コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ 運用・保守 Linuxの運用と保守 SELinux でポリシー ルールを表示するにはどのような方法がありますか?

SELinux でポリシー ルールを表示するにはどのような方法がありますか?

青灯夜游
青灯夜游
Mar 02, 2023 am 10:19 AM
linux selinux

SELinux でポリシー ルールを表示する方法: 1. seinfo コマンドを使用して、SELinux ポリシーが提供する関連ルールの数をクエリします。サブジェクト プロセスがターゲット ファイル リソースを読み取ることができるかどうかは、SELinux ポリシーとその内容に焦点を当てます。各ルールの構文は「seinfo [オプション]」です。 2. sesearch コマンドを使用して、SELinux ポリシー ルールの特定の内容をクエリします。構文は「sesearch [オプション] [ルール タイプ] [式]」です。

SELinux でポリシー ルールを表示するにはどのような方法がありますか?

#このチュートリアルの動作環境: linux7.3 システム、Dell G3 コンピューター。

SELinux ポリシー ルールを表示するには、seinfo と sesearch の 2 つの方法があります。

SELinux の現在のデフォルト ポリシーが対象となっていますが、このポリシーにはいくつのルールが含まれていますか? seinfo コマンドを使用してクエリを実行します。

seinfo コマンド は、SELinux ポリシーが提供する関連ルールの数を照会するために使用されます。対象プロセスがターゲット ファイル リソースを読み取れるかどうかは、SELinux ポリシーとポリシー内のさまざまな項目に焦点を当てます。ルールを選択し、このルールの定義を使用して、各ターゲット ファイルのセキュリティ コンテキスト、特に「タイプ」部分を処理します。

sesearch コマンドの形式は次のとおりです: 

seinfo [选项]
ログイン後にコピー

共通オプション:

#すべての SELinux ロール タイプをリストします#-u#すべての SELinux ID (ユーザー) をリストします-bすべてのルールの種類のリスト (ブール値)参考例: 
[root@localhost ~]# seinfo -b
#还记得-b选项吗?就是查询布尔值,也就是查询规则名字
Conditional Booleans:187
#当前系统中有187个规则
allow_domain_fd_use
allow_ftpd_full_access
allow_sysadm_exec_content
allow_user_exec_content
allow_zebra_write_config
…省略部分输出…
ログイン後にコピー
-aSELinux のステータスとルールを一覧表示します。ブール値、識別、役割、タイプ、およびその他の情報
-tすべての SELinux タイプのタイプをリストします
-r

seinfo

このコマンドではすべてのルールの名前のみが表示されます。ルールの具体的な内容を知りたい場合は、

sesearch コマンド を使用する必要があります。 sesearch コマンドの形式は次のとおりです: 

sesearch [选项] [规则类型] [表达式]
ログイン後にコピー

オプション:

-h: ヘルプ情報の表示;

  • ルール タイプ:

--allow: 許可されたルールを表示;

  • --neverallow: 決して許可されなかったルールを表示;

  • --all: すべてのルールを表示;

  • 式:

-s 件名タイプ: 表示指定されたサブジェクトのタイプに関連するルール (サブジェクトはアクセスの開始者であり、これはソース、つまりソース タイプを意味します);

  • -t ターゲット タイプ:ターゲットの種類に関連するルールを表示および指定します (ターゲットは訪問者です。これはターゲット、つまりターゲットの種類を意味します);

  • #-b ルール名: 表示ルールの具体的な内容 ( b はブール値を意味し、ここではルール名を指します);

  • 以下にいくつかの例を示します。まず、ルールの名前がわかっている場合に、特定のルールの内容をクエリする方法を示します。コマンドは次のとおりです: 
    • [root@localhost ~]# seinfo -b | grep http
httpd_manage_ipa
…省略部分输出…
#查询和apache相关的规则,有httpd_manage_ipa规则
[root@localhost ~]# sesearch --all -b httpd_manage_ipa
# httpd_manage_ipa规则中具体定义了哪些规则内容呢?使用sesearch命令查询一下
Found 4 semantic av rules:
allow httpd_t var_run_t:dir { getattr search open } ;
allow httpd_t memcached_var_run_t:file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow httpd_t memcached_var_run_t:dir { ioctl read write getattr lock add_name remove_name search open } ;
allow httpd_t var_t:dir { getattr search open } ;
Found 20 role allow rules:
allow system_r sysadm_r;
allow sysadm_r system_r;
…省略部分输出…
    ログイン後にコピー
各ルールは、多数の特定のルール コンテンツを定義します。これらのコンテンツは比較的複雑で、通常は変更する必要はありません。クエリを実行できるだけです。

しかし、場合によっては、ルールの名前ではなく、セキュリティ コンテキストの種類がわかっていることがあります。たとえば、Apache プロセスのドメインは httpd_t で、/var/www/html/ ディレクトリのタイプは httpd_sys_content_t であることがわかります。 Apache が /var/www/html/ ディレクトリにアクセスできるのは、httpd_t ドメインと httpd_sys_content_t タイプが一致するためです。

では、これら 2 つのタイプの一致ルールをクエリするにはどうすればよいでしょうか?コマンドは次のとおりです: 

[root@localhost ~]# ps auxZ | grep httpd
unconfined_u:system_r:httpd_t:s0 root 25620 0.0 0.5 11188 36X6 ? Ss
03:44 0:03 /usr/sbin/httpd
#apache进程的域是httpd_t
[root@localhost ~]# ls -Zd /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
#/var/www/html/ 目录的类型是 httpd_sys_content_t
[root@localhost ~]# sesearch --all -s httpd_t -t httpd_sys_content_t Found 13 semantic av rules:
...省略部分输出...
allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock open };
allow httpd_t httpd_sys_content_t : dir { ioctl read getattr lock search open };
allow httpd_t httpd_sys_content_t : lnk_file { read getattr };
allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock open };
...省略部分输出...
#可以清楚地看到httpd_t域是允许访间和使用httpd_sys_content_t类型的
ログイン後にコピー
関連する推奨事項: "

Linux ビデオ チュートリアル

"

以上がSELinux でポリシー ルールを表示するにはどのような方法がありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

アサシンのクリードシャドウズ:シーシェルリドルソリューション
3週間前 By DDD
Windows11 KB5054979の新しいものと更新の問題を修正する方法
2週間前 By DDD
Atomfallのクレーンコントロールキーカードを見つける場所
3週間前 By DDD
<🎜>:Dead Rails-すべての課題を完了する方法
4週間前 By DDD
Atomfall Guide:アイテムの場所、クエストガイド、およびヒント
4週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7652
15
CakePHP チュートリアル
1393
52
Steamのアカウント名の形式は何ですか
91
11
Win11 Activation Key Permanent
73
19
NYTミニクロスワードの回答
37
110
もっと見る
Related knowledge
VSCODEに必要なコンピューター構成 VSCODEに必要なコンピューター構成 Apr 15, 2025 pm 09:48 PM

VSコードシステムの要件:オペレーティングシステム:オペレーティングシステム:Windows 10以降、MACOS 10.12以上、Linux Distributionプロセッサ:最小1.6 GHz、推奨2.0 GHz以上のメモリ:最小512 MB、推奨4 GB以上のストレージスペース:最低250 MB以上:その他の要件を推奨:安定ネットワーク接続、XORG/WAYLAND(Linux)

VSCODEは拡張子をインストールできません VSCODEは拡張子をインストールできません Apr 15, 2025 pm 07:18 PM

VSコード拡張機能のインストールの理由は、ネットワークの不安定性、許可不足、システム互換性の問題、VSコードバージョンが古すぎる、ウイルス対策ソフトウェアまたはファイアウォール干渉です。ネットワーク接続、許可、ログファイル、およびコードの更新、セキュリティソフトウェアの無効化、およびコードまたはコンピューターの再起動を確認することにより、問題を徐々にトラブルシューティングと解決できます。

vscodeはMacに使用できますか vscodeはMacに使用できますか Apr 15, 2025 pm 07:36 PM

VSコードはMacで利用できます。強力な拡張機能、GIT統合、ターミナル、デバッガーがあり、豊富なセットアップオプションも提供しています。ただし、特に大規模なプロジェクトまたは非常に専門的な開発の場合、コードと機能的な制限がある場合があります。

vscodeとは何ですか?vscodeとは何ですか? vscodeとは何ですか?vscodeとは何ですか? Apr 15, 2025 pm 06:45 PM

VSコードは、Microsoftが開発した無料のオープンソースクロスプラットフォームコードエディターと開発環境であるフルネームVisual Studioコードです。幅広いプログラミング言語をサポートし、構文の強調表示、コード自動完了、コードスニペット、および開発効率を向上させるスマートプロンプトを提供します。リッチな拡張エコシステムを通じて、ユーザーは、デバッガー、コードフォーマットツール、GIT統合など、特定のニーズや言語に拡張機能を追加できます。 VSコードには、コードのバグをすばやく見つけて解決するのに役立つ直感的なデバッガーも含まれています。

vscodeの使用方法 vscodeの使用方法 Apr 15, 2025 pm 11:21 PM

Visual Studio Code(VSCODE)は、Microsoftが開発したクロスプラットフォーム、オープンソース、および無料のコードエディターです。軽量、スケーラビリティ、および幅広いプログラミング言語のサポートで知られています。 VSCODEをインストールするには、公式Webサイトにアクセスして、インストーラーをダウンロードして実行してください。 VSCODEを使用する場合、新しいプロジェクトを作成し、コードを編集し、コードをデバッグし、プロジェクトをナビゲートし、VSCODEを展開し、設定を管理できます。 VSCODEは、Windows、MacOS、Linuxで利用でき、複数のプログラミング言語をサポートし、マーケットプレイスを通じてさまざまな拡張機能を提供します。その利点には、軽量、スケーラビリティ、広範な言語サポート、豊富な機能とバージョンが含まれます

Apr 16, 2025 pm 07:39 PM

NotePadはJavaコードを直接実行することはできませんが、他のツールを使用することで実現できます。コマンドラインコンパイラ(Javac)を使用してByteCodeファイル(filename.class)を生成します。 Javaインタープリター(Java)を使用して、バイトコードを解釈し、コードを実行し、結果を出力します。

Linuxの主な目的は何ですか? Linuxの主な目的は何ですか? Apr 16, 2025 am 12:19 AM

Linuxの主な用途には、1。Serverオペレーティングシステム、2。EmbeddedSystem、3。Desktopオペレーティングシステム、4。開発およびテスト環境。 Linuxはこれらの分野で優れており、安定性、セキュリティ、効率的な開発ツールを提供します。

GITの倉庫アドレスを確認する方法 GITの倉庫アドレスを確認する方法 Apr 17, 2025 pm 01:54 PM

gitリポジトリアドレスを表示するには、次の手順を実行します。1。コマンドラインを開き、リポジトリディレクトリに移動します。 2。「git remote -v」コマンドを実行します。 3.出力と対応するアドレスでリポジトリ名を表示します。

See all articles