Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.11. 收集工具的信息

下面列出的工具是提供格式良好的信息的命令行工具,如访问向量缓存统计信息或类、类型或布尔值的数量。

avcstat

这个命令自启动以来提供访问向量缓存统计的简短输出。您可以通过指定以秒为单位的时间间隔来实时观察统计信息。这自初始输出后提供更新的统计信息。使用的统计信息文件是 /sys/fs/selinux/avc/cache_stats,您可以使用 -f /path/to/file 选项指定不同的缓存文件。 
~]# avcstat 
   lookups       hits     misses     allocs   reclaims      frees
  47517410   47504630      12780      12780      12176      12275

seinfo

此实用程序可用于描述策略的细分,如类、类型、布尔值、允许规则等。se info 是使用 policy.conf 文件、二进制策略文件、模块列表或策略列表作为输入的命令行实用程序。您必须安装 setools-console 软件包才能使用 seinfo 工具程序。
seinfo 的 输出结果会因二进制和源文件而异。例如,策略源文件使用 { } 方括号将多个规则元素分组到一行中。个属性也会产生类似的效果,其中单个属性可扩展到一个或多个类型。由于这些已扩展且在二进制策略文件中不再相关,因此搜索结果中的返回值为零。但是,规则数量会显著增加,因为每个之前使用方括号的行规则现在是多个单独的行。
某些项目不存在于二进制策略中。例如,不会在编译策略时检查允许规则,而不是在运行时检查,初始安全标识符(SID)也不是二进制策略的一部分,因为它们是在内核在启动期间加载策略前必需的。 
~]# seinfo

Statistics for policy file: /sys/fs/selinux/policy
Policy Version & Type: v.28 (binary, mls)

   Classes:            77    Permissions:       229
   Sensitivities:       1    Categories:       1024
   Types:            3001    Attributes:        244
   Users:               9    Roles:              13
   Booleans:          158    Cond. Expr.:       193
   Allow:          262796    Neverallow:          0
   Auditallow:         44    Dontaudit:      156710
   Type_trans:      10760    Type_change:        38
   Type_member:        44    Role allow:         20
   Role_trans:        237    Range_trans:      2546
   Constraints:        62    Validatetrans:       0
   Initial SIDs:       27    Fs_use:             22
   Genfscon:           82    Portcon:           373
   Netifcon:            0    Nodecon:             0
   Permissives:        22    Polcap:              2
seinfo 工具还可使用 domain 属性列出类型数量,从而估算不同受限制的进程数量: 
~]# seinfo -adomain -x | wc -l
550
并非所有域类型都被限制。要查看未限制域的数量,请使用 unconfined_domain 属性: 
~]# seinfo -aunconfined_domain_type -x | wc -l
52
可以使用 --permissive 选项计算 permissive 域: 
~]# seinfo --permissive -x | wc -l
31
删除上述命令中的其他 | wc -l 命令以查看完整列表。

sesearch

您可以使用 sesearch 实用程序搜索策略中的特定规则。可以搜索策略源文件或二进制文件。例如: 
~]$ sesearch --role_allow -t httpd_sys_content_t
Found 20 role allow rules:
   allow system_r sysadm_r;
   allow sysadm_r system_r;
   allow sysadm_r staff_r;
   allow sysadm_r user_r;
   allow system_r git_shell_r;
   allow system_r guest_r;
   allow logadm_r system_r;
   allow system_r logadm_r;
   allow system_r nx_server_r;
   allow system_r staff_r;
   allow staff_r logadm_r;
   allow staff_r sysadm_r;
   allow staff_r unconfined_r;
   allow staff_r webadm_r;
   allow unconfined_r system_r;
   allow system_r unconfined_r;
   allow system_r user_r;
   allow webadm_r system_r;
   allow system_r webadm_r;
   allow system_r xguest_r;
sesearch 工具可以提供 允许 规则的数量: 
~]# sesearch --allow | wc -l
262798
dontaudit 规则 的数量: 
~]# sesearch --dontaudit | wc -l
156712