"sesearch" は、SELinuxが動いている環境でポリシー設定を調査するときに使うコマンド。CentOS-6.0の場合は "setools-console" というパッケージに入っている。
コマンドの使用例が "man sesearch" しても出てこないので、ちょっと探してみた。
Redhat Enterprise Linux 6 の User Guide から
- ポリシーファイルを指定して、"role allow rule"を検索
# sesearch --role_allow -t httpd_sys_content_t /etc/selinux/targeted/policy/policy.24
- ※"role allow rule"についてはNSAのドキュメント Policy Language and the Example Policy Configuration に書いてある。
- ※"-t httpd_sys_content_t"の部分がちょっと謎。"--role_allow"と一緒に指定する意味がわからない。現実的には、ソースやターゲットのロールを指定することが多いと思われる('--role_source', '--role_target')。
# sesearch --role_allow --role_source unconfined_r Found 1 role allow rules: allow unconfined_r system_r; # sesearch --role_allow --role_target sysadm_r Found 2 role allow rules: allow system_r sysadm_r; allow staff_r sysadm_r;
- "allow"ルールの総数を調べる
# sesearch --allow | wc -l
- "dontaudit" ルールの総数を調べる
# sesearch --dontaudit | wc -l
Gentoo Linux の マニュアル から
- shadow_t タイプのファイルへの書き込みが許可されているドメインを調べる
# sesearch -t shadow_t -c file -p write -A
- file_type 属性への書き込みが許可されているドメインを調べる('-d' で direct search)
# sesearch -t file_type -c file -p write -A -d
- "global_ssp"というSELinux boolean に関連するポリシーを調べる
# sesearch -b global_ssp -A -C -d
日本セキュアOSユーザ会のかたの資料から
- httpd_t の httpd_sys_content_t に対する定義を確認する
# sesearch -A -C -s httpd_t -t httpd_sys_content_t
0 件のコメント:
コメントを投稿