Selinux
我在哪裡可以獲得 SELinux 訪問控制類型的完整列表?
我找不到任何解釋如何列出 SELinux 中的所有訪問控制類型。例如
httpd_log_thttpd_sys_content_t..我想看到他們所有人
您可以通過執行命令獲取類型列表
seinfo -t。但請注意,並非所有類型都是對像類型,有些被視為域類型。
一個典型的更加外科手術的命令
sesearch可能會為您提供更多關於您想要什麼的解釋。例如,您可以找出所有httpd_t可以使用sesearch.$ sesearch -s httpd_t -c file -A allow daemon cluster_conf_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True allow daemon cluster_conf_t:file { getattr ioctl lock open read }; [ daemons_enable_cluster_mode ]:False ... ... allow nsswitch_domain var_yp_t:file { getattr ioctl lock open read }; [ nis_enabled ]:True allow nsswitch_domain virt_var_lib_t:file { getattr ioctl lock open read };或者也許你只對
httpd_t可以寫的文件感興趣..$ sesearch -s httpd_t -c file -A -p write allow daemon cluster_conf_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True allow daemon cluster_tmp_t:file { append getattr ioctl lock read write }; [ daemons_enable_cluster_mode ]:True allow daemon cluster_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True allow daemon cluster_var_run_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True ... ... allow httpd_t zarafa_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; allow httpd_t zoneminder_rw_content_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ httpd_builtin_scripting ]:True allow httpd_t zoneminder_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write };或者,也許您想知道哪些類型能夠寫入某些文件,例如
httpd_log_t.$ sesearch -t httpd_log_t -c file -p write -A allow abrt_dump_oops_t non_security_file_type:file { append create getattr ioctl link lock map open read rename setattr unlink write }; ... ... allow systemd_tmpfiles_t non_auth_file_type:file { append create getattr ioctl link lock open read relabelfrom relabelto rename setattr unlink write }; allow webadm_t httpd_log_t:file { append create getattr ioctl link lock open read relabelfrom relabelto rename setattr unlink write };此外,如果您想知道有哪些對像類別以及它們可用的權限,可以使用
seinfo -xc.所有這些結合起來讓您可以創建自定義搜尋規則來查看策略並查看允許的內容。