audit2allow

Från Wiki.linux.se
Hoppa till navigering Hoppa till sök

audit2allow(1) - Linux manualsida

NAMN

audit2allow - genererar SELinux-policyregler (allow/dontaudit) baserade på loggar över nekade operationer. audit2why - översätter SELinux-auditmeddelanden till en beskrivning av varför åtkomst nekades (via audit2allow -w).

SYNOPSIS

audit2allow [alternativ]

ALTERNATIV

  • -a | --all

Läs indata från audit- och meddelandeloggar. Kan inte kombineras med -i.

  • -b | --boot

Läs indata från audit-meddelanden sedan senaste omstart. Kan inte kombineras med -i.

  • -d | --dmesg

Läs indata från utdata av /bin/dmesg. Observera att inte alla audit-meddelanden finns tillgängliga via dmesg när auditd körs. Använd istället "ausearch -m avc | audit2allow" eller -a.

  • -D | --dontaudit

Generera dontaudit-regler (standard: allow).

  • -e | --explain

Förklara utdata fullständigt.

  • -h | --help

Visa en kort användningsbeskrivning.

  • -i <inputfil> | --input <inputfil>

Läs indata från <inputfil>.

  • --interface-info=<interface_info_file>

Läs gränssnittsinfo från <interface_info_file>.

  • -l | --lastreload

Läs indata endast efter senaste policyomladdning.

  • -m <modulnamn> | --module <modulnamn>

Generera modul- och krävspecifikationer med modulnamnet <modulnamn>.

  • -M <modulnamn>

Generera ett laddbart modulpaket. Kan inte kombineras med -o.

  • -p <policyfil> | --policy <policyfil>

Använd policyfilen <policyfil> för analys.

  • --perm-map <perm_map_file>

Läs rättighetsmappning från <perm_map_file>.

  • -o <outputfil> | --output <outputfil>

Skriv utdata till <outputfil>.

  • -r | --requires

Generera krävspecifikationer för laddbara moduler.

  • -N | --noreference

Generera traditionella allow-regler utan referenspolicy (standardbeteende).

  • -R | --reference

Generera referenspolicy med installerade makron. Matchar nekningar mot gränssnitt (kan vara inexakt).

  • -t <type_regex> | --type=<type_regex>

Bearbeta endast meddelanden vars typ matchar detta regex.

  • -x | --xperms

Generera regler för utökade rättighetsvektorer.

  • -w | --why

Översätt SELinux-auditmeddelanden till en beskrivning av varför åtkomst nekades.

  • -v | --verbose

Aktivera detaljerad utdata.

BESKRIVNING

Detta verktyg granskar loggar efter meddelanden om nekade operationer och genererar ett policyutkast med regler som, om de laddas in i policy, kan tillåta dessa operationer. Endast Type Enforcement (TE) allow-regler genereras. Vissa nekade rättigheter kan kräva andra policyändringar, såsom att lägga till attribut i en typdeklaration eller ändra en constraint. Verktyget audit2why kan användas för att diagnostisera orsaker till nekningar.

Försiktighet bör iakttas vid användning av detta verktyg för att säkerställa att tillåtna operationer inte utgör en säkerhetsrisk. Det kan vara bättre att skapa nya domäner eller typer för att smalare definiera de operationer som ska tillåtas, snarare än att implementera breda ändringar.

EXEMPEL

Generera modulpolicy med audit2allow

<syntaxhighlight lang="bash">

$ cat /var/log/audit/audit.log | audit2allow -m local > local.te $ cat local.te module local 1.0;

require {

   class file { getattr open read };
   type myapp_t;
   type etc_t;

};

allow myapp_t etc_t:file { getattr open read }; </syntaxhighlight>

Bygga modulpolicy manuellt

<syntaxhighlight lang="bash">

$ checkmodule -M -m -o local.mod local.te $ semodule_package -o local.pp -m local.mod $ semodule -i local.pp </syntaxhighlight>

Generera och bygga modulpolicy automatiskt

<syntaxhighlight lang="bash">

$ cat /var/log/audit/audit.log | audit2allow -M local

  1. Följ instruktioner för att ladda policy med semodule -i local.pp

</syntaxhighlight>

FÖRFATTARE

Manual skriven av Manoj Srivastava för Debian GNU/Linux, uppdaterad av Dan Walsh. Verktyget audit2allow har bidrag från flera, inklusive Justin R. Smith och Yuichi Nakamura.

COLOPHON

Denna sida är en del av SELinux-projektet. För mer information, besök https://github.com/SELinuxProject/selinux/wiki. Rapportera buggar via Contributing-sidan.

Sidslut

Orginalhemsidan på Engelska :https://man7.org/linux/man-pages/man1/audit2allow.1.html


Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp som har sponsrat Linux.se med webbhotell.