Вы можете получить список типов, выполнив команду seinfo -т.
Но обратите внимание, что не все типы являются объектными типами, некоторые считаются доменными типами.
Обычно более хирургическая команда Sesearch который может предложить вам больше объяснений того, что вы хотите. Например, вы можете узнать все разрешенные файлы, которые httpd_t может получить доступ с помощью Sesearch.
$ поиск -s httpd_t -c файл -A
allow daemon cluster_conf_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]: Истина
разрешить демону cluster_conf_t:file {getattr ioctl lock open read }; [ daemons_enable_cluster_mode ]: Ложь
...
...
разрешить nsswitch_domain var_yp_t:file {getattr ioctl lock open read }; [ nis_enabled ]: Истина
разрешить nsswitch_domain virt_var_lib_t:file {getattr ioctl lock open read };
Или, возможно, вас интересуют только файлы httpd_t можно написать..
$ sesearch -s httpd_t -c файл -A -p запись
allow daemon cluster_conf_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]: Истина
разрешить демону cluster_tmp_t:file {append getattr ioctl lock read write }; [ daemons_enable_cluster_mode ]: Истина
allow daemon cluster_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]: Истина
allow daemon cluster_var_run_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ daemons_enable_cluster_mode ]: Истина
...
...
разрешить httpd_t zarafa_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write };
разрешить httpd_t zoneminder_rw_content_t:file { добавить создать блокировку ссылки getattr ioctl открыть чтение переименовать setattr отменить связь запись }; [ httpd_builtin_scripting ]:правда
разрешить httpd_t zoneminder_var_lib_t:file { append create getattr ioctl link lock open read rename setattr unlink write };
В качестве альтернативы, возможно, вы хотите знать, какие типы могут записывать в определенные файлы, такие как httpd_log_t.
$ sesearch -t httpd_log_t -c файл -p запись -A
разрешить abrt_dump_oops_t non_security_file_type:file { добавить создать карту блокировки ссылок getattr ioctl открыть чтение переименовать setattr отменить связь запись };
...
...
разрешить systemd_tmpfiles_t non_auth_file_type:file { добавить создать getattr ioctl link lock открыть чтение relabelfrom relabelto переименовать setattr unlink write };
разрешить webadm_t httpd_log_t:file { добавить создать getattr ioctl link lock открыть прочитать relabelfrom relabelto переименовать setattr unlink write };
Кроме того, если вы хотите узнать, какие существуют классы объектов и какие разрешения для них доступны, список можно получить с помощью seinfo -xc.
Все это в сочетании позволяет вам создавать собственные правила поиска, чтобы просматривать политику и видеть, что разрешено.
