Це команда audit2allow, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS.
ПРОГРАМА:
ІМ'Я
audit2allow - генерувати правила дозволу/неперевірки політики SELinux з журналів заборонених операцій
audit2why - перекладає повідомлення аудиту SELinux в опис того, чому був доступ
відхилено (audit2allow -w)
СИНТАКСИС
audit2allow [опції]
ВАРІАНТИ
-a | --все
Читання введених даних з журналу аудиту та повідомлень, конфлікти з -i
-b | --завантаження
Прочитати вхідні дані з повідомлень аудиту з моменту останнього завантаження конфліктує з -i
-d | --dmesg
Прочитати вхідні дані з виходу /bin/dmesg. Зауважте, що не всі повідомлення аудиту
доступний через dmesg, коли запущено auditd; використовуйте "ausearch -m avc | audit2allow" або
Натомість "-a".
-D | --донтаудит
Створити правила dontaudit (за умовчанням: дозволити)
-h | --допомога
Роздрукуйте коротке повідомлення про використання
-i | --вхід
прочитати введення з
-l | --останнє навантаження
читання введених даних тільки після останнього перезавантаження політики
-m | -- модуль
Згенерувати модуль/вимагати виведення
-M
Створити завантажуваний пакет модулів, конфліктує з -o
-p | -- політика
Файл політики для аналізу
-o | - вихід
додати вихід до
-r | --вимагає
Генерувати синтаксис виведення вимоги для завантажуваних модулів.
-N | --без посилання
Не генеруйте довідкову політику, традиційний стиль допускає правила. Це
поведінка за замовчуванням.
-R | --довідка
Створення політики посилань за допомогою встановлених макросів. Це намагається порівняти заперечення
проти інтерфейсів і може бути неточним.
-w | -- чому
Перекладає повідомлення аудиту SELinux в опис того, чому у доступі було відмовлено
-v | -багатослівний
Увімкніть докладний вихід
ОПИС
Ця утиліта сканує журнали на наявність повідомлень, які реєструються, коли система відмовила у дозволі
операцій і генерує фрагмент правил політики, які, якщо їх завантажити в політику, можуть
дозволили цим операціям досягти успіху. Однак ця утиліта генерує лише тип
Правила примусового застосування (TE) дозволяють. Для певних відмов у дозволі можуть знадобитися інші види
зміни політики, наприклад, додавання атрибута до оголошення типу, щоб задовольнити існуючий
обмеження, додавання правила дозволу ролі або змінення обмеження. The audit2why(8) корисність
може використовуватися для діагностики причини, коли вона незрозуміла.
Під час роботи з результатами цієї утиліти необхідно бути обережними, щоб переконатися, що
дозволені операції не становлять загрози безпеці. Часто краще визначити новий
доменів та/або типів, або внести інші структурні зміни, щоб вузько дозволити оптимальний набір
операції, щоб досягти успіху, на відміну від сліпого впровадження інколи широких змін
рекомендовані цією утилітою. Деякі відмови у дозволі не є фатальними для
додаток, у цьому випадку може бути краще просто придушити реєстрацію відмови
за допомогою правила «dontaudit», а не правила «дозволити».
приклад
ПРИМІТКА: Ці Приклади він має та цінності системи використання аудит пакет. If ви do
НЕ використання аудит пакет, AVC повідомлення волі be in /var/log/messages.
будь ласка замінити / var / log / messages та цінності /var/log/audit/audit.log in
приклади
використання audit2allow до породжувати Модулі політика
$ cat /var/log/audit/audit.log | audit2allow -m local > local.te
$ cat local.te
модуль локальний 1.0;
вимагати {
файл класу { getattr відкритий читання };
введіть myapp_t;
тип etc_t;
};
дозволити myapp_t etc_t:file { getattr open read };
використання audit2allow до породжувати Модулі політика використання посилання політика
$ cat /var/log/audit/audit.log | audit2allow -R -m local > local.te
$ cat local.te
модуль_політики(локальний, 1.0)
gen_require(`
введіть myapp_t;
тип etc_t;
};
files_read_etc_files(myapp_t)
Створюємо Модулі політика використання Makefile
# SELinux забезпечує середовище розробки політики під
# /usr/share/selinux/devel, включаючи всі доставлені
# файл інтерфейсу.
# Ви можете створити te файл і зібрати його, виконавши
$ make -f /usr/share/selinux/devel/Makefile local.pp
# Ця команда make скомпілює файл local.te у поточному
# каталог. Якщо ви не вказали файл "pp", файл make
# скомпілює всі файли "te" в поточному каталозі. Після
# ви компілюєте свій файл te у файл "pp", який вам потрібно встановити
# це за допомогою команди semodule.
$ semodule -i local.pp
Створюємо Модулі політика вручну
# Компілюйте модуль
$ checkmodule -M -m -o local.mod local.te
# Створіть пакет
$ semodule_package -o local.pp -m local.mod
# Завантажте модуль у ядро
$ semodule -i local.pp
використання audit2allow до породжувати та будувати Модулі політика
$ cat /var/log/audit/audit.log | audit2allow -M локальний
Створення файлу застосування типу: local.te
Політика компіляції: checkmodule -M -m -o local.mod local.te
Пакет збірки: semodule_package -o local.pp -m local.mod
******************** ВАЖЛИВО *************************
Щоб завантажити цей щойно створений пакет політики в ядро,
від вас вимагається виконання
semodule -i local.pp
використання audit2allow до породжувати монолітний (немодульний) політика
$ cd /etc/selinux/$SELINUXTYPE/src/policy
$ cat /var/log/audit/audit.log | audit2allow >> domains/misc/local.te
$ cat domains/misc/local.te
дозволити cupsd_config_t unconfined_t:fifo_file { getattr ioctl };
$ зробити навантаження
Використовуйте audit2allow онлайн за допомогою служб onworks.net
