iT邦幫忙

0

LINUX-sesearch輸出閱讀問題

CMAN 2014-12-21 12:28:211691 瀏覽

各位好!
想在這請問 小弟在使用sesearch觀察selinux裡面的規則時有些問題想請教><!
(以下借用鳥哥的指令輸出)

[root@www ~]# sesearch -s httpd_t -t httpd_* -a
Found 163 av rules:
....(中間省略)....
allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock };
allow httpd_t httpd_sys_content_t : dir { ioctl read getattr lock search };
allow httpd_t httpd_sys_content_t : lnk_file { ioctl read getattr lock };
....(後面省略)....

我想問的是輸出裡面
allow httpd_t httpd_sys_content_t : dir { ioctl read getattr lock search };
他的ioctl getattr 是什麼意思? lock search又是什麼意思?
是說ioctl能控制 http_t這個主體程序類別能去使用到httpd_sys_content_t目標檔案類別的權限有多少?(像是rwx?而這邊是r)
然後getattr lock search我就不知道他的用途是什麼
還請懂的人幫忙解答>< 感謝XD

1 個回答

10
一級屠豬士
iT邦高手 1 級 ‧ 2014-12-22 10:48:54
最佳解答

ioctl

read

這些都是系統呼叫,也就是說selinux可以很細的控制可以執行哪些系統呼叫.
以這裡的例子,可以查看檔案,獲得屬性值等等,目錄則多了尋找.
一般這些都是沿用標準的設定.

CMAN iT邦新手 4 級 ‧ 2014-12-22 16:08:01 檢舉

哇!!感謝你的解答XD
但是感覺那些man裡面的那些敘述,又更深入的感覺,目前實在不太懂XD
但是您說個大概就讓我比較清楚些了~哈

我要發表回答

立即登入回答