使用 Sestatus 命令來查看 SELinux 的當前狀態
sestatus命令用于查看系統上正在運行的SELinux的當前狀態。本文講述sestatus命令輸出詳細說明,在sestatus中顯示所選對象的安全上下文,顯示所有的布爾值
1. sestatus命令輸出說明
sestatus命令將顯示SELinux啟用狀態。還顯示有關SELinux的其他信息,在此進行說明。以下是CentOS 8系統上的sestatus命令:
- [root@localhost ~]# sestatus
- SELinux status: enabled
- SELinuxfs mount: /sys/fs/selinux
- SELinux root directory: /etc/selinux
- Loaded policy name: targeted
- Current mode: enforcing
- Mode from config file: enforcing
- Policy MLS status: enabled
- Policy deny_unknown status: allowed
- Memory protection checking: actual (secure)
- Max kernel policy version: 33
SELinux status:
表示系統上是否啟用SELinux模塊。
SELinuxfs mount:
這是SELinux臨時文件系統的掛載點。這是SELinux內部使用的。可以使用ls命令查看該目錄。
SELinux root directory:
這是所有SELinux配置文件所在的位置。該目錄包含SELinux所需的所有配置文件,我們可以修改這些文件。
Loaded policy name:
這表示當前加載的SELinux策略類型。默認情況下加載的策略類型為targeted。以下是可用的SELinux策略:
- targeted – 表示SELinux僅保護目標進程。
- minimum – 這是對targeted策略的稍微修改。在這種情況下,只有少數選定的進程受到保護。
- mls – 這是用于多級安全保護。MLS非常復雜,在大多數情況下幾乎不使用。
Current mode:
表示SELinux當前是否正在執行策略。有一下三種模式:
- enforcing - 表示已強制執行SELinux安全策略。
- permissive - 表示SELinux記錄警告信息而不是執行操作。
- disabled - 表示沒有加載SELinux策略。
對于我們的實際目的,enforcing等于啟用SELinux。Permissive和Disabled等于禁用SELinux。
Policy MLS status:
指示MLS策略的當前狀態。默認情況下將啟用。
Policy deny_unknown status:
指示我們策略中deny_unknown標志的當前狀態。默認情況下,它將設置為允許。
Max kernel policy version:
指示我們中包含的SELinux策略的當前版本。在此示例中,它是版本33。
2.在sestatus中顯示所選對象的安全上下文
使用選項-v可以顯示在/etc/sestatus.conf文件中列出的文件和進程的SELinux上下文。下面是sestatus -v選項的默認輸出:
在上面的輸出中:
Process contexts:
部分顯示一些選定進程的SELinux上下文。可以將自己的進程添加到/etc/sestatus.conf文件中。
File contexts:
部分顯示了一些選定文件的SELinux上下文。可以通過將自己的自定義文件添加到/etc/sestatus.conf文件中。另外,如果指定的文件是符號鏈接,還會顯示目標文件的上下文。
以下是/etc/sestatus.conf文件的默認設置。將自定義文件添加到[files]部分,將自定義的進程添加到[process]部分。
3.在sestatus中顯示布爾值
使用-b選項,可以顯示布爾值的當前狀態,如下所示在“ Policy booleans:”部分中顯示所有參數的當前SELinux布爾值。
- [root@localhost ~]# sestatus -b |less
上面的輸出,getsebool也可以顯示所有SELinux的布爾值。
- [root@localhost ~]# getsebool -a |less
本文轉載自微信公眾號「Linux就該這么學 」,可以通過以下二維碼關注。轉載本文請聯系Linux就該這么學公眾號。
