هذا هو الأمر Audit2why الذي يمكن تشغيله في موفر الاستضافة المجاني OnWorks باستخدام إحدى محطات العمل المجانية المتعددة عبر الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
Audit2allow - إنشاء سياسة SELinux allow / dontaudit من سجلات العمليات المرفوضة
تدقيق 2 لماذا - يترجم رسائل تدقيق SELinux إلى وصف لسبب الوصول
مرفوض (Audit2allow -w)
موجز
Audit2allow [الخيارات]
OPTIONS
-a | --الكل
قراءة المدخلات من التدقيق وسجل الرسائل ، تتعارض مع -i
-b | --حذاء طويل
قراءة المدخلات من رسائل التدقيق منذ تعارض التمهيد الأخير مع -i
-d | --dmesg
قراءة المدخلات من إخراج / بن / dmesg. لاحظ أن جميع رسائل التدقيق ليست كذلك
متاح عبر dmesg عند تشغيل Auditd ؛ استخدم "ausearch -m avc | Audit2allow" أو
بدلا من ذلك "-a".
-D | --دونتودت
إنشاء قواعد عدم المراجعة (الافتراضي: سماح)
-h | --مساعدة
اطبع رسالة استخدام قصيرة
-i | --إدخال
قراءة المدخلات من
-l | --آخر تحميل
قراءة الإدخال فقط بعد إعادة تحميل السياسة الأخيرة
-m | --وحدة
توليد وحدة / تتطلب الإخراج
-M
إنشاء حزمة وحدة قابلة للتحميل ، تتعارض مع -o
-p | --سياسة
ملف السياسة لاستخدامه في التحليل
-o | --انتاج
إلحاق الإخراج بـ
-r | --يتطلب
إنشاء يتطلب بناء جملة الإخراج للوحدات النمطية للتحميل.
-N | --لا مرجع
لا تقم بإنشاء سياسة مرجعية ، فالنمط التقليدي يسمح بالقواعد. هذا ال
السلوك الافتراضي.
-R | --المرجعي
إنشاء نهج مرجعي باستخدام وحدات الماكرو المثبتة. هذا يحاول مضاهاة النفي
ضد الواجهات وقد تكون غير دقيقة.
-w | --لماذا
يترجم رسائل تدقيق SELinux إلى وصف لسبب رفض الوصول
-v | - الإسراف
قم بتشغيل الإخراج المطول
الوصف
تقوم هذه الأداة بفحص السجلات بحثًا عن الرسائل التي تم تسجيلها عندما رفض النظام إذنًا لـ
العمليات ، وينشئ مقتطفًا من قواعد السياسة التي ، إذا تم تحميلها في السياسة ، فقد
سمحت لهذه العمليات بالنجاح. ومع ذلك ، تقوم هذه الأداة المساعدة بإنشاء النوع فقط
تطبيق (TE) يسمح بالقواعد. قد تتطلب بعض أنواع رفض الإذن أنواعًا أخرى من
تغييرات السياسة ، على سبيل المثال إضافة سمة إلى إعلان نوع لتلبية موجود
القيد ، إضافة دور يسمح القاعدة ، أو تعديل القيد. ال تدقيق 2 لماذا(8) فائدة
يمكن استخدامها لتشخيص السبب عندما يكون غير واضح.
يجب توخي الحذر أثناء العمل على ناتج هذه الأداة المساعدة للتأكد من أن ملف
لا تشكل العمليات المسموح بها تهديدًا أمنيًا. غالبًا ما يكون من الأفضل تحديد الجديد
المجالات و / أو الأنواع ، أو إجراء تغييرات هيكلية أخرى للسماح لمجموعة مثالية من
عمليات ناجحة ، بدلاً من التنفيذ الأعمى للتغييرات الواسعة أحيانًا
أوصت به هذه الأداة. بعض حالات رفض الإذن ليست قاتلة لـ
التطبيق ، وفي هذه الحالة قد يكون من الأفضل ببساطة إلغاء تسجيل الرفض
عبر قاعدة "dontaudit" بدلاً من قاعدة "allow".
مثال
NOTE: تشبه أمثلة . لـ نظم استخدام هيه التدقيق الحزمة. If لصحتك! do
ليس تستخدم هيه التدقيق حزمة، هيه AVC رسائل سوف be in / فار / سجل / رسائل.
من فضلك قم استبدل / فار / سجل / رسائل لـ /var/log/audit/audit.log in هيه
أمثلة.
باستخدام Audit2allow إلى توليد وحدة سياسة
$ cat /var/log/audit/audit.log | Audit2allow -m محلي> local.te
$ القطة local.te
الوحدة المحلية 1.0 ؛
يتطلب {
ملف الفصل {getattr open read} ؛
اكتب myapp_t ؛
اكتب etc_t ؛
};
allow myapp_t etc_t: file {getattr open read} ؛
باستخدام Audit2allow إلى توليد وحدة سياسة استخدام مرجع سياسة
$ cat /var/log/audit/audit.log | Audit2allow -R -m محلي> local.te
$ القطة local.te
policy_module (محلي ، 1.0)
gen_require (`.
اكتب myapp_t ؛
اكتب etc_t ؛
};
files_read_etc_files(myapp_t)
ابني وحدة سياسة استخدام ماكيفيلي
# يوفر SELinux بيئة تطوير السياسة في ظل
# / usr / share / selinux / devel بما في ذلك جميع الشحنات
# ملفات واجهة.
# يمكنك إنشاء ملف وتجميعه عن طريق التنفيذ
$ make -f / usr / share / selinux / devel / Makefile local.pp
# سيؤدي هذا الأمر make إلى ترجمة ملف local.te في الملف الحالي
# الدليل. إذا لم تحدد ملف "pp" ، فقم بإنشاء ملف
# سيجمع كل ملفات "te" في الدليل الحالي. بعد
# تقوم بتجميع ملف te الخاص بك في ملف "pp" ، وتحتاج إلى تثبيته
# باستخدام الأمر semodule.
semodule $ -i local.pp
ابني وحدة سياسة يدويا
# تجميع الوحدة
$ checkmodule -M -m -o local.mod local.te
# قم بإنشاء الحزمة
$ semodule_package -o local.pp -m local.mod
# قم بتحميل الوحدة النمطية في النواة
semodule $ -i local.pp
باستخدام Audit2allow إلى توليد نساعدك في بناء وحدة سياسة
$ cat /var/log/audit/audit.log | Audit2allow -M محلي
إنشاء ملف فرض النوع: local.te
نهج التجميع: checkmodule -M -m -o local.mod local.te
حزمة البناء: semodule_package -o local.pp -m local.mod
******************** مهم ***********************
لتحميل حزمة السياسة هذه التي تم إنشاؤها حديثًا في النواة ،
أنت مطالب بالتنفيذ
semodule -i local.pp
باستخدام Audit2allow إلى توليد المتجانسة (غير وحدة) سياسة
$ cd / etc / selinux /SELINUXTYPE $ / src / policy
$ cat /var/log/audit/audit.log | Audit2allow >> المجالات / misc / local.te
نطاقات $ cat / متفرقات / local.te
allow cupsd_config_t unconfined_t: fifo_file {getattr ioctl}؛
$ جعل الحمل
استخدم Audit2why عبر الإنترنت باستخدام خدمات onworks.net
