Inicio > Gestión de paquetes y sistema > sestatus

sestatus: Comprobar el estado de SELinux

El comando sestatus se utiliza para verificar el estado actual y la información de la política de SELinux (Security-Enhanced Linux). Permite obtener de un vistazo información importante relacionada con la seguridad, como si SELinux está habilitado, el modo de operación actual (enforcing, permissive, disabled), la ruta de los archivos de política cargados y la versión de la política.

Descripción general

sestatus es una herramienta esencial para diagnosticar la configuración y el estado actual de SELinux en un sistema. A través de este comando, se puede obtener información inicial sobre cómo SELinux contribuye a la seguridad del sistema y para resolver posibles problemas de control de acceso.

Información clave a verificar

Al ejecutar el comando sestatus, se puede verificar la siguiente información esencial:

  • Estado de habilitación de SELinux (enabled/disabled)
  • Modo actual de SELinux (enforcing/permissive/disabled)
  • Ruta de los archivos de política cargados
  • Tipo y versión de la política
  • Tiempo de carga de la política

Opciones principales

El comando sestatus ofrece un número relativamente pequeño de opciones, pero son útiles para verificar información detallada.

Mostrar información

Comando generado:

Combina los comandos.

Descripción:

`sestatus` Ejecutando el comando.

Combina las opciones anteriores para ejecutar virtualmente los comandos junto con la IA.

Ejemplos de uso

Muestra diversas formas de verificar el estado de SELinux utilizando el comando sestatus.

Verificar el estado básico de SELinux

sestatus

Muestra la información básica, incluido el estado de habilitación y el modo actual de SELinux.

Verificar información detallada de SELinux

sestatus -v

Muestra toda la información detallada de SELinux, como la ruta del archivo de política, el tipo de política y el tiempo de carga de la política.

Instalación

El comando sestatus está incluido por defecto en la mayoría de las distribuciones de Linux que utilizan SELinux, pero en algunos entornos de instalación mínima puede ser necesario instalar paquetes adicionales. Generalmente forma parte de los paquetes `policycoreutils` o `libselinux-utils`.

Sistemas basados en Debian/Ubuntu

sudo apt update && sudo apt install selinux-utils

Instala el paquete `selinux-utils`, que incluye el comando `sestatus`, en sistemas basados en Debian o Ubuntu.

Sistemas basados en RHEL/CentOS/Fedora

sudo dnf install policycoreutils

Instala el paquete `policycoreutils`, que incluye el comando `sestatus`, en sistemas basados en RHEL, CentOS y Fedora.

Consejos y precauciones

Consejos que ayudan a comprender y gestionar las políticas de SELinux basándose en la información obtenida a través del comando sestatus.

Interpretación de la salida

Explicación de los dos elementos más importantes en la salida de sestatus.

  • SELinux status: `enabled` significa que SELinux está habilitado, y `disabled` significa que está deshabilitado. En el estado `disabled`, SELinux no funciona en absoluto.
  • Current mode: `enforcing` aplica las políticas de SELinux, bloqueando y registrando todas las infracciones. `permissive` solo registra advertencias en caso de infracciones de política, pero no las bloquea. `disabled` es el estado en el que SELinux no está operativo.

Verificación de registros

Si SELinux causa problemas en modo `enforcing`, se pueden verificar los mensajes de denegación relacionados con SELinux en el archivo `/var/log/audit/audit.log` o mediante el comando `journalctl -t audit` para identificar la causa del problema. Estos registros proporcionan pistas importantes sobre qué proceso intentó acceder a qué recurso cuando ocurrió la infracción de política.

Comandos de la misma categoría

acl

ACL: Gestión de Listas de Control de Acceso

anacron

anacron: Ejecución de tareas periódicas después del arranque del sistema

ansible

ansible: Gestión y automatización remota de servidores

apropos

apropos: Búsqueda de páginas de manual

apt

Guía de Comandos APT (Advanced Package Tool)