概述
sestatus 是診斷系統 SELinux 設定和目前狀態的必備工具。透過此命令,您可以了解 SELinux 如何為系統安全做出貢獻,並獲得解決潛在存取控制問題的初步資訊。
主要檢查資訊
執行 sestatus 命令後,您可以檢查以下核心資訊:
- SELinux 啟用狀態 (enabled/disabled)
- 目前 SELinux 模式 (enforcing/permissive/disabled)
- 載入的策略檔案路徑
- 策略類型和版本
- 策略載入時間
主要選項
sestatus 命令提供的選項相對較少,但對於查看詳細資訊很有用。
顯示資訊
生成的命令:
請試著組合命令。
這個 Django 應用程序是一個技術指南文檔,旨在為用戶輕鬆解釋 Linux 的各種命令。
`sestatus` 執行命令。
請將上述選項組合在一起,與 AI 一同虛擬執行命令。
使用範例
展示如何使用 sestatus 命令檢查 SELinux 的狀態。
基本 SELinux 狀態檢查
sestatus輸出包含 SELinux 目前啟用狀態和模式的基本資訊。
SELinux 詳細資訊檢查
sestatus -v輸出 SELinux 的所有詳細資訊,包括策略檔案路徑、策略類型、策略載入時間等。
安裝
sestatus 命令預設包含在大多數使用 SELinux 的 Linux 發行版中,但在某些最小安裝環境中可能需要額外安裝套件。它通常是 `policycoreutils` 或 `libselinux-utils` 套件的一部分。
Debian/Ubuntu 系統
sudo apt update && sudo apt install selinux-utils在 Debian 或 Ubuntu 系統上安裝包含 `sestatus` 命令的 `selinux-utils` 套件。
RHEL/CentOS/Fedora 系統
sudo dnf install policycoreutils在 RHEL、CentOS、Fedora 系統上安裝包含 `sestatus` 命令的 `policycoreutils` 套件。
提示與注意事項
根據 sestatus 命令的輸出資訊,提供理解和管理 SELinux 策略的提示。
輸出解釋
對 sestatus 輸出中兩個最重要項目的解釋。
- SELinux status: `enabled` 表示 SELinux 已啟用,`disabled` 表示已停用。在 `disabled` 狀態下,SELinux 完全不工作。
- Current mode: `enforcing` 模式會強制執行 SELinux 策略,阻止並記錄所有違規行為。`permissive` 模式僅記錄策略違規,但不阻止。`disabled` 模式表示 SELinux 未運行。
檢查日誌
如果 SELinux 在 `enforcing` 模式下引起問題,您可以透過檢查 `/var/log/audit/audit.log` 檔案或使用 `journalctl -t audit` 命令來查看 SELinux 相關的拒絕 (denial) 訊息,以找出問題根源。這些日誌在發生策略違規時,提供了關於哪個程序試圖存取哪個資源的重要線索。