web-dev-qa-db-fra.com

Comment puis-je interroger pour toutes les règles SELINUX / Contexts de fichier par défaut / etc. affectant un type

J'ai besoin de savoir tout ce qui concerne un type SELINUX sur A Règles actuelles du système d'exécution:

  • autoriser, Autoritera, Dontaudit Rules.
  • fichiers étiquetés avec un contexte utilisant le type.
  • transitions.

... et toute autre information.

Y a-t-il des commandes que je peux utiliser pour interroger pour cette information ou dois-je télécharger les packages "SRC" Tous SELINUX, filtrer les modules non utilisés et grep chaque fichier pour cette information? Il doit y avoir un moyen plus facile de le faire.

linuxsecurityselinux
10
Yanko Hernández Álvarez

Certaines des commandes pour obtenir ces informations sont (Exemples utilisez httpd_log_t):

  1. seinfo

    # seinfo -x --type=httpd_log_t /etc/selinux/default/policy/policy.26
   httpd_log_t
      file_type
      non_security_file_type
      logfile

  2. sesearch

    # sesearch --dontaudit -t httpd_log_t /etc/selinux/default/policy/policy.26 | head
Found 35 semantic av rules:
    dontaudit run_init_t file_type : dir { getattr search open } ;
    dontaudit staff_t non_security_file_type : file getattr ;
    dontaudit staff_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit staff_t non_security_file_type : lnk_file getattr ;
    dontaudit staff_t non_security_file_type : sock_file getattr ;
    dontaudit staff_t non_security_file_type : fifo_file getattr ;
    dontaudit unconfined_t non_security_file_type : file getattr ;
    dontaudit unconfined_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit unconfined_t non_security_file_type : lnk_file getattr ;

  3. semanage

    # semanage fcontext -l | grep httpd_log_t
/etc/httpd/logs                                    all files          system_u:object_r:httpd_log_t:s0
/var/log/Apache(2)?(/.*)?                          all files          system_u:object_r:httpd_log_t:s0
/var/log/Apache-ssl(2)?(/.*)?                      all files          system_u:object_r:httpd_log_t:s0
/var/log/cacti(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/cgiwrap\.log.*                            regular file       system_u:object_r:httpd_log_t:s0
/var/log/horde2(/.*)?                              all files          system_u:object_r:httpd_log_t:s0
/var/log/httpd(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/lighttpd(/.*)?                            all files          system_u:object_r:httpd_log_t:s0
/var/log/piranha(/.*)?                             all files          system_u:object_r:httpd_log_t:s0
/var/www(/.*)?/logs(/.*)?                          all files          system_u:object_r:httpd_log_t:s0

Références: Manuel RHEL6 SELINUX

10
dawud