Comme le titre l'indique, comment puis-je afficher le contenu d'un paquet de politiques SELinux? Les fichiers résultants se terminent par .pp. Je cours sur centos 6, mais je suppose que c'est la même chose sur "toutes" les distributions.
Par exemple
cp /usr/share/selinux/targeted/cobbler.pp.bz2 ~
bunzip2 cobbler.pp.bz2
MAGIC_SELINUX_CMD cobbler.pp
Réponses:
Un module de politique SELinux est construit en suivant les étapes suivantes:
audit2allowcheckmodulesemodule_packagehttp://wiki.centos.org/HowTos/SELinux
En supposant que j'ai un postgreylocal.tefichier avec du contenu ci-dessous:
module postgreylocal 1.0;
require {
type postfix_smtpd_t;
type postfix_spool_t;
type initrc_t;
class sock_file write;
class unix_stream_socket connectto;
}
#============= postfix_smtpd_t ==============
allow postfix_smtpd_t initrc_t:unix_stream_socket connectto;
allow postfix_smtpd_t postfix_spool_t:sock_file write;
postgreylocal.pp le module de politique sera créé avec:
# checkmodule -M -m -o postgreylocal.mod postgreylocal.te
# semodule_package -m postgreylocal.mod -o postgreylocal.pp
Pour décompresser ce module de stratégie, vous avez besoin d'un outil appelé semodule_unpackage pour extraire le .modfichier, puis utiliser dismodpour désassembler le module binaire en représentation textuelle.
Sur mon Gentoo, les packages suivants doivent être installés:
[I] sys-apps/policycoreutils
Available versions: [M]2.0.82 [M](~)2.0.82-r1 [M](~)2.0.85 [M](~)2.1.0 {M}(~)2.1.0-r1
Installed versions: 2.1.0-r1(05:12:27 PM 10/14/2011)
Homepage: http://userspace.selinuxproject.org
Description: SELinux core utilities
[I] sys-apps/checkpolicy
Available versions: [M]2.0.21 [M](~)2.0.23 {M}(~)2.1.0 {debug}
Installed versions: 2.1.0(01:27:53 PM 10/14/2011)(-debug)
Homepage: http://userspace.selinuxproject.org
Description: SELinux policy compiler
[I] sys-libs/libsepol
Available versions: [M]2.0.41!t [M](~)2.0.42!t {M}(~)2.1.0!t
Installed versions: 2.1.0!t(01:25:43 PM 10/14/2011)
Homepage: http://userspace.selinuxproject.org
Description: SELinux binary policy representation library
Tout d'abord, extrayez le module du .ppfichier:
# semodule_unpackage postgreylocal.pp postgreylocal.mod
et deuxièmement, démonter avec dismod:
# cd checkpolicy-2.1.0/test/
# ls
dismod.c dispol.c Makefile
# make
cc -g -Wall -O2 -pipe -I/usr/include -c -o dispol.o dispol.c
dispol.c: In function ‘main’:
dispol.c:438:8: warning: ignoring return value of ‘fgets’, declared with attribute warn_unused_result
dispol.c:465:9: warning: ignoring return value of ‘fgets’, declared with attribute warn_unused_result
dispol.c:476:9: warning: ignoring return value of ‘fgets’, declared with attribute warn_unused_result
dispol.c:500:9: warning: ignoring return value of ‘fgets’, declared with attribute warn_unused_result
cc dispol.o -lfl -lsepol -lselinux /usr/lib/libsepol.a -L/usr/lib -o dispol
cc -g -Wall -O2 -pipe -I/usr/include -c -o dismod.o dismod.c
dismod.c: In function ‘main’:
dismod.c:913:8: warning: ignoring return value of ‘fgets’, declared with attribute warn_unused_result
dismod.c:982:9: warning: ignoring return value of ‘fgets’, declared with attribute warn_unused_result
dismod.c: In function ‘link_module’:
dismod.c:787:7: warning: ignoring return value of ‘fgets’, declared with attribute warn_unused_result
cc dismod.o -lfl -lsepol -lselinux /usr/lib/libsepol.a -L/usr/lib -o dismod
# ls
dismod dismod.c dismod.o dispol dispol.c dispol.o Makefile
./dismod postgreylocal.pp
Reading policy...
libsepol.policydb_index_others: security: 0 users, 1 roles, 3 types, 0 bools
libsepol.policydb_index_others: security: 0 sens, 0 cats
libsepol.policydb_index_others: security: 2 classes, 0 rules, 0 cond rules
libsepol.policydb_index_others: security: 0 users, 1 roles, 3 types, 0 bools
libsepol.policydb_index_others: security: 0 sens, 0 cats
libsepol.policydb_index_others: security: 2 classes, 0 rules, 0 cond rules
Binary policy module file loaded.
Module name: postgreylocal
Module version: 1.0
Select a command:
1) display unconditional AVTAB
2) display conditional AVTAB
3) display users
4) display bools
5) display roles
6) display types, attributes, and aliases
7) display role transitions
8) display role allows
9) Display policycon
0) Display initial SIDs
a) Display avrule requirements
b) Display avrule declarations
c) Display policy capabilities
l) Link in a module
u) Display the unknown handling setting
F) Display filename_trans rules
f) set output file
m) display menu
q) quit
Command ('m' for menu): 1
unconditional avtab:
--- begin avrule block ---
decl 1:
allow [postfix_smtpd_t] [initrc_t] : [unix_stream_socket] { connectto };
allow [postfix_smtpd_t] [postfix_spool_t] : [sock_file] { write };
Command ('m' for menu): a
avrule block requirements:
--- begin avrule block ---
decl 1:
commons: <empty>
classes: sock_file{ write } unix_stream_socket{ connectto }
roles : <empty>
types : postfix_smtpd_t postfix_spool_t initrc_t
users : <empty>
bools : <empty>
levels : <empty>
cats : <empty>
Command ('m' for menu):
dismodpeut être trouvé dans le code source SELinux
Avez-vous un problème comme wrong magic number for module package: expected 0xf97cff8f, got 0x39685a42?
Les fichiers .pp sont stockés en interne au format bzip2, vous devrez donc le faire bzip2 -cdk policyfile.pp > policyfile.pp.out
AVANT
semodule_unpackage policyfile.pp.out policyfile.mod.
bzip2: policy.30 is not a bzip2 file.
fileen témoignera. Même si le suffixe n'a pas changé ...
sedismod. Il est déjà disponible aveccheckpolicyetsemodule_unpackavec l'installation par défaut. Btw, viasemodule_unpackage foo.pp foo.mod foo.fcvous pouvez également extraire le fichier filecontexts.