| sestatus命令用於查看系統上正在運行的SELinux的當前狀態。本文講述sestatus命令輸出詳細說明,在sestatus中顯示所選對象的安全上下文,顯示所有的布爾值 |
sestatus命令將顯示SELinux啟用狀態。還顯示有關SELinux的其他信息,在此進行說明。以下是CentOS 8系統上的sestatus命令:
[root@localhost ~]# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33
SELinux status:表示系統上是否啟用SELinux模塊。
SELinuxfs mount:這是SELinux臨時文件系統的掛載點。這是SELinux內部使用的。可以使用ls命令查看該目錄。
SELinux root directory:這是所有SELinux配置文件所在的位置。該目錄包含SELinux所需的所有配置文件,我們可以修改這些文件。
Loaded policy name:這表示當前加載的SELinux策略類型。默認情況下加載的策略類型為targeted。以下是可用的SELinux策略:
- targeted – 表示SELinux僅保護目標進程。
- minimum – 這是對targeted策略的稍微修改。在這種情況下,只有少數選定的進程受到保護。
- mls – 這是用於多級安全保護。MLS非常復雜,在大多數情況下幾乎不使用。
Current mode:表示SELinux當前是否正在執行策略。有一下三種模式:
- enforcing - 表示已強制執行SELinux安全策略。
- permissive - 表示SELinux記錄警告信息而不是執行操作。
- disabled - 表示沒有加載SELinux策略。
對於我們的實際目的,enforcing等於啟用SELinux。Permissive和Disabled等於禁用SELinux。
Policy MLS status: 指示MLS策略的當前狀態。默認情況下將啟用。
Policy deny_unknown status: 指示我們策略中deny_unknown標志的當前狀態。默認情況下,它將設置為允許。
Max kernel policy version: 指示我們中包含的SELinux策略的當前版本。在此示例中,它是版本33。
使用選項-v可以顯示在/etc/sestatus.conf文件中列出的文件和進程的SELinux上下文。下面是sestatus -v選項的默認輸出:
在上面的輸出中:Process contexts: 部分顯示一些選定進程的SELinux上下文。可以將自己的進程添加到/etc/sestatus.conf文件中。
File contexts: 部分顯示了一些選定文件的SELinux上下文。可以通過將自己的自定義文件添加到/etc/sestatus.conf文件中。另外,如果指定的文件是符號鏈接,還會顯示目標文件的上下文。
以下是/etc/sestatus.conf文件的默認設置。將自定義文件添加到[files]部分,將自定義的進程添加到[process]部分。
使用-b選項,可以顯示布爾值的當前狀態,如下所示在“ Policy booleans:”部分中顯示所有參數的當前SELinux布爾值。
[root@localhost ~]# sestatus -b |less
上面的輸出,getsebool也可以顯示所有SELinux的布爾值。
[root@localhost ~]# getsebool -a |less
sestatus命令用於查看系統上正在運行的SELinux的當前狀態。
本文原創地址:https://www.linuxprobe.com/sestatus-selinux-status.html