Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.11. 정보 수집 도구

아래에 열거된 유틸리티는 액세스 벡터 캐시 통계 또는 클래스, 유형 또는 부울 수와 같이 잘 포맷된 정보를 제공하는 명령줄 도구입니다.

avcstat

이 명령은 부팅 이후 액세스 벡터 캐시 통계의 짧은 출력을 제공합니다. 시간 간격(초)을 지정하여 실시간으로 통계를 볼 수 있습니다. 이는 초기 출력 이후 업데이트된 통계를 제공합니다. 사용된 통계 파일은 /sys/fs/selinux/avc/cache_stats 이며 -f /path/to/file 옵션을 사용하여 다른 캐시 파일을 지정할 수 있습니다. 
~]# avcstat 
   lookups       hits     misses     allocs   reclaims      frees
  47517410   47504630      12780      12780      12176      12275

seinfo

이 유틸리티는 클래스, 유형, 부울, 허용 규칙 및 기타 항목과 같은 정책 중단을 설명하는 데 유용합니다. seinfopolicy.conf 파일, 바이너리 정책 파일, 모듈식 정책 패키지 목록 또는 정책 목록 파일을 입력으로 사용하는 명령줄 유틸리티입니다. 이러한info 유틸리티를 사용하려면 setools-console 패키지가 설치되어 있어야 합니다.
seinfo 출력은 바이너리 파일과 소스 파일마다 달라집니다. 예를 들어 정책 소스 파일은 { } 괄호를 사용하여 여러 규칙 요소를 한 줄로 그룹화합니다. 단일 속성이 하나 또는 여러 유형으로 확장되는 속성과 유사한 효과가 발생합니다. 이러한 항목이 확장되어 바이너리 정책 파일에서 더 이상 관련이 없으므로 검색 결과에 반환 값이 0입니다. 그러나 대괄호를 사용하여 이전 한 줄 규칙 각각에 따라 룰 수가 크게 증가합니다. 이제 여러 개의 개별 행이 있습니다.
일부 항목은 바이너리 정책에 존재하지 않습니다. 예를 들어, neverallow 규칙은 런타임이 아닌 정책 컴파일 중에만 확인되며, 초기 보안 식별자(SID)는 부팅 중에 커널에서 로드하는 정책보다 먼저 필요하므로 바이너리 정책의 일부가 아닙니다. 
~]# seinfo

Statistics for policy file: /sys/fs/selinux/policy
Policy Version & Type: v.28 (binary, mls)

   Classes:            77    Permissions:       229
   Sensitivities:       1    Categories:       1024
   Types:            3001    Attributes:        244
   Users:               9    Roles:              13
   Booleans:          158    Cond. Expr.:       193
   Allow:          262796    Neverallow:          0
   Auditallow:         44    Dontaudit:      156710
   Type_trans:      10760    Type_change:        38
   Type_member:        44    Role allow:         20
   Role_trans:        237    Range_trans:      2546
   Constraints:        62    Validatetrans:       0
   Initial SIDs:       27    Fs_use:             22
   Genfscon:           82    Portcon:           373
   Netifcon:            0    Nodecon:             0
   Permissives:        22    Polcap:              2
these info 유틸리티는 도메인 속성이 있는 유형 수를 나열하여 제한된 다양한 프로세스 수를 추정할 수도 있습니다. 
~]# seinfo -adomain -x | wc -l
550
일부 도메인 유형이 제한된 것은 아닙니다. 제한되지 않은 도메인 수를 보려면 unconfined_domain 특성을 사용합니다. 
~]# seinfo -aunconfined_domain_type -x | wc -l
52
허용 도메인은 --permissive 옵션을 사용하여 계산할 수 있습니다. 
~]# seinfo --permissive -x | wc -l
31
위의 명령에서 추가 | wc -l 명령을 제거하여 전체 목록을 확인합니다.

sesearch

sesearch 유틸리티를 사용하여 정책에서 특정 규칙을 검색할 수 있습니다. 정책 소스 파일 또는 바이너리 파일을 검색할 수 있습니다. 예를 들어 다음과 같습니다. 
~]$ sesearch --role_allow -t httpd_sys_content_t
Found 20 role allow rules:
   allow system_r sysadm_r;
   allow sysadm_r system_r;
   allow sysadm_r staff_r;
   allow sysadm_r user_r;
   allow system_r git_shell_r;
   allow system_r guest_r;
   allow logadm_r system_r;
   allow system_r logadm_r;
   allow system_r nx_server_r;
   allow system_r staff_r;
   allow staff_r logadm_r;
   allow staff_r sysadm_r;
   allow staff_r unconfined_r;
   allow staff_r webadm_r;
   allow unconfined_r system_r;
   allow system_r unconfined_r;
   allow system_r user_r;
   allow webadm_r system_r;
   allow system_r webadm_r;
   allow system_r xguest_r;
sesearch 유틸리티는 허용 규칙 수를 제공할 수 있습니다. 
~]# sesearch --allow | wc -l
262798
dontaudit 규칙 수입니다. 
~]# sesearch --dontaudit | wc -l
156712