유형에 영향을 미치는 모든 selinux 규칙 / 기본 파일 컨텍스트 등을 쿼리하는 방법

10

실행중인 시스템의 현재 규칙 에서 selinux 유형과 관련된 모든 것을 알아야합니다 .

  • 허용, 허용 감사, dontaudit 규칙.
  • 유형을 사용하여 컨텍스트로 레이블이 지정된 파일.
  • 전환.

... 그리고 다른 정보.

해당 정보를 쿼리하는 데 사용할 수있는 명령이 있습니까, 아니면 모든 selinux 관련 "src"패키지를 다운로드하고, 사용하지 않는 모듈을 걸러 내고 해당 정보의 모든 파일을 grep해야합니까? 더 쉬운 방법이 있어야합니다.

linux  security  selinux 
얀코 헤르난데스 올 바레즈
소스

답변:

10

이 정보를 얻기위한 명령 중 일부는 다음과 같습니다 (예 :) httpd_log_t.

  1. seinfo

    # seinfo -x --type=httpd_log_t /etc/selinux/default/policy/policy.26
   httpd_log_t
      file_type
      non_security_file_type
      logfile

  2. sesearch

    # sesearch --dontaudit -t httpd_log_t /etc/selinux/default/policy/policy.26 | head
Found 35 semantic av rules:
    dontaudit run_init_t file_type : dir { getattr search open } ;
    dontaudit staff_t non_security_file_type : file getattr ;
    dontaudit staff_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit staff_t non_security_file_type : lnk_file getattr ;
    dontaudit staff_t non_security_file_type : sock_file getattr ;
    dontaudit staff_t non_security_file_type : fifo_file getattr ;
    dontaudit unconfined_t non_security_file_type : file getattr ;
    dontaudit unconfined_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit unconfined_t non_security_file_type : lnk_file getattr ;

  3. semanage

    # semanage fcontext -l | grep httpd_log_t
/etc/httpd/logs                                    all files          system_u:object_r:httpd_log_t:s0
/var/log/apache(2)?(/.*)?                          all files          system_u:object_r:httpd_log_t:s0
/var/log/apache-ssl(2)?(/.*)?                      all files          system_u:object_r:httpd_log_t:s0
/var/log/cacti(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/cgiwrap\.log.*                            regular file       system_u:object_r:httpd_log_t:s0
/var/log/horde2(/.*)?                              all files          system_u:object_r:httpd_log_t:s0
/var/log/httpd(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/lighttpd(/.*)?                            all files          system_u:object_r:httpd_log_t:s0
/var/log/piranha(/.*)?                             all files          system_u:object_r:httpd_log_t:s0
/var/www(/.*)?/logs(/.*)?                          all files          system_u:object_r:httpd_log_t:s0

참조 : RHEL6 SELinux 매뉴얼

다우드
소스
지정된 유형을 사용하는 모듈을 알 수있는 방법이 있습니까? 즉,로드 된 selinux 정책 모듈 (semodule -l)에 해당 정보를 연결하는 방법은 무엇입니까?
Yanko Hernández Álvarez
좋습니다. 질문의 범위를 줄여이 답변을 수락 된 것으로 표시하고 첫 번째 측면을 다른 질문으로 분리합니다.
Yanko Hernández Álvarez
@ YankoHernándezÁlvarez는 그것을 믿거 나 말거나, 그것을 알아 내려고 노력했습니다. 다른 질문에 내 결과를 게시했습니다.
dawud
찾는 사람들에게는 다른 질문이 있습니다 .
Michael Mol
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.