seinfo および sesearch ユーティリティーは、ユーザーが単一ステップの分析を実行するのを支援できます。これらは、SELinux オブジェクトに関する即時の情報 (主に seinfo に関するもの) を提供するか、直接の SELinux ルール (sesearch の範囲) を照会することができます。これらのユーティリティは、setools パッケージを通じて提供されます。
seinfo アプリケーションが SELinux オブジェクトに関する情報を表示する場合、sesearch アプリケーションは、ソース リソースとターゲット リソース間の SELinux ルールと動作情報を照会するために使用されます。
たとえば、利用可能なすべての httpd ポリシー ルールを出力するには、次のコマンドを使用できます:
# sesearch --allow | grep httpd_t
以下のエラーが発生した場合:
sesearch: command not found
選択したディストリビューションに従って、以下のパッケージをインストールしてみてください。
| 分布 | コマンド |
|---|---|
| Debian | apt-get インストール settools |
| Ubuntu | apt-get インストール settools |
| カリ Linux | apt-get インストール settools |
| CentOS | yum install setools-console |
| Fedora | dnf install setools-console |
| Raspbian | apt-get インストール settools |
まとめ
私たちは、sesearch アプリケーションを使用して、標準の許可ルール (タイプの強制に関連するアクセス制御) と、これらの許可ルールに対する SELinux ブール値の影響を照会してきました。 sesearch アプリケーションを使用すると、ルール タイプに基づいてルールを照会できるだけでなく、-source (-s) を使用して特定のソース式に一致するルールや、-target (-t) を使用してターゲット式に一致するルールを除外することもできます。
sesearch アプリケーションは、間接的なソースまたはターゲット情報を処理できます。たとえば、java_domain 属性に関連する情報を照会すると、この属性を持つすべてのタイプのルールも表示されます。以前のバージョンの setools では、この動作は -d オプションで無効にすることができました。最近の setools バージョンでは、これはソース (-ds を使用) またはターゲット (-dt を使用) のいずれかで選択的に使用できます。