各位好!
想在這請問 小弟在使用sesearch觀察selinux裡面的規則時有些問題想請教><!
(以下借用鳥哥的指令輸出)
[root@www ~]# sesearch -s httpd_t -t httpd_* -a
Found 163 av rules:
....(中間省略)....
allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock };
allow httpd_t httpd_sys_content_t : dir { ioctl read getattr lock search };
allow httpd_t httpd_sys_content_t : lnk_file { ioctl read getattr lock };
....(後面省略)....
我想問的是輸出裡面
allow httpd_t httpd_sys_content_t : dir { ioctl read getattr lock search };
他的ioctl getattr 是什麼意思? lock search又是什麼意思?
是說ioctl能控制 http_t這個主體程序類別能去使用到httpd_sys_content_t目標檔案類別的權限有多少?(像是rwx?而這邊是r)
然後getattr lock search我就不知道他的用途是什麼
還請懂的人幫忙解答>< 感謝XD
已邀請的邦友 {{ invite_list.length }}/5
ioctl
read
這些都是系統呼叫,也就是說selinux可以很細的控制可以執行哪些系統呼叫.
以這裡的例子,可以查看檔案,獲得屬性值等等,目錄則多了尋找.
一般這些都是沿用標準的設定.
iThome鐵人賽
看影片追技術