第5章 sepolicy スイート

sepolicy ユーティリティーは、インストール済みの SELinux ポリシーをクエリする機能のスイートを提供します。これらの機能は新規のものか、これまでは sepolgensetrans などの別個のユーティリティーが提供していたものです。このスイートを使うと、移行レポートや man ページ、さらには新ポリシーのモジュールを作成できるようになり、ユーザーは SELinux ポリシーへのアクセスが容易になり、理解が深まります。
policycoreutils-devel パッケージが sepolicy を提供します。root ユーザーで以下のコマンドを実行して、sepolicy をインストールします。 
~]# yum install policycoreutils-devel
sepolicy スイートは以下の機能を提供し、これらはコマンドラインパラメーターとして起動されます。

表5.1 sepolicy の機能

機能説明
booleansSELinux ポリシーに問い合わせてブール値の詳細を表示する
communicateドメインが相互通信を行えるかどうかを SELinux ポリシーに問い合わせる
generateSELinux ポリシーモジュールのテンプレートを生成する
guiSELinux ポリシーのグラフィカルユーザーインターフェース
interfaceSELinux ポリシーインターフェースを一覧表示する
manpageSELinux man ページを生成する
networkSELinux ポリシーネットワーク情報を問い合わせる
transitionSELinux ポリシーに問い合わせ、プロセス移行レポートを生成する

5.1. sepolicy Python バインディング

以前のバージョンの Red Hat Enterprise Linux では、setools パッケージに sesearch および seinfo ユーティリティーが含まれていました。sesearch ユーティリティーは SELinux ポリシー内でのルール検索に使用し、seinfo ユーティリティーはポリシー内の他のコンポーネントへのクエリを可能にしていました。
Red Hat Enterprise Linux 7 では、sesearch および seinfo に Python バインディングが追加され、これらユーティリティーの機能を sepolicy スイートで使用することができます。例を示します。 
> python
>>> import sepolicy
>>> sepolicy.info(sepolicy.ATTRIBUTE)
Returns a dictionary of all information about SELinux Attributes
>>>sepolicy.search([sepolicy.ALLOW])
Returns a dictionary of all allow rules in the policy.