documentação do contexto do SELinux

1

Estou tentando entender o SELinux, mas uma questão continua aparecendo na minha cabeça: CONTEXTO.

Quando escrevo regras e módulos personalizados (no CentOS 7), acabo por tirar os contextos do ar - este é o meu entendimento até agora:

  • seinfo -t -x lista todos os contextos junto com seus atributos.

  • sesearch exibe todas as regras presentes, por isso, se eu estivesse interessado no que o httpd_t pode acessar no momento, usaria algo como sesearch -A -s httpd_t .

  • semanage fcontext -l para listar todas as regras presentes.

  • /etc/selinux/targeted/contexts alguns arquivos aqui, como customizable_types, então acabei usando esses arquivos.

No entanto, ainda estou apenas escolhendo contextos fora do ar sem informações reais sobre qual contexto deve ser usado.

Eu tenho procurado em todo lugar por descrições de contexto, mas parece não haver nenhuma disponível - o apache sozinho tem:

httpd_php_tmp_t httpd_var_lib_t httpd_var_run_t httpd_user_htaccess_t httpd_sys_content_t httpd_sys_htaccess_t httpd_user_script_exec_t httpd_rotatelogs_t httpd_suexec_tmp_t httpd_unconfined_script_exec_t httpd_user_ra_content_t httpd_user_rw_content_t httpd_suexec_t httpd_config_t httpd_bool_t httpd_php_t httpd_tmp_t httpd_user_script_t httpd_helper_exec_t httpd_squirrelmail_t httpd_php_exec_t httpd_sys_ra_content_t httpd_sys_rw_content_t httpd_modules_t httpd_sys_script_t httpd_user_content_t httpd_suexec_exec_t httpd_unit_file_t httpd_unconfined_script_t httpd_initrc_exec_t httpd_t httpd_rotatelogs_exec_t httpd_passwd_t httpd_helper_t httpd_keytab_t httpd_exec_t httpd_lock_t httpd_log_t httpd_cache_t httpd_tmpfs_t httpd_sys_script_exec_t httpd_passwd_exec_t

Alguns dos nomes dos contextos são autoexplicativos, mas certamente há alguma documentação em algum lugar para isso?

    
por weisdaclick 02.06.2018 / 22:50

1 resposta

0

Os contextos do SELinux estão documentados nas páginas do manual do módulo de políticas. A documentação da política do Apache SELinux está na página man link .

Se você tiver selinux-policy-devel instalado, poderá gerar as páginas man executando:

sepolicy manpage -a -p /usr/local/man/man8
mandb

(também solicitado em U & L SE )

    
por 12.09.2018 / 19:03