Obslužné programy seinfo a sesearch mohou uživatelům pomoci při provádění jednokrokové analýzy:buď poskytují okamžité informace o objektu SELinux (což je hlavně to, o čem je seinfo), nebo jsou schopny dotazovat se na přímá pravidla SELinuxu (což je rozsah vyhledávání). Tyto nástroje jsou poskytovány prostřednictvím balíčku setools.
Tam, kde aplikace seinfo zobrazuje informace o objektech SELinux, se aplikace pro vyhledávání používá k dotazování pravidel a informací o chování SELinuxu mezi zdrojem a cílovým zdrojem.
Chcete-li například vytisknout všechna dostupná pravidla zásad httpd, můžete použít následující příkaz:
# sesearch --allow | grep httpd_t
Pokud narazíte na níže uvedenou chybu:
sesearch: command not found
můžete zkusit nainstalovat níže uvedený balíček podle vaší volby distribuce.
| Distribuce | Příkaz |
|---|---|
| Debian | instalační nástroje apt-get |
| Ubuntu | instalační nástroje apt-get |
| Kali Linux | instalační nástroje apt-get |
| CentOS | yum install setools-console |
| Fedora | dnf install setools-console |
| Raspbian | instalační nástroje apt-get |
Shrnutí
Aplikaci pro vyhledávání jsme používali k dotazování na standardní povolovací pravidla (kontroly přístupu související s vynucováním typu) a také na dopad booleanů SELinux na tato povolovací pravidla. Aplikace pro vyhledávání nám umožňuje nejen dotazovat se na pravidla na základě typu pravidla, ale také filtrovat ta pravidla, která odpovídají danému zdrojovému výrazu pomocí –source (-s) a/nebo cílového výrazu pomocí –target (-t).
Vyhledávací aplikace může pracovat s nepřímými zdrojovými nebo cílovými informacemi. Například při dotazování na informace související s atributem java_domain zobrazí také pravidla všech typů, které mají tento atribut. V předchozích verzích setools lze toto chování zakázat volbou -d. V nedávných verzích setools to lze selektivně použít buď na zdroji (pomocí -ds) nebo cíli (pomocí -dt).