sestatus 是一個在 Linux 系統上用于顯示 SELinux(Security-Enhanced Linux)狀態的工具。SELinux 是一個內核安全模塊,提供了強制訪問控制(MAC)機制,以保護系統免受潛在的攻擊。
sestatus 的輸出通常包括以下部分:
- SELinux status:顯示 SELinux 是否啟用以及其當前模式(例如,Enforcing、Permissive 或 Disabled)。
- Policy version:顯示當前 SELinux 策略的版本號。
- Policy loaded:顯示已加載的 SELinux 策略的序列號。
- Policy booted:顯示自系統啟動以來已應用的 SELinux 策略的序列號。
- Current mode:與“SELinux status”相同,顯示 SELinux 的當前模式。
- Mode of operation:顯示 SELinux 是以用戶空間模式(user space)還是內核空間模式(kernel space)運行。在用戶空間模式下,SELinux 不會影響系統調用和權限檢查;而在內核空間模式下,SELinux 會攔截并強制實施安全策略。
- Loaded policy name:顯示當前應用的 SELinux 策略的名稱。
- Policy cache ID:顯示 SELinux 策略緩存的 ID。
- Trustee mappings:顯示用戶和角色到用戶和角色的映射關系。
- Role mappings:顯示角色到角色的映射關系。
- Type enforcement:顯示 SELinux 是否啟用了類型強制(type enforcement)功能。
- Level of security:顯示 SELinux 的安全級別(例如,minimum、low、medium、high 或 maximum)。
- SELinux logs:提供 SELinux 相關的日志文件路徑,以便于排查問題。
- Enabled policy:顯示當前啟用的 SELinux 策略的路徑。
- Policy type:顯示 SELinux 策略的類型(例如,targeted、minimum、mls 或 custom)。
- Maximum policy load:顯示允許加載的最大 SELinux 策略大小(以字節為單位)。
- SELinux user and role mappings:提供用戶和角色到用戶和角色的映射關系。
- SELinux context:顯示當前文件或進程的 SELinux 上下文。
- SELinux file context:提供文件或目錄的 SELinux 上下文信息。
- SELinux process context:提供進程或線程的 SELinux 上下文信息。
通過分析 sestatus 的輸出,可以了解 SELinux 在系統上的配置、狀態和運行情況。如果需要進一步調整 SELinux 的設置或策略,可以使用 semanage、audit2allow 等工具。
