SELinux Policy
Version vom 9. Januar 2023, 13:25 Uhr von Linkai.zhang (Diskussion | Beiträge)
Regelstruktur
- sesearch -t ping_t -c tcp_socket --allow -dt
![Bearbeiten](javascript:editDrawio("232681174", "selinux-regelstruktur-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
- Attribute werden benutzt, um Typen zu gruppieren.
- Attribute wirken sich nicht direkt auf Berechtigungen aus, sondern entscheiden über Dinge wie File- und Portlabeling
- Klassen werden in allow/disallow Regeln bestimmten Typen zugeordnet
- Klassen fassen Berechtigungen zusammen
Regeln suchen
- mit sesearch können SELinux-Regeln gesucht werden
- suchbare Felder sind Quell (-s)-/Zieltypen (-t), Objektklasse (-c), Berechtigungen (-p) und mit der Regel assoziierte Booleans (-b)
- mit -ds und -dt wird explizit nach dem Namen des jeweiligen Quell- und Zieltyp gesucht, statt nur nach passenden Attributen zu matchen
- Man muss angeben, ob man nach allow-Regeln (--allow) oder nach Typentransitionsregeln (-T) sucht
Berechtigungsstruktur anhand von user_t und dem ping-Programm
Welche Programme darf user_t ausführen?
- sesearch -s user_t -p execute --allow -ds