SELinux : sesearch を利用する2016/04/10 |
|
sesearch コマンドを利用することで、SELinux ポリシー設定の検索をすることができます。
|
|
| [1] | sesearch コマンドの使用例です。 コマンドがない場合は「yum install setools-console」でインストール可です。 |
|
# 許可されているルールを全て表示 (大量に出力される) [root@dlp ~]# sesearch --allow
Found 95937 semantic av rules:
allow logrotate_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock...
allow dmidecode_t virtd_t : fd use ;
allow ssh_keygen_t anaconda_t : fd use ;
allow logadm_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock app...
allow unconfined_dbusd_t unconfined_dbusd_t : x_device { getattr setattr use read write getfocus setfo...
.....
.....
# httpd_t ドメインがアクセス許可されているルールを表示 # -d (--direct) で指定したタイプのみ検索対象("*" 等を対象に含めない) [root@dlp ~]# sesearch -s httpd_t --allow -d
Found 915 semantic av rules:
allow httpd_t system_dbusd_t : unix_stream_socket connectto ;
allow httpd_t dirsrv_config_t : file { ioctl read write create getattr setattr lock append unlink link rename op...
allow httpd_t dirsrv_config_t : dir { ioctl read write create getattr setattr lock unlink link rename add_name r...
allow httpd_t httpd_squirrelmail_t : file { ioctl read write create getattr setattr lock append unlink link rena...
.....
.....
# httpd_sys_script_exec_t タイプにアクセス許可されているルールを表示 [root@dlp ~]# sesearch -t httpd_sys_script_exec_t --allow -d
Found 10 semantic av rules:
allow httpd_sys_script_t httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans entryp...
allow httpd_sys_script_t httpd_sys_script_exec_t : dir { ioctl read getattr lock search open } ;
allow httpd_sys_script_exec_t httpd_sys_script_exec_t : filesystem associate ;
allow openshift_domain httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans open } ;
allow openshift_domain httpd_sys_script_exec_t : dir { getattr search open } ;
.....
.....
# shadow_t タイプのファイルに書き込みアクセス許可されているルールを表示 [root@dlp ~]# sesearch -t shadow_t -c file -p write --allow
Found 10 semantic av rules:
allow updpwd_t shadow_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow yppasswdd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append unl...
allow pegasus_openlmi_account_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabe...
allow files_unconfined_type file_type : file { ioctl read write create getattr setattr lock relabelfrom relabelto...
allow sysadm_passwd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append...
.....
.....
# ブール値 samba_enable_home_dirs で定義されているルールを表示 [root@dlp ~]# sesearch -b samba_enable_home_dirs --allow -d
Found 8 semantic av rules:
allow smbd_t home_root_t : dir { ioctl read getattr lock search open } ;
allow smbd_t home_root_t : lnk_file { read getattr } ;
allow smbd_t user_home_type : file { ioctl read write create getattr setattr lock append unlink link rename open ...
allow smbd_t user_home_type : dir { ioctl read write create getattr setattr lock unlink link rename add_name remov...
allow smbd_t user_home_type : lnk_file { ioctl read write create getattr setattr lock append unlink link rename } ;
.....
.....
|
| Sponsored Link |
|
|