CentOS 7
Sponsored Link

SELinux : sesearch を利用する
2016/04/10
 
sesearch コマンドを利用することで、SELinux ポリシー設定の検索をすることができます。
[1] sesearch コマンドの使用例です。
コマンドがない場合は「yum install setools-console」でインストール可です。
# 許可されているルールを全て表示 (大量に出力される)

[root@dlp ~]#
sesearch --allow

Found 95937 semantic av rules:
   allow logrotate_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock...
   allow dmidecode_t virtd_t : fd use ;
   allow ssh_keygen_t anaconda_t : fd use ;
   allow logadm_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock app...
   allow unconfined_dbusd_t unconfined_dbusd_t : x_device { getattr setattr use read write getfocus setfo...
.....
.....


# httpd_t ドメインがアクセス許可されているルールを表示

# -d (--direct) で指定したタイプのみ検索対象("*" 等を対象に含めない)

[root@dlp ~]#
sesearch -s httpd_t --allow -d

Found 915 semantic av rules:
   allow httpd_t system_dbusd_t : unix_stream_socket connectto ;
   allow httpd_t dirsrv_config_t : file { ioctl read write create getattr setattr lock append unlink link rename op...
   allow httpd_t dirsrv_config_t : dir { ioctl read write create getattr setattr lock unlink link rename add_name r...
   allow httpd_t httpd_squirrelmail_t : file { ioctl read write create getattr setattr lock append unlink link rena...
.....
.....


# httpd_sys_script_exec_t タイプにアクセス許可されているルールを表示

[root@dlp ~]#
sesearch -t httpd_sys_script_exec_t --allow -d

Found 10 semantic av rules:
   allow httpd_sys_script_t httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans entryp...
   allow httpd_sys_script_t httpd_sys_script_exec_t : dir { ioctl read getattr lock search open } ;
   allow httpd_sys_script_exec_t httpd_sys_script_exec_t : filesystem associate ;
   allow openshift_domain httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans open } ;
   allow openshift_domain httpd_sys_script_exec_t : dir { getattr search open } ;
.....
.....


# shadow_t タイプのファイルに書き込みアクセス許可されているルールを表示

[root@dlp ~]#
sesearch -t shadow_t -c file -p write --allow

Found 10 semantic av rules:
   allow updpwd_t shadow_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
   allow yppasswdd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append unl...
   allow pegasus_openlmi_account_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabe...
   allow files_unconfined_type file_type : file { ioctl read write create getattr setattr lock relabelfrom relabelto...
   allow sysadm_passwd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append...
.....
.....

# ブール値 samba_enable_home_dirs で定義されているルールを表示

[root@dlp ~]#
sesearch -b samba_enable_home_dirs --allow -d

Found 8 semantic av rules:
   allow smbd_t home_root_t : dir { ioctl read getattr lock search open } ;
   allow smbd_t home_root_t : lnk_file { read getattr } ;
   allow smbd_t user_home_type : file { ioctl read write create getattr setattr lock append unlink link rename open  ...
   allow smbd_t user_home_type : dir { ioctl read write create getattr setattr lock unlink link rename add_name remov...
   allow smbd_t user_home_type : lnk_file { ioctl read write create getattr setattr lock append unlink link rename } ;
.....
.....
 
Tweet