1. 描述

sesearch用于搜索SELinux安全策略规则集,命令来自包:yum install setools-console。

2. 命令

命令使用方法:

sesearch [OPTIONS] RULE_TYPE [RULE_TYPE ...] [EXPRESSION] [POLICY ...]

OPTIONS:

    -d, --direct        不搜索 type 的属性

    -R, --regex         使用正则表达式进行匹配

    -n, --linenum       显示每条可用规则的行号

    -S, --semantic      搜索语义(semantically)规则替代语法(syntactically)规则

    -C, --show_cond     显示条件规则的条件表达式

    -h, --help          帮助信息

    -V, --version       版本号

RULE_TYPES:

    -A, --allow         允许(allow)的规则

    --neverallow        从不允许(neverallow)的规则

    --auditallow        审计(auditallow)的规则

    -D, --dontaudit     不审计的规则

    -T, --type          type_trans, type_member, 和 type_change (我也不懂这个干啥,待补充!)

    --role_allow        角色允许的规则

    --role_tans         role_transition 规则

    --range_trans       range_transition 规则

    --all               所有规则,不论是:type, class, 或 perms(seinfo可获取class, type值)

EXPRESSIONS:

    -s NAME, --source=NAME        具有类型、属性值为 NAME 的规则作为源头(进程主体的概念)

    -t NAME, --target=NAME        具有类型、属性值为 NAME 的规则作为目标(文件,端口等类型的概念)

    --role_source=NAME            具有角色值为 NAME 的规则作为源头

    --role_target=NAME            具有角色值为 NAME 的规则作为目标

    -c NAME, --class=NAME         具有 class 值为 NAME 的规则作为对象类(the object class)

    -p P1[,P2,...], --perm=P1[,P2,...]

                                  具有特定权限的规则

    -b NAME, --bool=NAME          具有 NAME 值在表达式中的条件规则

3. 示例

#. 显示所有 allow 的规则

[root@tim ~]# sesearch --allow

Found  semantic av rules:

   allow logrotate_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock...

   allow dmidecode_t virtd_t : fd use ;

   allow ssh_keygen_t anaconda_t : fd use ;

   allow logadm_t systemd_passwd_var_run_t : sock_file { ioctl read write create getattr setattr lock app...

   allow unconfined_dbusd_t unconfined_dbusd_t : x_device { getattr setattr use read write getfocus setfo...

.....

#. 显示 httpd_t (-s xx)域允许(--allow)访问的规则(-d 含义是只显示直接管理搜索结果)

[root@tim ~]# sesearch -s httpd_t --allow -d

Found  semantic av rules:

   allow httpd_t system_dbusd_t : unix_stream_socket connectto ;

   allow httpd_t dirsrv_config_t : file { ioctl read write create getattr setattr lock append unlink link rename op...

   allow httpd_t dirsrv_config_t : dir { ioctl read write create getattr setattr lock unlink link rename add_name r...

   allow httpd_t httpd_squirrelmail_t : file { ioctl read write create getattr setattr lock append unlink link rena...

.....

#. 显示允许(--allow)访问 httpd_sys_script_exec_t (-t xx)类型的规则

[root@tim ~]# sesearch -t httpd_sys_script_exec_t --allow -d

Found  semantic av rules:

   allow httpd_sys_script_t httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans entryp...

   allow httpd_sys_script_t httpd_sys_script_exec_t : dir { ioctl read getattr lock search open } ;

   allow httpd_sys_script_exec_t httpd_sys_script_exec_t : filesystem associate ;

   allow openshift_domain httpd_sys_script_exec_t : file { ioctl read getattr lock execute execute_no_trans open } ;

   allow openshift_domain httpd_sys_script_exec_t : dir { getattr search open } ;

.....

#. 显示能够写(-p write)shadow_t 类型文件(-c file)的规则

[root@tim ~]# sesearch -t shadow_t -c file -p write --allow

Found  semantic av rules:

   allow updpwd_t shadow_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;

   allow yppasswdd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append unl...

   allow pegasus_openlmi_account_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabe...

   allow files_unconfined_type file_type : file { ioctl read write create getattr setattr lock relabelfrom relabelto...

   allow sysadm_passwd_t shadow_t : file { ioctl read write create getattr setattr lock relabelfrom relabelto append...

.....

#. 显示含二元值 samba_enable_home_dirs (-b xx)开关的条件规则

[root@tim ~]# sesearch -b samba_enable_home_dirs --allow -d

Found  semantic av rules:

   allow smbd_t home_root_t : dir { ioctl read getattr lock search open } ;

   allow smbd_t home_root_t : lnk_file { read getattr } ;

   allow smbd_t user_home_type : file { ioctl read write create getattr setattr lock append unlink link rename open  ...

   allow smbd_t user_home_type : dir { ioctl read write create getattr setattr lock unlink link rename add_name remov...

   allow smbd_t user_home_type : lnk_file { ioctl read write create getattr setattr lock append unlink link rename } ;

.....

引用:https://www.server-world.info/en/note?os=CentOS_7&p=selinux&f=11

[TimLinux] selinux sesearch命令详解的更多相关文章

  1. 【初级】linux mkdir 命令详解及使用方法实战

    mkdir命令详解及使用方法实战 名称 MKDIR 是 make directories 的缩写 使用方法 mkdir [选项(如-p)] ...目录名称(及子目录注意用分隔符隔开)...    如使 ...

  2. Linux命令详解之–ls命令

    今天开始为大家介绍下Linux中常用的命令,首先给大家介绍下Linux中使用频率最高的命令--ls命令. 更多Linux命令详情请看:Linux命令速查手册 linux ls命令用于显示指定工作目录下 ...

  3. Linux服务器,服务管理--systemctl命令详解,设置开机自启动

    Linux服务器,服务管理--systemctl命令详解,设置开机自启动 syetemclt就是service和chkconfig这两个命令的整合,在CentOS 7就开始被使用了. 摘要: syst ...

  4. linux shell 脚本攻略学习11--mkdir和touch命令详解

    一.创建目录(mkdir命令详解) amosli@amosli-pc:~/learn$ mkdir dir amosli@amosli-pc:~/learn/dir$ mkdir folder amo ...

  5. 【Linux 运维】查看网络连接状态信息之netstat和ss命令详解

    一.netstat 常用命令详解 通过man netstat可以查看netstat的帮助信息: netstat 命令:用于显示各种网络相关信息,如网络连接,路由表,接口状态,无效连接,组播成员 等等. ...

  6. (转)netstat 命令详解

    netstat 命令详解  原文:https://www.cnblogs.com/xieshengsen/p/6618993.html netstat命令是一个监控TCP/IP网络的非常有用的工具,它 ...

  7. linux命令详解-useradd,groupadd

    linux命令详解-useradd,groupadd 我们在linux命令行中输入useradd: Options:  -b, --base-dir BASE_DIR       base direc ...

  8. linux命令详解之du命令

    du命令概述du命令作用是估计文件系统的磁盘已使用量,常用于查看文件或目录所占磁盘容量.du命令与df命令不同,df命令是统计磁盘使用情况,详见linux命令详解之df命令.du命令会直接到文件系统内 ...

  9. ls(list)命令详解及生产使用示例

    文件有文件名与数据,在linux上被分为两个部分:用户数据(user data)与元数据(metadata) 用户数据,即文件数据块(data block),数据块是记录文件真实内容的地方,我们将其称 ...

随机推荐

  1. Scrapy进阶知识点总结(四)——Item Pipeline

    Item Pipeline Item Pipeline调用发生在Spider产生Item之后.当Spider解析完Response之后,Item就会传递到Item Pipeline,被定义的Item ...

  2. docker监控容器

    Weave Scope: 是能够自动生成一张 Docker 容器web动态图的监控软件,能够让我们直观地理解.监控和控制容器. 监控一台主机: 第一步:安装 [root@localhost ~]# c ...

  3. Linux PXE自动化安装centos6,centos7系统

    1.PXE是什么? pxe是Preboot Excution Environment的缩写,是intel公司研发,基于client/server的网络模式,支持远程主机通过网络从远端服务器下载镜,并由 ...

  4. csp-s2019游记

    11.15D0: 复习 复习 机房里弥漫着颓废的气息,不过也是最后一个下午了 11.16D1: 五点钟爬起来,一边发抖一边去楼下买早饭 虽然平时基本不吃早饭,但考前不行 搭着同学的车去了考点,在车上重 ...

  5. dubbo中出现can not be invoked any more

    具体错误示例如下 从错误看,是客户方发起调用时,dubbo会去检查本地的invoker instance,如果发现invoker已经是destroy status,则直接抛出上面的异常,下面先来说下平 ...

  6. 一文带你深入了解 Redis 的持久化方式及其原理

    Redis 提供了两种持久化方式,一种是基于快照形式的 RDB,另一种是基于日志形式的 AOF,每种方式都有自己的优缺点,本文将介绍 Redis 这两种持久化方式,希望阅读本文后你对 Redis 的这 ...

  7. nyoj 268-荷兰国旗问题 (count)

    268-荷兰国旗问题 内存限制:64MB 时间限制:3000ms 特判: No 通过数:15 提交数:20 难度:1 题目描述: 荷兰国旗有三横条块构成,自上到下的三条块颜色依次为红.白.蓝.现有若干 ...

  8. JPA中使用@Query注解多表联查

    原生SQL: select `user`.id, `user`.`name`,dept.name deptName,sum(sd.score) SumScore from `user` LEFT JO ...

  9. 2019-10-16:渗透测试,基础学习,burpsuit笔记

    maccms10后门分析下载网址,是假官网http://www.maccmsv10.com/download.htmlMaccms10基于php+mysql的maccms,是苹果的内容管理,方便使用, ...

  10. Spring与Shiro整合 登陆操作

    Spring与Shiro整合 登陆操作 作者 : Stanley 罗昊 [转载请注明出处和署名,谢谢!] 编写登陆Controller方法  讲解: 首先,如果你登陆失败的时候,它会把你的异常信息丢到 ...