sestatus 是 Linux 系统中用来查看 SELinux(Security-Enhanced Linux)当前运行状态的命令行工具。SELinux 是由美国国家安全局开发的一种安全机制,通过强制访问控制(MAC)为系统提供更高级别的安全性。
<code>sestatus [参数]</code>
| 参数 | 描述 |
|---|---|
| `-v` | 显示详细信息,包括进程和文件的上下文内容 |
| `-b` | 列出当前加载的策略布尔值(规则开关) |
运行 sestatus 后,通常会看到如下信息:
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
SELinux status
enabled:表示 SELinux 已启用disabled:表示 SELinux 已关闭Current mode
enforcing:正在执行安全策略,阻止非法操作permissive:仅记录问题,不进行阻止disabled:完全未启用 SELinuxLoaded policy name
targeted:默认策略,保护特定服务mls:多级安全策略,更加严格minimum:最简策略配置<code>$ sestatus</code>
该命令可快速判断 SELinux 是否启用及其工作模式。
<code>$ sestatus -v</code>
将显示有关进程和文件的上下文信息,例如:
Process contexts:
Current context: unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Init context: system_u:system_r:init_t:s0
...
File contexts:
Controlling terminal: unconfined_u:object_r:user_devpts_t:s0
...
<code>$ sestatus -b</code>
输出类似以下内容:
Policy booleans:
abrt_anon_write off
abrt_handle_event off
...
httpd_can_network_connect off
...
处理方法:
<code>grep "avc:" /var/log/audit/audit.log</code>
<code>sudo setenforce 0</code>
可能原因:
/etc/selinux/config 文件设置了 SELINUX=disabled
解决办法:
/etc/selinux/config
SELINUX=enforcing 或 SELINUX=permissive
生产环境建议
enforcing 模式以获得最佳安全性故障诊断流程
sestatus 查看状态/var/log/audit/audit.log 获取拒绝记录audit2allow 创建自定义策略模块策略调整顺序
setsebool 调整策略开关chcon 修改文件上下文sestatus 是了解 SELinux 状态的第一步,通过它可以快速掌握系统的安全设置。熟练使用该命令有助于系统管理员维护 Linux 的安全性,并在权限异常时迅速定位问题根源。
以上就是linux查看SELinux状态是什么-sestatus 命令使用与实例的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
870
收藏
