Главная > Управление пакетами и системой > sestatus

sestatus: Проверка статуса SELinux

Команда sestatus используется для проверки текущего состояния SELinux (Security-Enhanced Linux) и информации о политиках. Она позволяет быстро получить важную информацию, связанную с безопасностью, такую как статус включения SELinux, текущий режим работы (enforcing, permissive, disabled), пути к загруженным файлам политик и версию политик.

Обзор

sestatus является незаменимым инструментом для диагностики настроек и текущего состояния SELinux в системе. Эта команда предоставляет начальную информацию, необходимую для понимания того, как SELinux способствует безопасности системы, и для решения потенциальных проблем с контролем доступа.

Ключевая информация для проверки

При выполнении команды sestatus вы можете получить следующую ключевую информацию:

  • Статус включения SELinux (enabled/disabled)
  • Текущий режим SELinux (enforcing/permissive/disabled)
  • Пути к загруженным файлам политик
  • Тип и версия политик
  • Время загрузки политик

Основные опции

Команда sestatus предлагает относительно небольшое количество опций, но они полезны для получения подробной информации.

Отображение информации

Сгенерированная команда:

Комбинируйте команды.

Описание:

`sestatus` Запускает команду.

Комбинируйте эти опции, чтобы виртуально выполнять команды с помощью ИИ.

Примеры использования

Демонстрирует различные способы проверки состояния SELinux с помощью команды sestatus.

Проверка основного статуса SELinux

sestatus

Выводит основную информацию, включая текущий статус включения и режим SELinux.

Проверка подробной информации SELinux

sestatus -v

Выводит всю подробную информацию о SELinux, включая пути к файлам политик, тип политик и время загрузки политик.

Установка

Команда sestatus обычно предустановлена в большинстве дистрибутивов Linux с поддержкой SELinux, но в некоторых минимальных установках может потребоваться установка дополнительных пакетов. Обычно она является частью пакетов `policycoreutils` или `libselinux-utils`.

Системы на базе Debian/Ubuntu

sudo apt update && sudo apt install selinux-utils

Устанавливает пакет `selinux-utils`, который включает команду `sestatus`, в системах на базе Debian или Ubuntu.

Системы на базе RHEL/CentOS/Fedora

sudo dnf install policycoreutils

Устанавливает пакет `policycoreutils`, который включает команду `sestatus`, в системах на базе RHEL, CentOS или Fedora.

Советы и примечания

Советы, которые помогут вам понять и управлять политиками SELinux на основе информации, полученной с помощью команды sestatus.

Интерпретация вывода

Описание двух наиболее важных элементов вывода sestatus.

  • SELinux status: `enabled` означает, что SELinux включен, а `disabled` означает, что он отключен. В состоянии `disabled` SELinux полностью неактивен.
  • Current mode: `enforcing` принудительно применяет политики SELinux, блокируя и регистрируя все нарушения. `permissive` только регистрирует предупреждения о нарушениях политик, но не блокирует их. `disabled` означает, что SELinux неактивен.

Проверка логов

Если SELinux вызывает проблемы в режиме `enforcing`, вы можете проверить сообщения об отказах (denials), связанных с SELinux, в файле `/var/log/audit/audit.log` или с помощью команды `journalctl -t audit`. Эти логи предоставляют важные сведения о том, какой процесс пытался получить доступ к каким ресурсам при нарушении политики.

Те же команды в категории

acl

ACL: Управление списками контроля доступа

anacron

anacron: Запуск периодических задач после перезагрузки системы

ansible

ansible: удаленное управление серверами и автоматизация

apropos

apropos: Поиск страниц руководства

apt

Руководство по командам APT (Advanced Package Tool)