Die Dienstprogramme seinfo und sesearch können Benutzer bei der Durchführung von Einzelschrittanalysen unterstützen:Sie liefern entweder sofortige Informationen über ein SELinux-Objekt (worum es hauptsächlich bei seinfo geht) oder sie sind in der Lage, direkte SELinux-Regeln abzufragen (was der Umfang von sesearch ist). Diese Dienstprogramme werden über das settools-Paket bereitgestellt.
Während die Anwendung seinfo Informationen über SELinux-Objekte anzeigt, wird die Anwendung sesearch verwendet, um SELinux-Regeln und Verhaltensinformationen zwischen einer Quell- und einer Zielressource abzufragen.
Um beispielsweise jede verfügbare httpd-Richtlinienregel auszudrucken, können Sie den folgenden Befehl verwenden:
# sesearch --allow | grep httpd_t
Wenn Sie auf den folgenden Fehler stoßen:
sesearch: command not found
Sie können versuchen, das folgende Paket gemäß Ihrer Distributionswahl zu installieren.
| Verteilung | Befehl |
|---|---|
| Debian | apt-get install setools |
| Ubuntu | apt-get install setools |
| Kali-Linux | apt-get install setools |
| CentOS | yum installiere die setools-console |
| Fedora | dnf installiere die setools-console |
| Raspbian | apt-get install setools |
Zusammenfassung
Wir haben die sesearch-Anwendung verwendet, um standardmäßige Allow-Regeln (Type Enforcement-bezogene Zugriffskontrollen) sowie die Auswirkungen von SELinux-booleschen Werten auf diese Allow-Regeln abzufragen. Die sesearch-Anwendung ermöglicht es uns, Regeln nicht nur basierend auf dem Regeltyp abzufragen, sondern auch die Regeln herauszufiltern, die mit einem bestimmten Quellausdruck mit –source (-s) und/oder mit einem Zielausdruck mit –target (-t) übereinstimmen.
Die Suchanwendung kann mit indirekten Quell- oder Zielinformationen umgehen. Wenn Sie beispielsweise Informationen zum java_domain-Attribut abfragen, werden auch Regeln aller Typen angezeigt, die dieses Attribut haben. In den vorherigen setools-Versionen kann dieses Verhalten mit der Option -d deaktiviert werden. In den neueren setools-Versionen kann dies wahlweise auf Quelle (mit -ds) oder Ziel (mit -dt) verwendet werden.