概述
sestatus 是诊断系统 SELinux 配置和当前状态的关键工具。通过此命令,你可以了解 SELinux 如何为系统安全做出贡献,并获得解决潜在访问控制问题的初步信息。
主要检查信息
执行 sestatus 命令可以查看以下核心信息:
- SELinux 启用状态 (enabled/disabled)
- 当前 SELinux 模式 (enforcing/permissive/disabled)
- 已加载的策略文件路径
- 策略类型和版本
- 策略加载时间
主要选项
sestatus 命令提供的选项相对较少,但对于查看详细信息很有用。
显示信息
生成的命令:
请尝试组合命令。
描述:
`sestatus` 执行命令。
通过组合这些选项,您可以与 AI 一起虚拟地执行命令。
使用示例
展示了使用 sestatus 命令检查 SELinux 状态的各种方法。
基本 SELinux 状态检查
sestatus输出包括 SELinux 当前启用状态和模式的基本信息。
SELinux 详细信息检查
sestatus -v输出 SELinux 的所有详细信息,包括策略文件路径、策略类型、策略加载时间等。
安装
sestatus 命令通常默认包含在大多数使用 SELinux 的 Linux 发行版中,但在某些最小安装环境中可能需要安装额外的软件包。它通常是 `policycoreutils` 或 `libselinux-utils` 软件包的一部分。
Debian/Ubuntu 基于的系统
sudo apt update && sudo apt install selinux-utils在 Debian 或 Ubuntu 基于的系统中安装包含 `sestatus` 命令的 `selinux-utils` 软件包。
RHEL/CentOS/Fedora 基于的系统
sudo dnf install policycoreutils在 RHEL、CentOS、Fedora 基于的系统中安装包含 `sestatus` 命令的 `policycoreutils` 软件包。
提示与注意事项
基于 sestatus 命令的输出信息,提供理解和管理 SELinux 策略的技巧。
输出解读
对 sestatus 输出中两个最重要项目的说明。
- SELinux status: `enabled` 表示 SELinux 已启用,`disabled` 表示已禁用。在 `disabled` 状态下,SELinux 完全不工作。
- Current mode: `enforcing` 模式会强制执行 SELinux 策略,阻止并记录所有违规行为。`permissive` 模式仅记录策略违规,但不阻止。`disabled` 模式表示 SELinux 未运行。
检查日志
如果 SELinux 在 `enforcing` 模式下引起问题,可以通过检查 `/var/log/audit/audit.log` 文件或使用 `journalctl -t audit` 命令来查找 SELinux 相关的拒绝(denial)消息,从而找出问题根源。这些日志在策略违规发生时,提供了关于哪个进程试图访问哪个资源的宝贵线索。