1. 描述

sesearch用于搜索SELinux安全策略规则集,命令来自包:yum install setools-console。

2. 命令

命令使用方法:

sesearch [OPTIONS] RULE_TYPE [RULE_TYPE ...] [EXPRESSION] [POLICY ...]

OPTIONS:

    -d, --direct        不搜索 type 的属性

    -R, --regex         使用正则表达式进行匹配

    -n, --linenum       显示每条可用规则的行号

    -S, --semantic      搜索语义(semantically)规则替代语法(syntactically)规则

    -C, --show_cond     显示条件规则的条件表达式

    -h, --help          帮助信息

    -V, --version       版本号

RULE_TYPES:

    -A, --allow         允许(allow)的规则

    --neverallow        从不允许(neverallow)的规则

    --auditallow        审计(auditallow)的规则

    -D, --dontaudit     不审计的规则

    -T, --type          type_trans, type_member, 和 type_change (我也不懂这个干啥,待补充!)

    --role_allow        角色允许的规则

    --role_tans         role_transition 规则

    --range_trans       range_transition 规则

    --all               所有规则,不论是:type, class, 或 perms(seinfo可获取class, type值)

EXPRESSIONS:

    -s NAME, --source=NAME        具有类型、属性值为 NAME 的规则作为源头(进程主体的概念)

    -t NAME, --target=NAME        具有类型、属性值为 NAME 的规则作为目标(文件,端口等类型的概念)

    --role_source=NAME            具有角色值为 NAME 的规则作为源头

    --role_target=NAME            具有角色值为 NAME 的规则作为目标

    -c NAME, --class=NAME         具有 class 值为 NAME 的规则作为对象类(the object class)

    -p P1[,P2,...], --perm=P1[,P2,...]

                                  具有特定权限的规则

    -b NAME, --bool=NAME          具有 NAME 值在表达式中的条件规则

3. 示例

#. 显示所有 allow 的规则

[root@tim ~]# sesearch --allow

Found  semantic av rules:

   allow logrotate_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock...

   allow dmidecode_t virtd_t : fd use ;

   allow ssh_keygen_t anaconda_t : fd use ;

   allow logadm_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock app...

   allow unconfined_dbusd_t unconfined_dbusd_t : x_device { getattr setattr use read write getfocus setfo...

.....

#. 显示 httpd_t (-s xx)域允许(--allow)访问的规则(-d 含义是只显示直接管理搜索结果)

[root@tim ~]# sesearch -s httpd_t --allow -d

Found  semantic av rules:

   allow httpd_t system_dbusd_t : unix_stream_socket connectto ;

   allow httpd_t dirsrv_config_t : file { ioctl read write create getattr setattr lock append unlink link rename op...

   allow httpd_t dirsrv_config_t : dir { ioctl read write create getattr setattr lock unlink link rename add_name r...

   allow httpd_t httpd_squirrelmail_t : file { ioctl read write create getattr setattr lock append unlink link rena...

.....

#. 显示允许(--allow)访问 httpd_sys_script_exec_t (-t xx)类型的规则

[root@tim ~]# sesearch -t httpd_sys_script_exec_t --allow -d

Found  semantic av rules:

   allow httpd_sys_script_t httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans entryp...

   allow httpd_sys_script_t httpd_sys_script_exec_t : dir { ioctl read getattr lock search open } ;

   allow httpd_sys_script_exec_t httpd_sys_script_exec_t : filesystem associate ;

   allow openshift_domain httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans open } ;

   allow openshift_domain httpd_sys_script_exec_t : dir { getattr search open } ;

.....

#. 显示能够写(-p write)shadow_t 类型文件(-c file)的规则

[root@tim ~]# sesearch -t shadow_t -c file -p write --allow

Found  semantic av rules:

   allow updpwd_t shadow_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;

   allow yppasswdd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append unl...

   allow pegasus_openlmi_account_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabe...

   allow files_unconfined_type file_type : file { ioctl read write create getattr setattr lock relabelfrom relabelto...

   allow sysadm_passwd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append...

.....

#. 显示含二元值 samba_enable_home_dirs (-b xx)开关的条件规则

[root@tim ~]# sesearch -b samba_enable_home_dirs --allow -d

Found  semantic av rules:

   allow smbd_t home_root_t : dir { ioctl read getattr lock search open } ;

   allow smbd_t home_root_t : lnk_file { read getattr } ;

   allow smbd_t user_home_type : file { ioctl read write create getattr setattr lock append unlink link rename open  ...

   allow smbd_t user_home_type : dir { ioctl read write create getattr setattr lock unlink link rename add_name remov...

   allow smbd_t user_home_type : lnk_file { ioctl read write create getattr setattr lock append unlink link rename } ;

.....

引用:https://www.server-world.info/en/note?os=CentOS_7&p=selinux&f=11

[TimLinux] selinux sesearch命令详解的更多相关文章

  1. 【初级】linux mkdir 命令详解及使用方法实战

    mkdir命令详解及使用方法实战 名称 MKDIR 是 make directories 的缩写 使用方法 mkdir [选项(如-p)] ...目录名称(及子目录注意用分隔符隔开)...    如使 ...

  2. Linux命令详解之–ls命令

    今天开始为大家介绍下Linux中常用的命令,首先给大家介绍下Linux中使用频率最高的命令--ls命令. 更多Linux命令详情请看:Linux命令速查手册 linux ls命令用于显示指定工作目录下 ...

  3. Linux服务器,服务管理--systemctl命令详解,设置开机自启动

    Linux服务器,服务管理--systemctl命令详解,设置开机自启动 syetemclt就是service和chkconfig这两个命令的整合,在CentOS 7就开始被使用了. 摘要: syst ...

  4. linux shell 脚本攻略学习11--mkdir和touch命令详解

    一.创建目录(mkdir命令详解) amosli@amosli-pc:~/learn$ mkdir dir amosli@amosli-pc:~/learn/dir$ mkdir folder amo ...

  5. 【Linux 运维】查看网络连接状态信息之netstat和ss命令详解

    一.netstat 常用命令详解 通过man netstat可以查看netstat的帮助信息: netstat 命令:用于显示各种网络相关信息,如网络连接,路由表,接口状态,无效连接,组播成员 等等. ...

  6. (转)netstat 命令详解

    netstat 命令详解  原文:https://www.cnblogs.com/xieshengsen/p/6618993.html netstat命令是一个监控TCP/IP网络的非常有用的工具,它 ...

  7. linux命令详解-useradd,groupadd

    linux命令详解-useradd,groupadd 我们在linux命令行中输入useradd: Options:  -b, --base-dir BASE_DIR       base direc ...

  8. linux命令详解之du命令

    du命令概述du命令作用是估计文件系统的磁盘已使用量,常用于查看文件或目录所占磁盘容量.du命令与df命令不同,df命令是统计磁盘使用情况,详见linux命令详解之df命令.du命令会直接到文件系统内 ...

  9. ls(list)命令详解及生产使用示例

    文件有文件名与数据,在linux上被分为两个部分:用户数据(user data)与元数据(metadata) 用户数据,即文件数据块(data block),数据块是记录文件真实内容的地方,我们将其称 ...

随机推荐

  1. Java设计模式之单利模式(Singleton)

    单利模式的应用场景: 单利模式(Singleton Pattern)是指确保一个类在任何情况下都绝对只有一个实例.并提供一个全局反访问点.单利模式是创建型模式.单利模式在生活中应用也很广泛,比如公司C ...

  2. pat 1054 The Dominant Color(20 分)

    1054 The Dominant Color(20 分) Behind the scenes in the computer's memory, color is always talked abo ...

  3. nyoj 68-三点顺序(叉积)

    68-三点顺序 内存限制:64MB 时间限制:1000ms 特判: No 通过数:3 提交数:5 难度:3 题目描述: 现在给你不共线的三个点A,B,C的坐标,它们一定能组成一个三角形,现在让你判断A ...

  4. codeblocks 调试

    codeblocks 调试工具使用的注意事项: 1.codebloccks 调试,必须要在一个项目下才可以,也就是说“单独的文件是不能运行debug工具的” 2.项目的目录文件名必须是全英文,同时文件 ...

  5. requests模块使用代理

    1.创建try_proxies.py文件import requestsproxies = {"http":"http:117.135.34.6:8060"}he ...

  6. 万恶之源-python基本数据类型

    万恶之源-基本数据类型(dict) 本节主要内容: 字典的简单介绍 字典增删改查和其他操作 3. 字典的嵌套 ⼀一. 字典的简单介绍 字典(dict)是python中唯⼀一的⼀一个映射类型.他是以{ ...

  7. elementui分页记录,reserve-selection

    第一步:在<el-table></el-table>标签中加上 :row-key="getRowKeys" 第二步:在<el-table-column ...

  8. 剖析nsq消息队列(四) 消息的负载处理

    剖析nsq消息队列-目录 实际应用中,一部分服务集群可能会同时订阅同一个topic,并且处于同一个channel下.当nsqd有消息需要发送给订阅客户端去处理时,发给哪个客户端是需要考虑的,也就是我要 ...

  9. 【Luogu P1048 Luogu P1016】采药/疯狂的采药

    采药/疯狂的采药 两道模板题,分别是0-1背包和完全背包. 0-1背包 二维:dp[i][j]=max(dp[i-1][j-time[i]]+v[i],dp[i-1][j]); 由于i的状态由i-1的 ...

  10. day 13 生成器函数 表达式 推导式

    今日主要内容 1. 生成器和生成器函数 生成器的本质就是迭代器 生成器的三种创建办法: 1.通过生成器函数 2.通过生成器表达式创建生成器 3.通过数据转换 2. 生成器函数: 函数中包含了yield ...