Version vom 9. Januar 2023, 13:23 Uhr

Regelstruktur

Attribute werden benutzt, um Typen zu gruppieren.
Attribute wirken sich nicht direkt auf Berechtigungen aus, sondern entscheiden über Dinge wie File- und Portlabeling
Klassen werden in allow/disallow Regeln bestimmten Typen zugeordnet
Klassen fassen Berechtigungen zusammen

mit sesearch können SELinux-Regeln gesucht werden
suchbare Felder sind Quell (-s)-/Zieltypen (-t), Objektklasse (-c), Berechtigungen (-p) und mit der Regel assoziierte Booleans (-b)
mit -ds und -dt wird explizit nach dem Namen des jeweiligen Quell- und Zieltyp gesucht, statt nur nach passenden Attributen zu matchen
Man muss angeben, ob man nach allow-Regeln (–allow) oder nach Typentransitionsregeln (-T) sucht

@@ Zeile 2: / Zeile 2: @@
 = Regelstruktur =
-* sesearch -t ping_t --allow -dt
+* sesearch -t ping_t -c tcp_socket --allow -dt
 <!----->
@@ Zeile 10: / Zeile 10: @@
 * Attribute wirken sich nicht direkt auf Berechtigungen aus, sondern entscheiden über Dinge wie File- und Portlabeling
 * Klassen werden in allow/disallow Regeln bestimmten Typen zugeordnet
-* Klassen fassen Rechte zusammen
+* Klassen fassen Berechtigungen zusammen
 <!----->
@@ Zeile 17: / Zeile 17: @@
 * mit ''sesearch'' können SELinux-Regeln gesucht werden
-*
+* suchbare Felder sind Quell (-s)-/Zieltypen (-t), Objektklasse (-c), Berechtigungen (-p) und mit der Regel assoziierte Booleans (-b)
+* mit ''-ds'' und ''-dt'' wird explizit nach dem Namen des jeweiligen Quell- und Zieltyp gesucht, statt nur nach passenden Attributen zu matchen
+* Man muss angeben, ob man nach allow-Regeln (–allow) oder nach Typentransitionsregeln (-T) sucht
+<!----->
+<span id="berechtigungsstruktur-anhand-von-user_t-und-dem-ping-programm"></span>
+= Berechtigungsstruktur anhand von ''user_t'' und dem ping-Programm =
+<span id="welche-programme-darf-user_t-ausführen"></span>
+== Welche Programme darf ''user_t'' ausführen? ==
+* sesearch -s user_t -p execute –allow -ds