具体规则的查询
关于 SELinux 策略,我们时常要去了解:关于系统中的一个操作,为什么 SELinux 会允许/拒绝;其背后具体的规则是怎样的。此时我们可以使用 sesearch
来查询策略中具体的规则:
1# 探究【主体 A】对【客体 B】是否有【类型 C】的【权限 D】:
2# sesearch -A -s A -t B -c C -p D
3sesearch -A -s kernel_t -t unconfined_t -p setsched
4sesearch -A -s kernel_t -t unconfined_t -c key -p view
在查出对应的规则后,可以配合 seinfo
进一步了解规则中主、客体的具体信息:
1# 探究某属性包含有哪些类型:
2seinfo -a unconfined_domain_type -x
3# 探究某类型加入了哪些属性:
4seinfo -t kernel_t -x
可用于解析二进制策略的一个交互式工具:
1dispol /etc/selinux/targeted/policy/policy.33 # Fedora/RHEL 上命名为 sedispol
参考资料:
-
更多工具:
-
HowTos/SELinux , CentOS Wiki
unconfined_t
该类型/域的语义是“SELinux(几乎)不做任何限制”1,而不是我一开始以为的“没打标签”。
在默认的 targeted 策略2下,由 ssh 连接产生的进程都为 unconfined_t 域;实际上,所有经过网络产生的本地进程都为 unconfined_t 域。根据 Gentoo 的 Wiki
,这么设计的目的是为了简化策略的开发。
参考资料:
- SELinux Tutorials: What is this unconfined thingie and tell me about attributes , Gentoo Wiki
- 3.2. Unconfined Processes in SELinux User’s and Administrator’s Guide for RHEL 7
二进制策略文件解析
获取 policy.xx 文件:
1# 读取 /etc/selinux/targeted/policy/policy.xx
2# 或者:
3cat /sys/fs/selinux/policy &> ~/policy.xx
解析 policy.xx 文件:
1cd /etc/selinux/targeted/policy/
2checkpolicy -MbF policy.31 -o policy.conf
3vim policy.conf
4
5# 其实上述的 sesearch 可以直接用于搜索 policy.xx 中的策略:
6sesearch --allow -c perf_event -p read,write,... policy.31
解析 CIL 文件 :
1cp /var/lib/selinux/targeted/active/modules/100/base/cil .
2bunzip2 cil
3vim cil.out
4mv cil.out base.cil
5semodule -i base.cil
6semodule -r base -X 400 # -X: priority
