Селинуксу нужна поддержка одитинга? Можно ли использовать аудит2?
Я видел, что selinux должен включить поддержку аудита. Я хочу знать разницу между аудитом и аудитом2, могу ли я просто использовать аудит2 вместо аудита? Кажется, что нет поддержки аудита в коде Android, только Audit2allow.
Под аудитом я подразумеваю пакет аудита по адресу http://people.redhat.com/sgrubb/audit/.
1 ответ
Решение
audit это демон, который регистрирует отказ в доступе ( AVC) в /var/log/audit/audit.log
audit2allow пользовательский инструмент для переноса AVP-журнала в SELinux-Policy.
Примеры:
- показать причину отказа в доступе:
cat audit.log | audit2why - создать SELinux-Policy foo.pp:
cat audit.log | audit2allow -M foo