audit2allow라는 프로그램

by 햇빛소년 posted Jun 08, 2012 Views 30596 Likes 0 Replies 0
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 댓글로 가기 인쇄

국산 통나무 수공예 남원제기, 남원목기

자료가 도움이 되셨다면
혼수용품제수용품 필요시
남원제기 공식 홈페이지 http://남원제기.kr
남원목기 공식 홈페이지 http://otchil.kr
에서 구매 해 주세요
정성껏 모시겠습니다.
 

audit2allow라는 프로그램은 이 에러를 가지고 해당하는 프로세서에 권한을 주는 정책 파일을 자동으로 생성시켜준다. 예를 들면 이런 식으로 사용한다.

   1  grep httpd audit.log | audit2allow -M httpd

이 명령은 audit.log에서 httpd가 나온 로그를 전부 audit2allow로 넘겨서 권한 정책 파일을 출력하도록 한다. 이렇게 하면 .pp 파일과 .te 파일이 만들어진다. pp파일은 새로운 권한 정책을 적용하는 하는 데 사용하고, .te 파일은 새로 어떤 권한 정책이 추가되는지를 담고 있다. audit2allow가 제대로 실행됐으면 그 다음에 .pp 파일을 어떻게 적용하는지 보여주는데 다음과 같다.

   1  semodule -i httpd.pp

조금 시간이 걸리는데, 이렇게 하면 새로운 권한 정책이 적용된다. 조금 팁을 더해보자면 audit2allow로 생성되는 권한 정책은 에러메시지가 난 부분에 대해서만 정책을 생성한다. 예를 들어 파일을 생성하다 에러가 났으면 파일 생성 권한만 추가하고 삭제나 변경 읽기 등은 여전히 불가능할 수 있다. 이런 명령들을 하나하나 에러를 내고 .pp 파일을 만들면 권한 설정이 가능하다. 마찬가지로 일일이 권한이 필요한 에러만 찾아서 audit2allow에 보낼 수도 있다. 꽤나 무식한 방법이긴 한데, selinux의 권한 편집이란 게 텍스트 파일 편집하는 식이 아니라서 이런 방법이 제일 쉬울지도 모른다

 

그리고 정책 파일들은 가능하면 보존해두는 게 좋다.

 

semodule -r httpd.pp

같은 방식으로 수정한 정책을 다시 되돌릴 수도 있기 때문이다.

 

아마 이게 가장 기본적으로 알아둬야할 selinux 정책 설정 방법. 그 외에도 getsebool이라던가 setsebool라는 명령어도 있는데, 몇몇 부분에 대해 옵션 형식으로 권한 설정할 수 있는 프로그램.

   

Articles

1 2 3 4 5 6 7 8 9 10