Linux sestatus 命令
sestatus 是 Linux 系统中用来查看 SELinux(Security-Enhanced Linux)当前运行状态的命令行工具。SELinux 是由美国国家安全局开发的一种安全机制,通过强制访问控制(MAC)为系统提供更高级别的安全性。
命令语法
sestatus [参数]
常见参数
| 参数 | 描述 |
|---|---|
| `-v` | 显示详细信息,包括进程和文件的上下文内容 |
| `-b` | 列出当前加载的策略布尔值(规则开关) |
输出内容解析
运行 sestatus 后,通常会看到如下信息:
示例
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
核心字段解释
-
SELinux status
-
enabled:表示 SELinux 已启用 -
disabled:表示 SELinux 已关闭
-
-
Current mode
-
enforcing:正在执行安全策略,阻止非法操作 -
permissive:仅记录问题,不进行阻止 -
disabled:完全未启用 SELinux
-
-
Loaded policy name
-
targeted:默认策略,保护特定服务 -
mls:多级安全策略,更加严格 -
minimum:最简策略配置
-
常用示例
示例1:查看 SELinux 基础状态
$ sestatus
该命令可快速判断 SELinux 是否启用及其工作模式。
示例2:显示详细的上下文信息
$ sestatus -v
将显示有关进程和文件的上下文信息,例如:
示例
Process contexts:
Current context: unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Init context: system_u:system_r:init_t:s0
...
File contexts:
Controlling terminal: unconfined_u:object_r:user_devpts_t:s0
...
示例3:查看策略布尔值状态
$ sestatus -b
输出类似以下内容:
示例
Policy booleans:
abrt_anon_write off
abrt_handle_event off
...
httpd_can_network_connect off
...
常见问题处理
问题1:SELinux 阻止了正常操作
处理方法:
- 检查日志确认是否是 SELinux 导致的问题:
grep "avc:" /var/log/audit/audit.log
- 可临时切换到 permissive 模式测试:
sudo setenforce 0
- 更长期的解决方案是调整 SELinux 策略或修改文件的安全上下文
问题2:sestatus 显示 SELinux 处于禁用状态
可能原因:
- 系统启动时禁用了 SELinux
-
/etc/selinux/config文件设置了SELINUX=disabled
解决办法:
- 编辑
/etc/selinux/config - 将
SELINUX=enforcing或SELINUX=permissive - 重启服务器生效
推荐做法
-
生产环境建议
- 推荐保持在
enforcing模式以获得最佳安全性 - 不要轻易禁用 SELinux,而是应学会如何合理配置它
- 推荐保持在
-
故障诊断流程
- 首先使用
sestatus查看状态 - 分析
/var/log/audit/audit.log获取拒绝记录 - 利用
audit2allow创建自定义策略模块
- 首先使用
-
策略调整顺序
- 优先使用
setsebool调整策略开关 - 其次考虑使用
chcon修改文件上下文 - 最后才创建自定义策略模块
- 优先使用
总结
sestatus 是了解 SELinux 状态的第一步,通过它可以快速掌握系统的安全设置。熟练使用该命令有助于系统管理员维护 Linux 的安全性,并在权限异常时迅速定位问题根源。
