日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SELinux策略規(guī)則查看方法(seinfo和sesearch)詳解
我們知道,當(dāng)前 SELinux 的默認(rèn)策略是 targeted,那么這個策略中到底包含有多少個規(guī)則呢?使用 seinfo 命令即可查詢。命令如下:

[root@localhost ~]# seinfo -b
#還記得-b選項嗎?就是查詢布爾值,也就是查詢規(guī)則名字
Conditional Booleans:187
#當(dāng)前系統(tǒng)中有187個規(guī)則
allow_domain_fd_use
allow_ftpd_full_access
allow_sysadm_exec_content
allow_user_exec_content
allow_zebra_write_config
…省略部分輸出…

seinfo 命令只能看到所有規(guī)則的名稱,如果想要知道規(guī)則的具體內(nèi)容,就需要使用
sesearch 命令了。

sesearch 命令格式如下:

[root@localhost ~]# sesearch [選項] [規(guī)則類型] [表達(dá)式]

選項:

  • -h:顯示幫助信息;

規(guī)則類型:

  • --allow:顯示允許的規(guī)則;
  • --neverallow:顯示從不允許的規(guī)則;
  • --all:顯示所有的規(guī)則;

表達(dá)式:

  • -s 主體類型:顯示和指定主體的類型相關(guān)的規(guī)則(主體是訪問的發(fā)起者,這個 s 是 source 的意思,也就是源類型);
  • -t 目標(biāo)類型:顯示和指定目標(biāo)的類型相關(guān)的規(guī)則(目標(biāo)是被訪問者,這個 t 是 target 的意思,也就是目標(biāo)類型);
  • -b 規(guī)則名:顯示規(guī)則的具體內(nèi)容(b 是 bool,也就是布爾值的意思,這里是指規(guī)則名);

下面舉幾個例子。首先我們演示一下,如果我們知道的是規(guī)則的名稱,則應(yīng)該如何查詢具體的規(guī)則內(nèi)容。命令如下:

[root@localhost ~]# seinfo -b | grep http
httpd_manage_ipa
…省略部分輸出…
#查詢和apache相關(guān)的規(guī)則,有httpd_manage_ipa規(guī)則
[root@localhost ~]# sesearch --all -b httpd_manage_ipa
# httpd_manage_ipa規(guī)則中具體定義了哪些規(guī)則內(nèi)容呢?使用sesearch命令查詢一下
Found 4 semantic av rules:
allow httpd_t var_run_t:dir { getattr search open } ;
allow httpd_t memcached_var_run_t:file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow httpd_t memcached_var_run_t:dir { ioctl read write getattr lock add_name remove_name search open } ;
allow httpd_t var_t:dir { getattr search open } ;
Found 20 role allow rules:
allow system_r sysadm_r;
allow sysadm_r system_r;
…省略部分輸出…

每個規(guī)則中都定義了大量的具體規(guī)則內(nèi)容,這些內(nèi)容比較復(fù)雜,一般不需要修改,會查詢即可。

可是我們有時知道的是安全上下文的類型,而不是規(guī)則的名稱。比如,我們已知 apache 進(jìn)程的域是 httpd_t,而 /var/www/html/ 目錄的類型是 httpd_sys_content_t。而 apache 之所以可以訪問 /var/www/html/ 目錄,是因為 httpd_t 域和 httpd_sys_content_t 類型匹配。

那么,該如何查詢這兩個類型匹配的規(guī)則呢?命令如下:

[root@localhost ~]# ps auxZ | grep httpd
unconfined_u:system_r:httpd_t:s0 root 25620 0.0 0.5 11188 36X6 ? Ss
03:44 0:03 /usr/sbin/httpd
#apache進(jìn)程的域是httpd_t
[root@localhost ~]# ls -Zd /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
#/var/www/html/ 目錄的類型是 httpd_sys_content_t
[root@localhost ~]# sesearch --all -s httpd_t -t httpd_sys_content_t Found 13 semantic av rules:
...省略部分輸出...
allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock open };
allow httpd_t httpd_sys_content_t : dir { ioctl read getattr lock search open };
allow httpd_t httpd_sys_content_t : lnk_file { read getattr };
allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock open };
...省略部分輸出...
#可以清楚地看到httpd_t域是允許訪間和使用httpd_sys_content_t類型的


網(wǎng)頁名稱:SELinux策略規(guī)則查看方法(seinfo和sesearch)詳解
標(biāo)題鏈接:http://m.5511xx.com/article/cocepos.html