Làm cách nào tôi có thể truy vấn tất cả các quy tắc selinux / bối cảnh tệp mặc định / etc ảnh hưởng đến một loại

Tôi cần biết mọi thứ liên quan đến loại selinux trên các quy tắc hiện tại của hệ thống đang chạy :

cho phép, allowaudit, dontaudit quy tắc.
các tệp được gắn nhãn với một bối cảnh bằng cách sử dụng loại.
chuyển tiếp.

... Và bất kỳ thông tin nào khác.

Có bất kỳ lệnh nào tôi có thể sử dụng để truy vấn thông tin đó hay tôi nên tải xuống tất cả các gói "src" liên quan đến selinux, lọc ra các mô-đun không sử dụng và grep mỗi tệp cho thông tin đó? Phải có một cách dễ dàng hơn để làm điều đó.

linux security selinux

— Yanko Hernández Álvarez
nguồn

Một số lệnh để có được thông tin này là (ví dụ sử dụng httpd_log_t):

seinfo

# seinfo -x --type=httpd_log_t /etc/selinux/default/policy/policy.26
   httpd_log_t
      file_type
      non_security_file_type
      logfile

sesearch

# sesearch --dontaudit -t httpd_log_t /etc/selinux/default/policy/policy.26 | head
Found 35 semantic av rules:
    dontaudit run_init_t file_type : dir { getattr search open } ;
    dontaudit staff_t non_security_file_type : file getattr ;
    dontaudit staff_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit staff_t non_security_file_type : lnk_file getattr ;
    dontaudit staff_t non_security_file_type : sock_file getattr ;
    dontaudit staff_t non_security_file_type : fifo_file getattr ;
    dontaudit unconfined_t non_security_file_type : file getattr ;
    dontaudit unconfined_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit unconfined_t non_security_file_type : lnk_file getattr ;

semanage

# semanage fcontext -l | grep httpd_log_t
/etc/httpd/logs                                    all files          system_u:object_r:httpd_log_t:s0
/var/log/apache(2)?(/.*)?                          all files          system_u:object_r:httpd_log_t:s0
/var/log/apache-ssl(2)?(/.*)?                      all files          system_u:object_r:httpd_log_t:s0
/var/log/cacti(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/cgiwrap\.log.*                            regular file       system_u:object_r:httpd_log_t:s0
/var/log/horde2(/.*)?                              all files          system_u:object_r:httpd_log_t:s0
/var/log/httpd(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/lighttpd(/.*)?                            all files          system_u:object_r:httpd_log_t:s0
/var/log/piranha(/.*)?                             all files          system_u:object_r:httpd_log_t:s0
/var/www(/.*)?/logs(/.*)?                          all files          system_u:object_r:httpd_log_t:s0

Tài liệu tham khảo: Hướng dẫn sử dụng RHEL6 SELinux

— dawud
nguồn

Có cách nào để biết mô-đun nào sử dụng một loại chỉ định không? tức là làm thế nào để kết nối thông tin đó với mô đun chính sách selinux đã tải (semodule -l)?

— Yanko Hernández Álvarez

OK, tôi sẽ giảm phạm vi câu hỏi để đánh dấu câu trả lời này là được chấp nhận và tách biệt khía cạnh đầu tiên cho câu hỏi khác.

— Yanko Hernández Álvarez

@ YankoHernándezÁlvarez tin hay không, tôi đã cố gắng để tìm ra điều đó. Tôi đã đăng những phát hiện của tôi trong câu hỏi khác của bạn.

— dawud

Đối với những người tìm kiếm, câu hỏi khác là ở đây .

— Michael Mol