Les utilitaires seinfo et sesearch peuvent aider les utilisateurs à effectuer une analyse en une seule étape :soit ils fournissent des informations immédiates sur un objet SELinux (ce qui est principalement l'objet de seinfo), soit ils sont capables d'interroger des règles SELinux directes (ce qui est le domaine de sesearch). Ces utilitaires sont fournis via le package setools.
Là où l'application seinfo affiche des informations sur les objets SELinux, l'application sesearch est utilisée pour interroger les règles SELinux et les informations de comportement entre une ressource source et une ressource cible.
Par exemple, pour imprimer toutes les règles de politique httpd disponibles, vous pouvez utiliser la commande ci-dessous :
# sesearch --allow | grep httpd_t
Si vous rencontrez l'erreur ci-dessous :
sesearch: command not found
vous pouvez essayer d'installer le package ci-dessous selon votre choix de distribution.
| Répartition | Commande |
|---|---|
| Debian | apt-get install setools |
| Ubuntu | apt-get install setools |
| Kali Linux | apt-get install setools |
| CentOS | yum install setools-console |
| Fédora | dnf install setools-console |
| Raspbian | apt-get install setools |
Résumé
Nous avons utilisé l'application de recherche pour interroger les règles d'autorisation standard (contrôles d'accès liés à l'application des types) ainsi que l'impact des booléens SELinux sur ces règles d'autorisation. L'application de recherche nous permet non seulement d'interroger les règles en fonction du type de règle, mais également de filtrer les règles qui correspondent à une expression source donnée en utilisant –source (-s) et/ou une expression cible en utilisant –target (-t).
L'application de recherche peut traiter des informations sources ou cibles indirectes. Par exemple, lors de la requête d'informations relatives à l'attribut java_domain, il affichera également les règles de tous les types qui ont cet attribut. Dans les versions précédentes de setools, ce comportement peut être désactivé avec l'option -d. Dans les versions récentes de setools, cela peut être utilisé de manière sélective sur la source (en utilisant -ds) ou sur la cible (en utilisant -dt).