Le utilità seinfo e sesearch possono aiutare gli utenti nell'esecuzione di analisi a passo singolo:forniscono informazioni immediate su un oggetto SELinux (che è principalmente ciò di cui tratta seinfo) o sono in grado di interrogare regole SELinux dirette (che è lo scopo di sesearch). Queste utilità sono fornite tramite il pacchetto setools.
Laddove l'applicazione seinfo visualizza informazioni sugli oggetti SELinux, l'applicazione sesearch viene utilizzata per interrogare le regole di SELinux e le informazioni sul comportamento tra una risorsa sorgente e una destinazione.
Ad esempio, per stampare tutte le regole dei criteri httpd disponibili, puoi utilizzare il comando seguente:
# sesearch --allow | grep httpd_t
Se riscontri l'errore seguente:
sesearch: command not found
puoi provare a installare il pacchetto seguente secondo la tua scelta di distribuzione.
| Distribuzione | Comando |
|---|---|
| Debian | apt-get install setools |
| Ubuntu | apt-get install setools |
| Kali Linux | apt-get install setools |
| CentOS | yum install setools-console |
| Fedora | dnf install setools-console |
| Raspbian | apt-get install setools |
Riepilogo
Abbiamo utilizzato l'applicazione sesearch per interrogare le regole di autorizzazione standard (controlli di accesso relativi all'applicazione del tipo) nonché l'impatto dei booleani di SELinux su queste regole di autorizzazione. L'applicazione sesearch ci consente non solo di interrogare le regole in base al tipo di regola, ma anche di filtrare quelle regole che corrispondono a una determinata espressione di origine usando –source (-s) e/o espressione di destinazione usando –target (-t).
L'applicazione sesearch può gestire informazioni indirette di origine o destinazione. Ad esempio, quando si interrogano le informazioni relative all'attributo java_domain, verranno visualizzate anche le regole di tutti i tipi che hanno questo attributo. Nelle precedenti versioni di setools, questo comportamento può essere disabilitato con l'opzione -d. Nelle recenti versioni di setools, questo può essere utilizzato selettivamente su entrambi i sorgenti (usando -ds) o target (usando -dt).