sesearch - утилита
опроса
политики SELinux
sesearch [OPTIONS] [OPTIONS] [EXPRESSION] [POLICY]
sesearch
позволяет
пользователю
выполнять
поиск
правил в
политике SELinux.
sesearch
поддерживает
загрузку
политик SELinux в
одном из
двух
форматов.
- source:
- Один
текстовый
файл,
содержащий
источник
монолитной
политики.
Это файл
обычно
называется
policy.conf.
- binary:
- Один
файл,
содержащий
двоичную
политику. В
системах Linux
название
этого
файла
обычно
соответствует
версии,
например,
policy.30. В
системах Android
этот файл
обычно
называется
sepolicy.
Если файл
политики
не указан,
sesearch
выполнит
поиск
политики,
которая
выполняется
в текущей
системе.
Если
политику
не удалось
найти,
sesearch
выведет
сообщение
об ошибке и
выполнит
выход.
Пользователь
может
указать
выражение,
которое
содержит
значение
для
конкретного
поля (полей)
в правиле.
Если
выражение
не указано
или среди
указанных
полей нет
тех,
которые
применимы
к
конкретному
типу
правил, все
правила
этого типа
считаются
соответствующими
выражению.
- -A
- Найти
разрешительные
правила и
расширенные
разрешительные
правила (allow и
allowxperm).
- --allow
- Найти
разрешительные
правила.
- --auditallow
- Найти
правила
включения
журналирования
событий.
- --dontaudit
- Найти
правила
запрета
журналирования
событий.
- --neverallow
- Найти
запрещающие
правила.
- --allowxperm
- Найти
расширенные
разрешительные
правила.
- --auditallowxperm
- Найти
расширенные
правила
включения
журналирования
событий.
- --dontauditxperm
- Найти
расширенные
правила
запрета
журналирования
событий.
- --neverallowxperm
- Найти
расширенные
запрещающие
правила.
- -T, --type_trans
- Найти
правила
перехода
типов.
- --type_member
- Найти
правила
участия
типов.
- --type_change
- Найти
правила
смены
типов.
- --role_allow
- Найти
разрешительные
правила
для ролей.
- --role_trans
- Найти
правила
перехода
ролей.
- --range_trans
- Найти
правила
перехода
диапазонов.
- -s NAME, --source NAME
- Найти
правила,
для
которых NAME
является
исходным
типом/ролью.
- -t NAME, --target NAME
- Найти
правила,
для
которых NAME
является
целевым
типом/ролью.
- -D NAME, --default NAME
- Найти
правила,
для
которых NAME
является
типом/ролью/уровнем
по
умолчанию.
- -c NAME, --class NAME
- Найти
правила,
для
которых NAME
является
классом
объектов.
- -p P1[,P2,...] --perm P1[,P2...]
- Найти
правила с
хотя бы
одним из
указанных
разрешений.
Несколько
разрешений
можно
указать в
виде
разделённого
запятыми
списка.
- -b BOOL[,B2,...], --bool BOOL[,B2,...]
- Найти
условные
правила,
которые
содержат в
своём
условном
выражении
именованный
логический
переключатель.
Несколько
логических
переключателей
можно
указать в
виде
разделённого
запятыми
списка. При
использовании
этого
параметра
будут
включены
как
правила в
списках true,
так и
правила в
списках false
условных
конструкций.
Следующие
дополнительные
параметры
изменяют
способ
поиска.
- -ds
- Соответствующее
правило
должно
иметь
указанный
исходный
атрибут/тип/роль
в явном
виде, а не
соответствовать
по
содержимому
атрибута.
- -dt
- Соответствующее
правило
должно
иметь
указанный
целевой
атрибут/тип/роль
в явном
виде, а не
соответствовать
по
содержимому
атрибута.
- -eb
- Соответствующее
правило
должно
иметь все
указанные
логические
переключатели,
а не
соответствовать
по
каким-либо
из
указанных
логических
переключателей.
- -ep
- Соответствующее
правило
должно
иметь все
указанные
разрешения,
а не
соответствовать
по
каким-либо
из
указанных
разрешений.
- -rs
- Использовать
регулярное
выражение
для
определения
соответствия
исходного
типа/роли.
- -rt
- Использовать
регулярное
выражение
для
определения
соответствия
целевого
типа/роли.
- -rc
- Использовать
регулярное
выражение
для
определения
соответствия
класса
объектов.
- -rd
- Использовать
регулярное
выражение
для
определения
соответствия
типа/роли
по
умолчанию.
- -rb
- Использовать
регулярное
выражение
для
определения
соответствия
логических
переключателей.
- -h, --help
- Вывести
справочные
сведения и
выйти.
- --version
- Вывести
сведения о
версии и
выйти.
- -v, --verbose
- Вывести
дополнительные
информационные
сообщения.
- --debug
- Включить
отладочный
вывод.
Пожалуйста,
сообщайте
об ошибках
через
систему
отслеживания
ошибок SETools,
https://github.com/SELinuxProject/setools/issues
apol(1),
sediff(1),
sedta(1),
seinfo(1),
seinfoflow(1)
Chris PeBenito <
[email protected]>.
Перевод на
русский
язык
выполнила
Герасименко
Олеся <
[email protected]>.