导读 | sestatus命令用于查看系统上正在运行的SELinux的当前状态。本文讲述sestatus命令输出详细说明,在sestatus中显示所选对象的安全上下文,显示所有的布尔值 |
1. sestatus命令输出说明
sestatus命令将显示SELinux启用状态。还显示有关SELinux的其他信息,在此进行说明。以下是CentOS 8系统上的sestatus命令:
[root@localhost ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
SELinux status:表示系统上是否启用SELinux模块。
SELinuxfs mount:这是SELinux临时文件系统的挂载点。这是SELinux内部使用的。可以使用ls命令查看该目录。
SELinux root directory:这是所有SELinux配置文件所在的位置。该目录包含SELinux所需的所有配置文件,我们可以修改这些文件。
Loaded policy name:这表示当前加载的SELinux策略类型。默认情况下加载的策略类型为targeted
。以下是可用的SELinux策略:
- targeted – 表示SELinux仅保护目标进程。
- minimum – 这是对targeted策略的稍微修改。在这种情况下,只有少数选定的进程受到保护。
- mls – 这是用于多级安全保护。MLS非常复杂,在大多数情况下几乎不使用。
Current mode:表示SELinux当前是否正在执行策略。有一下三种模式:
- enforcing - 表示已强制执行SELinux安全策略。
- permissive - 表示SELinux记录警告信息而不是执行操作。
- disabled - 表示没有加载SELinux策略。
对于我们的实际目的,enforcing等于启用SELinux。Permissive和Disabled等于禁用SELinux。
Policy MLS status: 指示MLS策略的当前状态。默认情况下将启用。
Policy deny_unknown status: 指示我们策略中deny_unknown标志的当前状态。默认情况下,它将设置为允许。
Max kernel policy version: 指示我们中包含的SELinux策略的当前版本。在此示例中,它是版本33。
2.在sestatus中显示所选对象的安全上下文
使用选项-v
可以显示在/etc/sestatus.conf
文件中列出的文件和进程的SELinux上下文。下面是sestatus -v选项的默认输出:
在上面的输出中:Process contexts: 部分显示一些选定进程的SELinux上下文。可以将自己的进程添加到/etc/sestatus.conf
文件中。
File contexts: 部分显示了一些选定文件的SELinux上下文。可以通过将自己的自定义文件添加到/etc/sestatus.conf文件中。另外,如果指定的文件是符号链接,还会显示目标文件的上下文。
以下是/etc/sestatus.conf
文件的默认设置。将自定义文件添加到[files]
部分,将自定义的进程添加到[process]
部分。
3.在sestatus中显示布尔值
使用-b
选项,可以显示布尔值的当前状态,如下所示在“ Policy booleans:”部分中显示所有参数的当前SELinux布尔值。
[root@localhost ~]# sestatus -b |less
上面的输出,getsebool也可以显示所有SELinux的布尔值。
[root@localhost ~]# getsebool -a |less
总结
sestatus命令用于查看系统上正在运行的SELinux的当前状态。Linux就该这么学