日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SELinuxauditd日志使用方法詳解
auditd 會把 SElinux 的信息都記錄在 /var/log/auditd/auditd.log 中。這個文件中記錄的信息會非常多,如果手工查看,則效率將非常低下。比如筆者的 Linux 中這個日志的大小就有 386KB。

成都創(chuàng)新互聯(lián)公司專注于霍州網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供霍州營銷型網(wǎng)站建設(shè),霍州網(wǎng)站制作、霍州網(wǎng)頁設(shè)計、霍州網(wǎng)站官網(wǎng)定制、小程序定制開發(fā)服務(wù),打造霍州網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供霍州網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

[root@localhost ~]# ll -h /var/log/audit/audit.log
-rw-------.1 root root 386K 6月 5 15:53 /var/log/audit/audit.log

而且我們這里的 Linux 只是實驗用的虛擬機,如果是真正的生產(chǎn)服務(wù)器,那么這個日志的大小將更加恐怖(注意:audit.log 并沒有自動加入 logrotate 日志輪替當中,需要手工讓這個日志進行輪替)。所以,如果我們手工查看這個日志,那么效率會非常低下。

還好,Linux 較為人性化,給我們準備了幾個工具,來幫助我們分析這個日志,下面分別來學習一下。

audit2why命令

audit2why 命令
用來分析 audit.log 日志文件,并分析 SELinux 為什么會拒絕進程的訪問。也就是說,這個命令顯示的都是 SELinux 的拒絕訪問信息,而正確的信息會被忽略。命令的格式也非常簡單,如下:

[root@localhost ~]# audit2why < 日志文件名

例如:

[root@localhost ~]# audit2why < /var/log/audit/audit.log
type=AVC msg=audit(1370412789.400:858): avc: denied { getattr ) for pid=25624 comm="httpd"  path="/var/www/htirl/index.html"    dev=sda3    ino=918426
scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file
#這條信息的意思是拒絕7 PID 是 25624的進程訪間"/var/uww/html/Index.html",原因是主體的安全上下文和目標的安全上下文不匹配。其中,denied代表拒絕,path指定目標的文件名,scontext代表全體的安全上下文。tcontext代表目標的安全上下文,仔細看看,其實就是主體的安全上下文類型httpd_t和目標的安全上下文類型var_t不匹配導致的
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
#給你的處理建議是使用audi t2allow命令來再次分析這個曰志文件

audit2allow命令

audit2allow 命令
的作用是分析日志,并提供允許的建議規(guī)則或拒絕的建議規(guī)則。這么說很難理解,我們還是嘗試一下吧,命令如下:

[root@localhost ~]# audit2allow -a /var/log/audit/audit.log
#選項-a:指定日志文件名
#============= httpd_t ==============
allow httpd_t var_t:file getattr;
#提示非常簡單,我們只需定義一個規(guī)則,允許httpd_t類型對var_t類型擁有g(shù)etattr權(quán)限,即可解決這個問題

可是我們到現(xiàn)在還沒有學習如果修改策略規(guī)則,這該如何是好?其實像這種因為主體和目標安全上下文類型不匹配的問題,全部可以使用 restorecon 命令恢復(fù)目標(文件)的安全上下文為默認安全上下文,即可解決問題,簡單方便,完全不用自己定義規(guī)則。但是 audit2allow 命令對其他類型的 SELinux 錯誤還是很有幫助的。

sealert命令

sealert 命令
是 setroubleshoot 客戶端工具,也就是 SELinux 信息診斷客戶端工具。雖然 setroubleshoot 服務(wù)已經(jīng)不存在了,但是 sealert 命令還是可以使用的。命令格式如下:

[root@localhost ~]# sealert [選項] 日志文件名

選項:

  • -a:分析指定的日志文件;

也使用這個工具分析一下我們的 audit.log 日志,命令如下:

[root@localhost ~]# sealert -a /var/log/audit/audit.log
100% done'tuple' object has no attribute 'split'
100% donefound 2 alerts in /var/log/audit/audit.log
———————————————————————————————————————————————————
SELinux is preventing /usr/sbin/httpd from getattr access on the 文 件 /var/www/html/index.html.
***插件 restorecon (94.8 置信度) 建議 *********************************
If 您想要修復(fù)標簽。
/var/www/html/index.html 默認標簽應(yīng)為 httpd_sys_content_t。
Then 您可以運行 restorecon。
Do
# /sbin/restorecon -v /var/www/html/index.html
#提示非常明確,只要運行以上命令,即可修復(fù)index.html文件的問題

有了這些日志分析工具,我們就能夠處理常見的 SELinux 錯誤了。這些工具非常好用,要熟練掌握。


分享題目:SELinuxauditd日志使用方法詳解
網(wǎng)址分享:http://www.5511xx.com/article/cojdeed.html