sestatus : Vérifier l'état de SELinux

Aperçu

sestatus est un outil essentiel pour diagnostiquer la configuration et l'état actuel de SELinux sur un système. Cette commande vous permet d'obtenir des informations initiales sur la manière dont SELinux contribue à la sécurité du système et de résoudre les problèmes potentiels de contrôle d'accès.

Informations clés à vérifier

L'exécution de la commande sestatus vous permet de vérifier les informations essentielles suivantes :

État d'activation de SELinux (enabled/disabled)
Mode SELinux actuel (enforcing/permissive/disabled)
Chemin des fichiers de politique chargés
Type et version de la politique
Heure de chargement de la politique

Options principales

La commande sestatus offre un nombre relativement limité d'options, mais elles sont utiles pour obtenir des informations détaillées.

Affichage des informations

Commande générée :

Essayez de combiner les commandes.

Description:

`sestatus` Exécute la commande.

Essayez d'exécuter virtuellement les commandes avec l'IA en combinant les options ci-dessus.

Exemples d'utilisation

Montre diverses façons d'utiliser la commande sestatus pour vérifier l'état de SELinux.

Vérification de l'état SELinux de base

sestatus

Affiche les informations de base, y compris l'état d'activation et le mode actuels de SELinux.

Vérification des informations détaillées de SELinux

sestatus -v

Affiche toutes les informations détaillées sur SELinux, y compris le chemin des fichiers de politique, le type de politique et l'heure de chargement de la politique.

Installation

La commande sestatus est généralement incluse par défaut dans la plupart des distributions Linux utilisant SELinux, mais une installation de paquet supplémentaire peut être nécessaire dans certains environnements d'installation minimale. Elle fait généralement partie des paquets `policycoreutils` ou `libselinux-utils`.

Systèmes basés sur Debian/Ubuntu

sudo apt update && sudo apt install selinux-utils

Installe le paquet `selinux-utils` qui inclut la commande `sestatus` sur les systèmes basés sur Debian ou Ubuntu.

Systèmes basés sur RHEL/CentOS/Fedora

sudo dnf install policycoreutils

Installe le paquet `policycoreutils` qui inclut la commande `sestatus` sur les systèmes basés sur RHEL, CentOS et Fedora.

Conseils et précautions

Conseils pour vous aider à comprendre et à gérer les politiques SELinux en vous basant sur les informations obtenues avec la commande sestatus.

Interprétation de la sortie

Explication des deux éléments les plus importants dans la sortie de sestatus.

SELinux status: `enabled` signifie que SELinux est activé, et `disabled` signifie qu'il est désactivé. En mode `disabled`, SELinux ne fonctionne pas du tout.
Current mode: `enforcing` applique les politiques SELinux, bloquant et enregistrant toutes les violations. `permissive` enregistre uniquement les avertissements en cas de violation de politique sans les bloquer. `disabled` signifie que SELinux n'est pas actif.

Vérification des journaux

Si SELinux cause des problèmes en mode `enforcing`, vous pouvez vérifier les messages de refus (denial) liés à SELinux dans le fichier `/var/log/audit/audit.log` ou via la commande `journalctl -t audit` pour identifier la cause du problème. Ces journaux fournissent des indices importants sur quel processus a tenté d'accéder à quelle ressource lorsqu'une violation de politique s'est produite.