共计 1762 个字符,预计需要花费 5 分钟才能阅读完成。
| 导读 | sestatus 命令用于查看系统上正在运行的 SELinux 的当前状态。本文讲述 sestatus 命令输出详细说明,在 sestatus 中显示所选对象的安全上下文,显示所有的布尔值 |
sestatus 命令将显示 SELinux 启用状态。还显示有关 SELinux 的其他信息,在此进行说明。以下是 CentOS 8 系统上的 sestatus 命令:
[root@localhost ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
SELinux status:表示系统上是否启用 SELinux 模块。
SELinuxfs mount:这是 SELinux 临时文件系统的挂载点。这是 SELinux 内部使用的。可以使用 ls 命令查看该目录。
SELinux root directory:这是所有 SELinux 配置文件所在的位置。该目录包含 SELinux 所需的所有配置文件,我们可以修改这些文件。
Loaded policy name:这表示当前加载的 SELinux 策略类型。默认情况下加载的策略类型为targeted。以下是可用的 SELinux 策略:
- targeted – 表示 SELinux 仅保护目标进程。
- minimum – 这是对 targeted 策略的稍微修改。在这种情况下,只有少数选定的进程受到保护。
- mls – 这是用于多级安全保护。MLS 非常复杂,在大多数情况下几乎不使用。
Current mode:表示 SELinux 当前是否正在执行策略。有一下三种模式:
- enforcing – 表示已强制执行 SELinux 安全策略。
- permissive – 表示 SELinux 记录警告信息而不是执行操作。
- disabled – 表示没有加载 SELinux 策略。
对于我们的实际目的,enforcing 等于启用 SELinux。Permissive 和 Disabled 等于禁用 SELinux。
Policy MLS status: 指示 MLS 策略的当前状态。默认情况下将启用。
Policy deny_unknown status: 指示我们策略中 deny_unknown 标志的当前状态。默认情况下,它将设置为允许。
Max kernel policy version: 指示我们中包含的 SELinux 策略的当前版本。在此示例中,它是版本 33。
使用选项 -v 可以显示在 /etc/sestatus.conf 文件中列出的文件和进程的 SELinux 上下文。下面是 sestatus - v 选项的默认输出:
在上面的输出中:Process contexts: 部分显示一些选定进程的 SELinux 上下文。可以将自己的进程添加到 /etc/sestatus.conf 文件中。
File contexts: 部分显示了一些选定文件的 SELinux 上下文。可以通过将自己的自定义文件添加到 /etc/sestatus.conf 文件中。另外,如果指定的文件是符号链接,还会显示目标文件的上下文。
以下是 /etc/sestatus.conf 文件的默认设置。将自定义文件添加到 [files] 部分,将自定义的进程添加到 [process] 部分。
使用 -b 选项,可以显示布尔值的当前状态,如下所示在“Policy booleans:”部分中显示所有参数的当前 SELinux 布尔值。
[root@localhost ~]# sestatus -b |less
上面的输出,getsebool 也可以显示所有 SELinux 的布尔值。
[root@localhost ~]# getsebool -a |less
sestatus 命令用于查看系统上正在运行的 SELinux 的当前状态。
