linux 查询SELinux策略的规则详情 命令：sesearch

在 Linux 上使用 sesearch 命令来查询 SElinux 策略规则详情

SELinux（Security-Enhanced Linux）是一种强制访问控制（MAC）安全机制，它可以限制进程的权限，增强系统安全。在 Linux 中，sesearch 是一个命令行工具，可以查询 SELinux 策略规则的详情，本文将介绍如何使用 sesearch 命令。

1. 安装 sesearch

sesearch 工具通常可以从 SELinux 策略包中找到，如果没有安装，可以通过以下命令来安装：

yum install setools-console

2. sesearch 命令的语法

sesearch 命令的语法如下：

sesearch [-AENRZ] [-s source-type] [-t target-type] [-C class] [-c perm] [search-type search-string] [filename]

• -A：显示允许的操作
• -E：显示所有允许和拒绝的操作
• -N：忽略拒绝的规则
• -R：显示所有允许和拒绝的规则
• -Z：在结果中包含引用的正则表达式
• -s：指定源标签
• -t：指定目标标签
• -C：指定文件类别（如 file 或 dir）
• -c：指定文件权限

3. sesearch 命令的使用示例

以下是 sesearch 命令的几个示例：

（1）查询 httpd 进程是否可以访问 cgi-bin 目录下的所有文件

sesearch -A -s httpd_t -t httpd_sys_content_t -c file -p read,execute /var/www/cgi-bin/

（2）查询 vsftpd 进程是否可以写入 /home/ftp 目录

sesearch -A -s ftpd_t -t user_home_dir_t -c dir -p write /home/ftp/

（3）查询是否存在 type=AVC 的报告

sesearch -A -s avc_t -t avc_t --dontaudit | grep avc_t

4. sesearch 命令的输出解释

sesearch 命令输出的结果包含以下信息：

• 源标签（source type）和目标标签（target type）
• 操作（operation）和文件类别（class）
• 允许或拒绝（allow/deny）
• 是否审核（audit/neverallow）

例如：

 allow httpd_t httpd_sys_content_t:file read;
 allow httpd_t httpd_sys_content_t:file execute;

表示 httpd_t 进程被允许对 httpd_sys_content_t 标签下的文件进行读取和执行操作。

总结

sesearch 命令是一个非常有用的工具，可以帮助我们查询 SELinux 策略规则的详情。通过 sesearch 命令，我们可以确定进程是否被允许执行特定操作，增强系统安全。