Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.11. 收集工具的信息

下面列出的工具是提供格式良好的信息的命令行工具,如访问向量缓存统计信息或类、类型或布尔值的数量。

avcstat

这个命令自启动以来提供访问向量缓存统计的简短输出。您可以通过指定以秒为单位的时间间隔来实时观察统计信息。这自初始输出后提供更新的统计信息。使用的统计数据文件为 /sys/fs/selinux/avc/cache_stats,您可以使用 -f /path/to/file 选项指定不同的缓存文件。 
~]# avcstat 
   lookups       hits     misses     allocs   reclaims      frees
  47517410   47504630      12780      12780      12176      12275

seinfo

此实用程序可用于描述策略细分,如类、类型、布尔值、允许规则等。seinfo 是使用 policy.conf 文件、二进制策略文件、模块化策略软件包或策略列表文件作为输入的命令行实用程序。您必须安装了 setools-console 软件包才能使用 seinfo 工具。
seinfo 的输出因二进制文件和源文件而异。例如,策略源文件使用 { } 括号将多个规则元素分组到一行中。个属性也会产生类似的效果,其中单个属性可扩展到一个或多个类型。由于这些已扩展且在二进制策略文件中不再相关,因此搜索结果中的返回值为零。但是,规则数量会显著增加,因为每个之前使用方括号的行规则现在是多个单独的行。
某些项目不存在于二进制策略中。例如,不会在编译策略时检查允许规则,而不是在运行时检查,初始安全标识符(SID)也不是二进制策略的一部分,因为它们是在内核在启动期间加载策略前必需的。 
~]# seinfo

Statistics for policy file: /sys/fs/selinux/policy
Policy Version & Type: v.28 (binary, mls)

   Classes:            77    Permissions:       229
   Sensitivities:       1    Categories:       1024
   Types:            3001    Attributes:        244
   Users:               9    Roles:              13
   Booleans:          158    Cond. Expr.:       193
   Allow:          262796    Neverallow:          0
   Auditallow:         44    Dontaudit:      156710
   Type_trans:      10760    Type_change:        38
   Type_member:        44    Role allow:         20
   Role_trans:        237    Range_trans:      2546
   Constraints:        62    Validatetrans:       0
   Initial SIDs:       27    Fs_use:             22
   Genfscon:           82    Portcon:           373
   Netifcon:            0    Nodecon:             0
   Permissives:        22    Polcap:              2
seinfo 工具也可以列出带有 domain 属性的类型数量,从而估算不同受限制的进程数量: 
~]# seinfo -adomain -x | wc -l
550
并非所有域类型都被限制。要查看未限制的域数量,请使用 unconfined_domain 属性: 
~]# seinfo -aunconfined_domain_type -x | wc -l
52
可以使用 --permissive 选项计算 permissive 域: 
~]# seinfo --permissive -x | wc -l
31
在以上命令中删除额外的 | wc -l 命令以查看完整列表。

sesearch

您可以使用 sesearch 工具来搜索策略中的特定规则。可以搜索策略源文件或二进制文件。例如: 
~]$ sesearch --role_allow -t httpd_sys_content_t
Found 20 role allow rules:
   allow system_r sysadm_r;
   allow sysadm_r system_r;
   allow sysadm_r staff_r;
   allow sysadm_r user_r;
   allow system_r git_shell_r;
   allow system_r guest_r;
   allow logadm_r system_r;
   allow system_r logadm_r;
   allow system_r nx_server_r;
   allow system_r staff_r;
   allow staff_r logadm_r;
   allow staff_r sysadm_r;
   allow staff_r unconfined_r;
   allow staff_r webadm_r;
   allow unconfined_r system_r;
   allow system_r unconfined_r;
   allow system_r user_r;
   allow webadm_r system_r;
   allow system_r webadm_r;
   allow system_r xguest_r;
sesearch 工具可以提供 允许规则 的数量: 
~]# sesearch --allow | wc -l
262798
dontaudit 规则 的数量: 
~]# sesearch --dontaudit | wc -l
156712
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.