Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen audit2allow komutudur.
Program:
ADI
denetim2allow - reddedilen işlemlerin günlüklerinden SELinux politikası izin verme/denetleme kuralları oluşturma
denetim2 neden - SELinux denetim mesajlarını erişimin neden yapıldığının açıklamasına çevirir
reddedildi (audit2allow -w)
SİNOPSİS
denetim2allow [seçenekleri]
SEÇENEKLER
-a | --herşey
Denetim ve mesaj günlüğünden girdiyi okuyun, -i ile çakışıyor
-b | --bot
-i ile son önyükleme çakışmasından bu yana denetim mesajlarından gelen girişi okuyun
-d | --dmesg
çıkışından girişi oku /bin/dmesg. Tüm denetim mesajlarının
Auditd çalışırken dmesg aracılığıyla kullanılabilir; "ausearch -m avc | audit2allow" kullanın veya
"-a" yerine.
-D | --denetleme
Dontaudit kuralları oluştur (Varsayılan: izin ver)
-h | --yardım et
Kısa bir kullanım mesajı yazdırın
-i | --giriş
girdiyi oku
-l | --son yükleme
girişi yalnızca son politika yeniden yüklemesinden sonra oku
-m | --modül
Modül oluştur/çıktı gerektir
-M
Yüklenebilir modül paketi oluştur, -o ile çakışıyor
-p | --politika
Analiz için kullanılacak politika dosyası
-o | --çıktı
çıktı ekle
-r | --gereklilikler
Yüklenebilir modüller için gerekli çıktı sözdizimini oluşturun.
-N | --referans yok
Referans politikası oluşturma, geleneksel stil izin verme kuralları. bu
Varsayılan davranış.
-R | --referans
Yüklü makroları kullanarak referans ilkesi oluşturun. Bu, inkarları eşleştirmeye çalışır
arayüzlere karşı ve yanlış olabilir.
-w | --Niye
SELinux denetim mesajlarını erişimin neden reddedildiğinin açıklamasına çevirir
-v | --ayrıntılı
Ayrıntılı çıktıyı aç
TANIM
Bu yardımcı program, sistem izin vermeyi reddettiğinde kaydedilen iletiler için günlükleri tarar.
işlem yapar ve politikaya yüklendiğinde, politika kurallarından oluşan bir pasaj oluşturur
operasyonların başarılı olmasına izin verdi. Ancak, bu yardımcı program yalnızca Type oluşturur.
Yürütme (TE) kurallara izin verir. Bazı izin reddi, başka türde izinler gerektirebilir.
politika değişiklikleri, örneğin var olan bir durumu karşılamak için bir tür bildirimine bir öznitelik eklemek
kısıtlama, role izin verme kuralı ekleme veya bir kısıtlamayı değiştirme. NS denetim2 neden(8) yardımcı program
belirsiz olduğunda nedeni teşhis etmek için kullanılabilir.
Bu yardımcı programın çıktısı üzerinde hareket ederken dikkatli olunmalıdır.
izin verilen işlemler güvenlik tehdidi oluşturmaz. Genellikle yeni tanımlamak daha iyidir
etki alanları ve/veya türleri veya optimal bir dizi
bazen geniş çaplı değişiklikleri körü körüne uygulamak yerine başarılı olmak için operasyonlar
bu yardımcı program tarafından önerilir. Bazı izinlerin reddedilmesi, kullanıcılar için ölümcül değildir.
uygulama, bu durumda reddetmenin günlüğe kaydedilmesini basitçe bastırmak tercih edilebilir.
bir 'izin ver' kuralı yerine bir 'denetleme' kuralı aracılığıyla.
ÖRNEK
NOT: Bunlar örnekler vardır için sistemler kullanma the denetim paketi. If sen do
değil kullanım the denetim paket, the AVC mesajları irade be in / Var / log / mesajları.
Lütfen vekil / var / log / messages için /var/log/denetim/denetim.log in the
örnekleri.
kullanma denetim2allow için oluşturmak modül politika
$ cat /var/log/audit/audit.log | Audit2allow -m local > local.te
$ kedi yerel.te
modül yerel 1.0;
gerekmek {
sınıf dosyası { getattr açık okuma };
myapp_t yazın;
etc_t yazın;
};
myapp_t etc_t:file { getattr open read };
kullanma denetim2allow için oluşturmak modül politika kullanma referans politika
$ cat /var/log/audit/audit.log | Audit2allow -R -m yerel > yerel.te
$ kedi yerel.te
policy_module(yerel, 1.0)
gen_require('
myapp_t yazın;
etc_t yazın;
};
files_read_etc_files(uygulamam_t)
bina modül politika kullanma Makefile
# SELinux altında bir politika geliştirme ortamı sağlar
# /usr/share/selinux/devel gönderilenlerin tümü dahil
# arayüz dosyaları.
# Bir te dosyası oluşturup çalıştırarak derleyebilirsiniz.
$ make -f /usr/share/selinux/devel/Makefile local.pp
# Bu make komutu, mevcut durumda bir local.te dosyası derleyecektir.
# dizin. Bir "pp" dosyası belirtmediyseniz, make dosyası
# geçerli dizindeki tüm "te" dosyalarını derler. Sonrasında
# te dosyanızı bir "pp" dosyasına derlerseniz yüklemeniz gerekir
# semodule komutunu kullanarak.
$ semodül -i local.pp
bina modül politika el ile
# Modülü derleyin
$ kontrol modülü -M -m -o local.mod local.te
# Paketi oluştur
$ semodule_package -o local.pp -m local.mod
# Modülü çekirdeğe yükleyin
$ semodül -i local.pp
kullanma denetim2allow için oluşturmak ve inşa etmek modül politika
$ cat /var/log/audit/audit.log | Audit2allow -M yerel
Tür uygulama dosyası oluşturuluyor: local.te
Derleme politikası: checkmodule -M -m -o local.mod local.te
Yapı paketi: semodule_package -o local.pp -m local.mod
******************** ÖNEMLİ ***********************
Yeni oluşturulan bu politika paketini çekirdeğe yüklemek için,
yürütmeniz gerekiyor
semodule -i local.pp
kullanma denetim2allow için oluşturmak yekpare (modül olmayan) politika
$cd /etc/selinux/$SELINUXTYPE/src/politika
$ cat /var/log/audit/audit.log | Audit2allow >> domains/misc/local.te
$ kedi alan adları/çeşitli/local.te
cupd_config_t izin ver unconfined_t:fifo_file { getattr ioctl };
$ yükleme yapmak
onworks.net hizmetlerini kullanarak Audit2allow'u çevrimiçi kullanın