Startpagina > Pakket- en systeembeheer > sestatus

sestatus: SELinux-status controleren

Het sestatus-commando wordt gebruikt om de huidige status en beleidsinformatie van SELinux (Security-Enhanced Linux) te controleren. Het biedt een snelle manier om belangrijke beveiligingsgerelateerde informatie te zien, zoals of SELinux is ingeschakeld, de huidige operationele modus (enforcing, permissive, disabled), het pad naar het geladen beleidsbestand en de beleidsversie.

Overzicht

sestatus is een essentieel hulpmiddel voor het diagnosticeren van de SELinux-configuratie en de huidige status van een systeem. Via dit commando kunt u begrijpen hoe SELinux bijdraagt aan de systeembescherming en initiële informatie verkrijgen om potentiële toegangscontroleproblemen op te lossen.

Belangrijke informatie om te controleren

Wanneer u het sestatus-commando uitvoert, kunt u de volgende kerninformatie controleren:

  • SELinux-status (enabled/disabled)
  • Huidige SELinux-modus (enforcing/permissive/disabled)
  • Pad naar het geladen beleidsbestand
  • Beleystype en -versie
  • Tijdstip van beleidslading

Belangrijke opties

Het sestatus-commando biedt relatief weinig opties, maar ze zijn nuttig voor het controleren van gedetailleerde informatie.

Informatie weergeven

Gegenereerde opdracht:

Probeer de opdrachtcombinaties.

Uitleg:

`sestatus` Voer het commando uit.

Combineer deze opties en voer de opdracht virtueel uit met de AI.

Gebruiksvoorbeelden

Dit toont verschillende manieren om de SELinux-status te controleren met behulp van het sestatus-commando.

Basis SELinux-status controleren

sestatus

Geeft basisinformatie weer, inclusief de huidige status en modus van SELinux.

Gedetailleerde SELinux-informatie controleren

sestatus -v

Geeft alle gedetailleerde informatie over SELinux weer, zoals het pad naar het beleidsbestand, het beleystype en de laadtijd van het beleid.

Installatie

Het sestatus-commando is standaard inbegrepen in de meeste Linux-distributies die SELinux gebruiken, maar in sommige minimale installaties kan het nodig zijn om extra pakketten te installeren. Het maakt meestal deel uit van de pakketten `policycoreutils` of `libselinux-utils`.

Debian/Ubuntu-gebaseerde systemen

sudo apt update && sudo apt install selinux-utils

Installeert het pakket `selinux-utils`, dat het `sestatus`-commando bevat, op Debian- of Ubuntu-gebaseerde systemen.

RHEL/CentOS/Fedora-gebaseerde systemen

sudo dnf install policycoreutils

Installeert het pakket `policycoreutils`, dat het `sestatus`-commando bevat, op RHEL-, CentOS- en Fedora-gebaseerde systemen.

Tips & Aandachtspunten

Tips om SELinux-beleid te begrijpen en te beheren op basis van de informatie verkregen via het sestatus-commando.

Interpretatie van de uitvoer

Uitleg van de twee belangrijkste items in de uitvoer van sestatus.

  • SELinux status: `enabled` betekent dat SELinux is ingeschakeld, en `disabled` betekent dat het is uitgeschakeld. In de `disabled`-status werkt SELinux helemaal niet.
  • Current mode: `enforcing` past SELinux-beleid toe en blokkeert en logt alle overtredingen. `permissive` logt alleen waarschuwingen bij beleidsovertredingen, maar blokkeert ze niet. `disabled` betekent dat SELinux niet actief is.

Logboeken controleren

Als SELinux problemen veroorzaakt in de `enforcing`-modus, kunt u de oorzaak van het probleem achterhalen door SELinux-gerelateerde weigeringsberichten (denials) te controleren in het bestand `/var/log/audit/audit.log` of via het commando `journalctl -t audit`. Deze logboeken bieden belangrijke aanwijzingen over welk proces probeerde toegang te krijgen tot welke bron toen een beleidsovertreding plaatsvond.

Hétzelfde categoriecommando

acl

ACL: Toegangscontrolelijstbeheer

anacron

anacron: periodieke taken uitvoeren na systeemopstart

ansible

ansible: Beheer en automatisering van servers op afstand

apropos

apropos: Handboekpagina's zoeken

apt

APT (Advanced Package Tool) Commandogids