개요
sestatus는 시스템의 SELinux 설정 및 현재 상태를 진단하는 데 필수적인 도구입니다. 이 명령어를 통해 SELinux가 시스템 보안에 어떻게 기여하고 있는지, 그리고 잠재적인 접근 제어 문제를 해결하기 위한 초기 정보를 얻을 수 있습니다.
주요 확인 정보
sestatus 명령어를 실행하면 다음과 같은 핵심 정보를 확인할 수 있습니다.
- SELinux 활성화 여부 (enabled/disabled)
- 현재 SELinux 모드 (enforcing/permissive/disabled)
- 로드된 정책 파일의 경로
- 정책 유형 및 버전
- 정책 로드 시간
주요 옵션
sestatus 명령어는 비교적 적은 수의 옵션을 제공하지만, 상세 정보를 확인하는 데 유용합니다.
정보 표시
생성된 명령어:
명령어를 조합해 보세요.
설명:
`sestatus` 명령어를 실행합니다.
위 옵션들을 조합하여 AI와 함께 가상으로 명령어를 실행해 보세요.
사용 예시
sestatus 명령어를 활용하여 SELinux의 상태를 확인하는 다양한 방법을 보여줍니다.
기본 SELinux 상태 확인
sestatusSELinux의 현재 활성화 상태와 모드를 포함한 기본 정보를 출력합니다.
SELinux 상세 정보 확인
sestatus -v정책 파일 경로, 정책 유형, 정책 로드 시간 등 SELinux에 대한 모든 상세 정보를 출력합니다.
설치
sestatus 명령어는 대부분의 SELinux를 사용하는 리눅스 배포판에 기본적으로 포함되어 있지만, 일부 최소 설치 환경에서는 추가 패키지 설치가 필요할 수 있습니다. 주로 `policycoreutils` 또는 `libselinux-utils` 패키지의 일부입니다.
Debian/Ubuntu 기반 시스템
sudo apt update && sudo apt install selinux-utilsDebian 또는 Ubuntu 기반 시스템에서 `sestatus` 명령어를 포함하는 `selinux-utils` 패키지를 설치합니다.
RHEL/CentOS/Fedora 기반 시스템
sudo dnf install policycoreutilsRHEL, CentOS, Fedora 기반 시스템에서 `sestatus` 명령어를 포함하는 `policycoreutils` 패키지를 설치합니다.
팁 & 주의사항
sestatus 명령어를 통해 얻은 정보를 바탕으로 SELinux 정책을 이해하고 관리하는 데 도움이 되는 팁입니다.
출력 해석
sestatus 출력에서 가장 중요한 두 가지 항목에 대한 설명입니다.
- SELinux status: `enabled`는 SELinux가 활성화되었음을, `disabled`는 비활성화되었음을 의미합니다. `disabled` 상태에서는 SELinux가 전혀 작동하지 않습니다.
- Current mode: `enforcing`은 SELinux 정책을 강제 적용하여 모든 위반을 차단하고 기록합니다. `permissive`는 정책 위반 시 경고만 기록하고 차단하지는 않습니다. `disabled`는 SELinux가 작동하지 않는 상태입니다.
로그 확인
SELinux가 `enforcing` 모드에서 문제를 일으킬 경우, `/var/log/audit/audit.log` 파일 또는 `journalctl -t audit` 명령어를 통해 SELinux 관련 거부(denial) 메시지를 확인하여 문제의 원인을 파악할 수 있습니다. 이러한 로그는 정책 위반이 발생했을 때 어떤 프로세스가 어떤 리소스에 접근하려 했는지에 대한 중요한 단서를 제공합니다.