概要
sestatusは、システムのSELinux設定と現在の状態を診断するために不可欠なツールです。このコマンドを通じて、SELinuxがシステムセキュリティにどのように貢献しているか、そして潜在的なアクセス制御の問題を解決するための初期情報を得ることができます。
主な確認情報
sestatusコマンドを実行すると、以下の重要な情報を確認できます。
- SELinuxの有効/無効(enabled/disabled)
- 現在のSELinuxモード(enforcing/permissive/disabled)
- ロードされたポリシーファイルのパス
- ポリシーのタイプとバージョン
- ポリシーのロード時間
主なオプション
sestatusコマンドは比較的少ないオプションを提供しますが、詳細情報を確認するのに役立ちます。
情報表示
生成されたコマンド:
コマンドを組み合わせてみてください。
説明:
`sestatus` コマンドを実行します。
これらのオプションを組み合わせて、AIと一緒に仮想的にコマンドを実行してみてください。
使用例
sestatusコマンドを活用して、SELinuxの状態を確認する様々な方法を示します。
基本的なSELinux状態の確認
sestatusSELinuxの現在の有効状態とモードを含む基本的な情報を出力します。
SELinuxの詳細情報の確認
sestatus -vポリシーファイルのパス、ポリシーのタイプ、ポリシーのロード時間など、SELinuxに関するすべての詳細情報を出力します。
インストール
sestatusコマンドは、ほとんどのSELinuxを使用するLinuxディストリビューションにデフォルトで含まれていますが、一部の最小インストール環境では追加パッケージのインストールが必要な場合があります。主に `policycoreutils` または `libselinux-utils` パッケージの一部です。
Debian/Ubuntuベースのシステム
sudo apt update && sudo apt install selinux-utilsDebianまたはUbuntuベースのシステムで、`sestatus`コマンドを含む `selinux-utils` パッケージをインストールします。
RHEL/CentOS/Fedoraベースのシステム
sudo dnf install policycoreutilsRHEL、CentOS、Fedoraベースのシステムで、`sestatus`コマンドを含む `policycoreutils` パッケージをインストールします。
ヒントと注意点
sestatusコマンドから得られた情報に基づいて、SELinuxポリシーを理解し管理するのに役立つヒントです。
出力の解釈
sestatusの出力で最も重要な2つの項目についての説明です。
- SELinux status: `enabled`はSELinuxが有効であることを、`disabled`は無効であることを意味します。`disabled`状態では、SELinuxは全く機能しません。
- Current mode: `enforcing`はSELinuxポリシーを強制適用し、すべての違反をブロックして記録します。`permissive`はポリシー違反時に警告のみを記録し、ブロックしません。`disabled`はSELinuxが機能していない状態です。
ログの確認
SELinuxが`enforcing`モードで問題を引き起こす場合、`/var/log/audit/audit.log`ファイルまたは`journalctl -t audit`コマンドを使用して、SELinux関連の拒否(denial)メッセージを確認し、問題の原因を特定できます。これらのログは、ポリシー違反が発生した際に、どのプロセスがどのリソースにアクセスしようとしたかについての重要な手がかりを提供します。