云技术这篇文章主要介绍“SELinux如何查看策略规则”的相关知识,小编通过实际案例向大家展示操作过程,操作方法简单快捷,实用性强,希望这篇“SELinux如何查看策略规则”文章能帮助大家解决问题。 SELinux查看策略规则的方法:1、使用seinfo命令,查询SELinux的策略提供多少相关规则,一个主体进程能否读取到目标文件资源的重点是在于SELinux的策略以及策略内的各项规则,语法“seinfo [选项]”;2、使用sesearch命令,可查询SELinux策略规则的具体内容,语法“sesearch [选项] [规则类型] [表达式]”。SELinux策略规则查看方法有两个:seinfo和sesearch。当前 SELinux 的默认策略是 targeted,那么这个策略中到底包含有多少个规则呢?使用 seinfo 命令即可查询。seinfo命令是用来查询SELinux的策略提供多少相关规则,一个主体进程能否读取到目标文件资源的重点是在于SELinux的策略以及策略内的各项规则,然后再通过该规则的定义去处理各项目标文件的安全上下文,尤其是“类型”部分。sesearch 命令格式如下:
seinfo[选项]
常用选项:参考实例:
[root@localhost~]#seinfo-b #还记得-b选项吗?就是查询布尔值,也就是查询规则名字 ConditionalBooleans:187 #当前系统中有187个规则 allow_domain_fd_use allow_ftpd_full_access allow_sysadm_exec_content allow_user_exec_content allow_zebra_write_config …省略部分输出…
seinfo 命令只能看到所有规则的名称,如果想要知道规则的具体内容,就需要使用 sesearch 命令了。sesearch 命令格式如下:
sesearch[选项][规则类型][表达式]
选项:-h:显示帮助信息;规则类型:–allow:显示允许的规则;–neverallow:显示从不允许的规则;–all:显示所有的规则;表达式:-s 主体类型:显示和指定主体的类型相关的规则(主体是访问的发起者,这个 s 是 source 的意思,也就是源类型);-t 目标类型:显示和指定目标的类型相关的规则(目标是被访问者,这个 t 是 target 的意思,也就是目标类型);-b 规则名:显示规则的具体内容(b 是 bool,也就是布尔值的意思,这里是指规则名);下面举几个例子。首先我们演示一下,如果我们知道的是规则的名称,则应该如何查询具体的规则内容。命令如下:
[root@localhost~]#seinfo-b|gre免费云主机、域名phttp httpd_manage_ipa …省略部分输出… #查询和apache相关的规则,有httpd_manage_ipa规则 [root@localhost~]#sesearch--all-bhttpd_manage_ipa #httpd_manage_ipa规则中具体定义了哪些规则内容呢?使用sesearch命令查询一下 Found4semanticavrules: allowhttpd_tvar_run_t:dir{getattrsearchopen}; allowhttpd_tmemcached_var_run_t:file{ioctlreadwritecreategetattrsetattrlockappendunlinklinkrenameopen}; allowhttpd_tmemcached_var_run_t:dir{ioctlreadwritegetattrlockadd_nameremove_namesearchopen}; allowhttpd_tvar_t:dir{getattrsearchopen}; Found20roleallowrules: allowsystem_rsysadm_r; allowsysadm_rsystem_r; …省略部分输出…
每个规则中都定义了大量的具体规则内容,这些内容比较复杂,一般不需要修改,会查询即可。可是我们有时知道的是安全上下文的类型,而不是规则的名称。比如,我们已知 apache 进程的域是 httpd_t,而 /var/www/html/ 目录的类型是 httpd_sys_content_t。而 apache 之所以可以访问 /var/www/html/ 目录,是因为 httpd_t 域和 httpd_sys_content_t 类型匹配。那么,该如何查询这两个类型匹配的规则呢?命令如下:
[root@localhost~]#psauxZ|grephttpd
unconfined_u:system_r:httpd_t:s0root256200.00.51118836X6?Ss
03:440:03/usr/sbin/httpd
#apache进程的域是httpd_t
[root@localhost~]#ls-Zd/var/www/html/
drwxr-xr-x.rootrootsystem_u:object_r:httpd_sys_content_t:s0/var/www/html/
#/var/www/html/目录的类型是httpd_sys_content_t
[root@localhost~]#sesearch--all-shttpd_t-thttpd_sys_content_tFound13semanticavrules:
...省略部分输出...
allowhttpd_thttpd_sys_content_t:file{ioctlreadgetattrlockopen};
allowhttpd_thttpd_sys_content_t:dir{ioctlreadgetattrlocksearchopen};
allowhttpd_thttpd_sys_content_t:lnk_file{readgetattr};
allowhttpd_thttpd_sys_content_t:file{ioctlreadgetattrlockopen};
...省略部分输出...
#可以清楚地看到httpd_t域是允许访间和使用httpd_sys_content_t类型的
关于“SELinux如何查看策略规则”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识,可以关注云技术行业资讯频道,小编每天都会为大家更新不同的知识点。
这篇文章主要介绍“win10怎么打开系统还原功能”,在日常操作中,相信很多人在win10怎么打开系统还原功能问题上存在疑惑,小编查阅了各式资料,整理出简单好用的免费云主机、域名操作方法,希望对大家解答”win10怎么打开系统还原功能”的疑惑有所帮助!接下来,请…
主机管理平台有哪些?
企业网站主机,选云服务器还是虚拟主机?
域名注册申请,必须要实名吗?