay na tukuyin ang bago
mga domain at/o mga uri, o gumawa ng iba pang mga pagbabago sa istruktura upang makitid na payagan ang isang pinakamainam na hanay ng
mga operasyon upang magtagumpay, kumpara sa bulag na pagpapatupad ng kung minsan ay malawak na mga pagbabago
inirerekomenda ng utility na ito. Ang ilang partikular na pagtanggi sa pahintulot ay hindi nakamamatay sa
aplikasyon, kung saan maaaring mas mainam na sugpuin lamang ang pag-log ng pagtanggi
sa pamamagitan ng isang 'dontaudit' na panuntunan sa halip na isang 'allow' na panuntunan.

Halimbawa

TANDAAN: mga ito halimbawa ay para system paggamit ang pagtutuos ng kuwenta Pakete. If ikaw do
hindi gamitin ang pagtutuos ng kuwenta package, ang AVC mensahe habilin be in /var/log/message.
Pakiusap kapalit / var / log / mensahe para /var/log/audit/audit.log in ang
halimbawa.

paggamit audit2allow sa lumikha module patakaran

$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
lokal na module 1.0;

kailangan {
class file { getattr open read };

i-type ang myapp_t;
uri etc_t;
};

payagan ang myapp_t etc_t:file { getattr open read };


paggamit audit2allow sa lumikha module patakaran paggamit sanggunian patakaran

$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
policy_module(lokal, 1.0)

gen_require(`
i-type ang myapp_t;
uri etc_t;
};

files_read_etc_files(myapp_t)


gusali module patakaran paggamit Makefile

Ang # SELinux ay nagbibigay ng policy devel environment sa ilalim
# /usr/share/selinux/devel kasama ang lahat ng ipinadala
# interface na file.
# Maaari kang lumikha ng isang file at i-compile ito sa pamamagitan ng pagsasagawa

$ make -f /usr/share/selinux/devel/Makefile local.pp

# Ang make command na ito ay mag-compile ng local.te file sa kasalukuyang
# direktoryo. Kung hindi ka tumukoy ng "pp" na file, ang make file
# ay mag-compile ng lahat ng "te" na file sa kasalukuyang direktoryo. Pagkatapos
# isasama mo ang iyong te file sa isang "pp" na file, kailangan mong i-install
# ito gamit ang semodule command.

$ semodule -i local.pp

gusali module patakaran mano-mano

# I-compile ang module
$ checkmodule -M -m -o local.mod local.te

# Lumikha ng package
$ semodule_package -o local.pp -m local.mod

# I-load ang module sa kernel
$ semodule -i local.pp

paggamit audit2allow sa lumikha at magtayo module patakaran

$ cat /var/log/audit/audit.log | audit2allow -M lokal
Pagbuo ng uri ng pagpapatupad ng file: local.te

Patakaran sa pag-compile: checkmodule -M -m -o local.mod local.te
Building package: semodule_package -o local.pp -m local.mod

******************** MAHALAGA ***********************

Upang mai-load ang bagong likhang package ng patakaran sa kernel,
kailangan mong isagawa

semodule -i local.pp

paggamit audit2allow sa lumikha monolitik (hindi module) patakaran

$ cd /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> mga domain/misc/local.te
$ cat domain/misc/local.te
payagan ang cupsd_config_t unconfined_t:fifo_file { getattr ioctl };

$ gumawa ng load

Gamitin ang audit2allow online gamit ang mga serbisyo ng onworks.net