audit2why

Autres langues

Langue: ru

Version: Май 2005 (mandriva - 01/05/08)

Section: 8 (Commandes administrateur)

Sommaire

НАЗВАНИЕ

audit2why - Определить из сообщения аудита SELinux причину запрета доступа

СИНТАКСИС

audit2why [options]

ОПЦИИ

--help Вывести короткую подсказку
-p <policyfile>
Указать альтернативный файл политики.

ОПИСАНИЕ

Эта утилита обрабатывает сообщения аудита SELinux, принятые со стандартного ввода, и сообщает, какой компонент политики вызвал каждый из запретов. Если задана опция -p, то используется указанная этой опцией политика, в противном случае используется активная политика. Бывает три возможные причины: 1) отсутствует или отключено разрешительное TE правило (TE allow rule), 2) нарушение ограничения (a constraint violation) или 3) отсутствует разрешительное правило для роли (role allow rule). В первом случае разрешительное TE правило может присутствовать в политике, но было отключено через булевы переключатели. Смотрите booleans(8). Если же разрешительного правила не было, то оно может быть создано при помощи утилиты audit2allow(1). Во втором случае могло произойти нарушение ограничения. Просмотрите policy/constraints или policy/mls для того, чтобы определить искомое ограничение. Обычно, проблема может быть решена добавлением атрибута типа к домену. В третьем случае была произведена попытка сменить роль, при том что не существует разрешительного правила для участвующей при этом пары ролей. Проблема может быть решена добавлением в политику разрешительного правила для этой пары ролей.

ПРИМЕР

 $ /usr/sbin/audit2why < /var/log/audit/audit.log
 
 type=KERNEL msg=audit(1115316408.926:336418): avc:  denied  { getattr } for  path=/home/sds dev=hda5 ino=1175041 scontext=root:secadm_r:secadm_t:s0-s9:c0.c127 tcontext=user_u:object_r:user_home_dir_t:s0 tclass=dir
         Причиной является:
                 Отсутствует или отключено разрешительное TE правило.
                 Разрешительное TE правило может присутствовать в политике, но было отключено
 через булевы переключатели; проверьте булевы переключатели.
                 Вы можете посмотреть необходимые разрешительные правила, запустив audit2allow и подав это сообщение аудита на ввод.
 
 type=KERNEL msg=audit(1115320071.648:606858): avc:  denied  { append } for  name=.bash_history dev=hda5 ino=1175047 scontext=user_u:user_r:user_t:s1-s9:c0.c127 tcontext=user_u:object_r:user_home_t:s0 tclass=file
         Причиной является:
                 Нарушение ограничения.
                 Проверьте policy/constraints.
                 Обычно, для разрешения ограничения необходимо добавить в домен атрибут типа.

АВТОРЫ

Эту страницу руководства написал Dan Walsh <dwalsh@redhat.com>
Перевод руководства - Andrey Markelov <andrey@markelov.net> , 2007г. Уитлиту audit2why написал Stephen Smalley <sds@tycho.nsa.gov>.