主页 / server / 问题 / 1082414
Accepted
Boppity Bop
Asked: 2021-11-03 06:22:30 +0800 CST

我在哪里可以获得 SELinux 访问控制类型的完整列表?

  • 772

我找不到任何解释如何列出 SELinux 中的所有访问控制类型。例如httpd_log_t httpd_sys_content_t..

我想看到他们所有人

centos8 selinux

1 个回答

  1. Best Answer

    您可以通过运行命令获取类型列表seinfo -t

    但请注意,并非所有类型都是对象类型,有些被视为域类型。

    一个典型的更加外科手术的命令sesearch可能会为您提供更多关于您想要什么的解释。例如,您可以找出所有httpd_t可以使用sesearch.

    $ sesearch -s httpd_t -c file -A
allow daemon cluster_conf_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True
allow daemon cluster_conf_t:file { getattr ioctl lock open read }; [ daemons_enable_cluster_mode ]:False
...
...
allow nsswitch_domain var_yp_t:file { getattr ioctl lock open read }; [ nis_enabled ]:True
allow nsswitch_domain virt_var_lib_t:file { getattr ioctl lock open read };

    或者也许你只对httpd_t可以写的文件感兴趣..

    $ sesearch -s httpd_t -c file -A -p write
allow daemon cluster_conf_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True
allow daemon cluster_tmp_t:file { append getattr ioctl lock read write }; [ daemons_enable_cluster_mode ]:True
allow daemon cluster_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True
allow daemon cluster_var_run_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]:True
...
...
allow httpd_t zarafa_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write };
allow httpd_t zoneminder_rw_content_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ httpd_builtin_scripting ]:True
allow httpd_t zoneminder_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write };

    或者,也许您想知道哪些类型能够写入某些文件,例如httpd_log_t.

    $ sesearch -t httpd_log_t -c file -p write -A
allow abrt_dump_oops_t non_security_file_type:file { append create getattr ioctl link lock map open read rename setattr unlink write };
...
...
allow systemd_tmpfiles_t non_auth_file_type:file { append create getattr ioctl link lock open read relabelfrom relabelto rename setattr unlink write };
allow webadm_t httpd_log_t:file { append create getattr ioctl link lock open read relabelfrom relabelto rename setattr unlink write };

    此外,如果您想知道有哪些对象类别以及它们可用的权限,可以使用seinfo -xc.

    所有这些结合起来让您可以创建自定义搜索规则来查看策略并查看允许的内容。

    • 1

相关问题