这是命令 audit2allow 可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
审计2允许 - 从拒绝操作的日志中生成 SELinux 策略允许/dontaudit 规则
审计2为什么 - 将 SELinux 审核消息转换为访问原因的描述
被拒绝(audit2allow -w)
概要
审计2允许 [选项]
配置
-a | - 全部
从审计和消息日志中读取输入,与 -i 冲突
-b | --引导
从上次启动后的审计消息中读取输入与 -i 冲突
-d | --dmesg
从输出读取输入 /bin/dmesg. 请注意,并非所有审计消息
当 auditd 运行时,可通过 dmesg 获得; 使用“ausearch -m avc | audit2allow”或
“-a”代替。
-D | --不审计
生成 dontaudit 规则(默认:允许)
-h | - 帮帮我
打印简短的使用信息
-i | - 输入
读取输入
-l | --最后重新加载
仅在上次策略重新加载后读取输入
-m | - 模块
生成模块/需要输出
-M
生成可加载模块包,与-o冲突
-p | - 政策
用于分析的策略文件
-o | - 输出
将输出附加到
-r | --需要
为可加载模块生成 require 输出语法。
-N | --无参考
不生成引用策略,传统样式允许规则。 这是
默认行为。
-R | - 参考
使用已安装的宏生成参考策略。 这试图匹配拒绝
针对接口,可能不准确。
-w | - 为什么
将 SELinux 审核消息转换为访问被拒绝原因的描述
-v | --详细
打开详细输出
商品描述
此实用程序会扫描日志以查找当系统拒绝以下权限时记录的消息
操作,并生成一个策略规则片段,如果加载到策略中,可能
已经允许这些操作成功。 但是,此实用程序仅生成类型
强制执行 (TE) 允许规则。 某些权限拒绝可能需要其他类型的
策略更改,例如向类型声明添加属性以满足现有的
约束、添加角色允许规则或修改约束。 这 审计2为什么(8) 效用
原因不明时可用于诊断。
在处理此实用程序的输出时必须小心谨慎,以确保
被允许的操作不会构成安全威胁。 通常最好定义新的
域和/或类型,或进行其他结构更改以缩小范围内的最佳集合
操作成功,而不是盲目地实施有时广泛的变化
此实用程序推荐。 某些许可拒绝对
应用程序,在这种情况下,最好简单地抑制拒绝记录
通过“dontaudit”规则而不是“允许”规则。
例
注意: 博曼 例子 ,那恭喜你, 系统 运用 此 审计 包。 If 您 do
不能 使用 此 审计 包, 此 AVC的 条未读消息 将 be in /var/日志/消息。
替代 / var / log /消息 /var/log/audit/audit.log in 此
例子。
运用 审计2允许 至 生成 模块 政策
$ cat /var/log/audit/audit.log | audit2allow -m 本地 > local.te
$ 猫本地.te
模块本地 1.0;
要求 {
类文件 { getattr 打开读取 };
输入 myapp_t;
输入 etc_t;
};
允许 myapp_t etc_t:file { getattr open read };
运用 审计2允许 至 生成 模块 政策 运用 参考 政策
$ cat /var/log/audit/audit.log | audit2allow -R -m 本地 > local.te
$ 猫本地.te
政策模块(本地,1.0)
gen_require(`
输入 myapp_t;
输入 etc_t;
};
文件读取等文件(myapp_t)
建筑物 模块 政策 运用 生成文件
# SELinux 下提供了一个策略开发环境
# /usr/share/selinux/devel 包括所有附带的
# 接口文件。
# 可以创建一个te文件并通过执行来编译它
$ make -f /usr/share/selinux/devel/Makefile local.pp
# 这个make命令会在当前编译一个local.te文件
# 目录。 如果没有指定“pp”文件,make 文件
# 将编译当前目录中的所有“te”文件。 后
#你把你的te文件编译成“pp”文件,你需要安装
# 使用 semodule 命令。
$ semodule -i local.pp
建筑物 模块 政策 手动
# 编译模块
$ checkmodule -M -m -o local.mod local.te
# 创建包
$ semodule_package -o local.pp -m local.mod
# 将模块加载到内核中
$ semodule -i local.pp
运用 审计2允许 至 生成 和 建立 模块 政策
$ cat /var/log/audit/audit.log | audit2allow -M 本地
生成类型强制文件:local.te
编译策略:checkmodule -M -m -o local.mod local.te
构建包:semodule_package -o local.pp -m local.mod
******************** 重要的 ***********************
为了将这个新创建的策略包加载到内核中,
你需要执行
semodule -i local.pp
运用 审计2允许 至 生成 单片 (非模块) 政策
$ cd /etc/selinux/$SELINUXTYPE/src/策略
$ cat /var/log/audit/audit.log | audit2allow >> 域/misc/local.te
$ cat 域/misc/local.te
允许 cupsd_config_t unconfined_t:fifo_file { getattr ioctl };
$ 加载
使用 onworks.net 服务在线使用 audit2allow