Regelstruktur

• sesearch -t ping_t -c tcp_socket --allow -dt

[Bearbeiten]

• Attribute werden benutzt, um Typen zu gruppieren.
• Attribute wirken sich nicht direkt auf Berechtigungen aus, sondern entscheiden über Dinge wie File- und Portlabeling
• Klassen werden in allow/disallow Regeln bestimmten Typen zugeordnet
• Klassen fassen Berechtigungen zusammen

Regeln suchen

• mit sesearch können SELinux-Regeln gesucht werden
• suchbare Felder sind Quell (-s)-/Zieltypen (-t), Objektklasse (-c), Berechtigungen (-p) und mit der Regel assoziierte Booleans (-b)
• mit -ds und -dt wird explizit nach dem Namen des jeweiligen Quell- und Zieltyp gesucht, statt nur nach passenden Attributen zu matchen
• Man muss angeben, ob man nach allow-Regeln (--allow) oder nach Typentransitionsregeln (-T) sucht

Berechtigungsstruktur anhand von user_t und dem ping-Programm

Welche Programme darf user_t ausführen?

• sesearch -s user_t -p execute --allow -ds