タイプに影響するすべてのselinuxルール/デフォルトファイルコンテキスト/その他を照会するにはどうすればよいですか
実行中のシステムの現在のルールのselinuxタイプに関連するすべてを知る必要があります(-===-):
- allow、allowaudit、dontauditルール。
- タイプを使用したコンテキストでラベル付けされたファイル。
- 遷移。
...その他の情報。
その情報を照会するために使用できるコマンドはありますか、またはすべてのselinux関連の「src」パッケージをダウンロードし、使用されていないモジュールを除外して、その情報のすべてのファイルをgrepする必要がありますか?それを行う簡単な方法があるはずです。
この情報を取得するコマンドの一部は次のとおりです(例ではhttpd_log_t):
seinfo# seinfo -x --type=httpd_log_t /etc/selinux/default/policy/policy.26 httpd_log_t file_type non_security_file_type logfilesesearch# sesearch --dontaudit -t httpd_log_t /etc/selinux/default/policy/policy.26 | head Found 35 semantic av rules: dontaudit run_init_t file_type : dir { getattr search open } ; dontaudit staff_t non_security_file_type : file getattr ; dontaudit staff_t non_security_file_type : dir { ioctl read getattr lock search open } ; dontaudit staff_t non_security_file_type : lnk_file getattr ; dontaudit staff_t non_security_file_type : sock_file getattr ; dontaudit staff_t non_security_file_type : fifo_file getattr ; dontaudit unconfined_t non_security_file_type : file getattr ; dontaudit unconfined_t non_security_file_type : dir { ioctl read getattr lock search open } ; dontaudit unconfined_t non_security_file_type : lnk_file getattr ;semanage# semanage fcontext -l | grep httpd_log_t /etc/httpd/logs all files system_u:object_r:httpd_log_t:s0 /var/log/Apache(2)?(/.*)? all files system_u:object_r:httpd_log_t:s0 /var/log/Apache-ssl(2)?(/.*)? all files system_u:object_r:httpd_log_t:s0 /var/log/cacti(/.*)? all files system_u:object_r:httpd_log_t:s0 /var/log/cgiwrap\.log.* regular file system_u:object_r:httpd_log_t:s0 /var/log/horde2(/.*)? all files system_u:object_r:httpd_log_t:s0 /var/log/httpd(/.*)? all files system_u:object_r:httpd_log_t:s0 /var/log/lighttpd(/.*)? all files system_u:object_r:httpd_log_t:s0 /var/log/piranha(/.*)? all files system_u:object_r:httpd_log_t:s0 /var/www(/.*)?/logs(/.*)? all files system_u:object_r:httpd_log_t:s0
参考資料: RHEL6 SELinuxマニュアル