sedispol 로 SELinux 정책 확인

sedispol 은 컴파일된 커널의 selinux policy module을 확인할 수 있는 유틸리티이다.

 

사용

# sedispol  /etc/selinux/targeted/policy/policy.24
 
Select a command:
1)  display unconditional AVTAB
2)  display conditional AVTAB (entirely)
3)  display conditional AVTAG (only ENABLED rules)
4)  display conditional AVTAB (only DISABLED rules)
5)  display conditional bools
6)  display conditional expressions
7)  change a boolean value

c)  display policy capabilities
p)  display the list of permissive types
u)  display unknown handling setting
f)  set output file
m)  display menu
q)  quit

 

  1. 먼저 출력을 파일로 저장하기 위해 f 를 치고 저장할 파일명을 입력한다.
  2. 보려는 정보에 맞는 숫자를 누르고 파일로 저장한다.
  3. 파일을 에디터로 열어서 정책을 확인한다.
    1. httpd_t 가 tmp_t 에 접근 가능한지 확인해 보자. 다음과 같이 getattr 과 search, open 권한이 부여되어 있으므로 파일을 쓸 수는 없다.

      [enabled] allow httpd_t tmp_t : dir { getattr search open };

 

 

Ref