sestatus znamená stav SELinux.
Tento příkaz se používá k zobrazení aktuálního stavu SELinuxu, který běží na vašem systému.
Tento tutoriál vysvětluje následující:
- Výstup příkazu sestatus s podrobnostmi
- Zobrazit kontext zabezpečení vybraných objektů v sestavu
- Zobrazit booleovské hodnoty v sestavu
1. Vysvětlení výstupu příkazu sestatus
příkaz sestatus zobrazí, zda je SELinux povolen nebo zakázán. Zobrazí se také další informace o některých nastaveních SELinuxu, která jsou vysvětlena zde.
Následuje příkaz sestatus v systému CentOS 7. Na starší verzi CentOS / RedHat bude tento výstup mírně odlišný.
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28
Poznámka:Ve výše uvedeném výstupu je „aktuální režim“ nejdůležitější řádek, kterému byste měli věnovat pozornost, což je vysvětleno níže.
Stav SELinux: To ukazuje, zda je ve vašem systému povolen nebo zakázán samotný modul SELinux. Mějte na paměti, že i když to může být povoleno, SELinux stále nemusí být technicky povolený (vynucený), což je skutečně indikováno řádkem „aktuální režim“ vysvětleným níže.
Připojení SELinuxfs: Toto je bod připojení dočasného souborového systému SELinux. Toto je interně používáno SELinuxem. To je to, co uděláte, když se pokusíte provést ls na tomto souborovém systému SELinux. Pro naše praktické účely nemůžeme v tomto adresáři s ničím manipulovat, protože je interně spravován SELinuxem.
# ls -l /sys/fs/selinux total 0 -rw-rw-rw-. 1 root root 0 Jun 4 22:16 access dr-xr-xr-x. 2 root root 0 Jun 4 22:16 avc dr-xr-xr-x. 2 root root 0 Jun 4 22:16 booleans -rw-r--r--. 1 root root 0 Jun 4 22:16 checkreqprot .. .. -r--r--r--. 1 root root 0 Jun 4 22:16 policy -rw-rw-rw-. 1 root root 0 Jun 4 22:16 relabel -r--r--r--. 1 root root 0 Jun 4 22:16 status -rw-rw-rw-. 1 root root 0 Jun 4 22:16 user
Kořenový adresář SELinux: Zde jsou umístěny všechny konfigurační soubory SELinux. Ve výchozím nastavení uvidíte následující soubory a adresáře. Tento adresář obsahuje všechny konfigurační soubory potřebné pro provoz SELinuxu. Tyto soubory můžete upravit.
# ls -l /etc/selinux total 8 -rw-r--r--. 1 root root 546 May 1 19:08 config drwx------. 2 root root 6 May 1 19:09 final -rw-r--r--. 1 root root 2321 Jan 17 18:33 semanage.conf drwxr-xr-x. 7 root root 215 May 1 19:09 targeted drwxr-xr-x. 2 root root 6 Jan 17 18:33 tmp
Načtený název zásady: To bude indikovat, jaký typ zásad SELinux je aktuálně načten. Téměř ve všech běžných situacích uvidíte jako zásadu SELinux „cílené“, protože to je výchozí zásada. Následující jsou možné dostupné zásady SELinux:
- cílené – To znamená, že SELinuxem jsou chráněny pouze cílené procesy
- minimální – Toto je mírná úprava cílené politiky. V tomto případě je chráněno pouze několik vybraných procesů.
- mls – Toto je pro ochranu víceúrovňového zabezpečení. MLS je poměrně složitý a ve většině situací se téměř nepoužívá.
Aktuální režim: To ukazuje, zda SELinux aktuálně vynucuje zásady nebo ne. Jinými slovy, technicky vám to řekne, zda je SELinux aktuálně povolen a spuštěn na vašem systému, nebo ne.
Následující jsou možné režimy SELinux:
- vynucování – To znamená, že je vynucována bezpečnostní politika SELinux (tj. SELinux je povolen)
- permisivní – Označuje, že SELinux místo vynucování vypisuje varování. To je užitečné při ladění, když chcete vědět, co by SELinux potenciálně zablokoval (aniž by to ve skutečnosti blokoval), když se podíváte na protokoly SELinux.
- deaktivováno – Nejsou načteny žádné zásady SELinux.
Pro naše praktické účely se vynucování rovná povoleno. permisivní a zakázaný se rovná zakázaný.
Zásady Stav MLS udává aktuální stav zásad MLS. Ve výchozím nastavení bude tato možnost povolena.
Zásady deny_unknown status udává aktuální stav příznaku deny_unknown v našich zásadách. Ve výchozím nastavení to bude povoleno.
Max verze zásad jádra označuje aktuální verzi zásad SELinux, která je v nás. V tomto příkladu se jedná o verzi 28.
Následuje výstup stavu na CentOS a RedHat 6.
# sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 24 Policy from config file: targeted
Pokud chcete deaktivovat SELinux na vašem systému, můžete použít jednu z těchto metod:4 efektivní metody dočasného nebo trvalého deaktivace SELinux
2. Zobrazit kontext zabezpečení vybraných objektů v sestatus
Pomocí volby -v spolu s běžným stavem selinux můžete také zobrazit kontext SELinux pro vybrané soubory a procesy.
Následující je výchozí výstup volby sestatus -v:
# sestatus -v SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28 Process contexts: Current context: unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 Init context: system_u:system_r:init_t:s0 /usr/sbin/sshd system_u:system_r:sshd_t:s0-s0:c0.c1023 File contexts: Controlling terminal: unconfined_u:object_r:user_devpts_t:s0 /etc/passwd system_u:object_r:passwd_file_t:s0 /etc/shadow system_u:object_r:shadow_t:s0 /bin/bash system_u:object_r:shell_exec_t:s0 /bin/login system_u:object_r:login_exec_t:s0 /bin/sh system_u:object_r:bin_t:s0 -> system_u:object_r:shell_exec_t:s0 /sbin/agetty system_u:object_r:getty_exec_t:s0 /sbin/init system_u:object_r:bin_t:s0 -> system_u:object_r:init_exec_t:s0 /usr/sbin/sshd system_u:object_r:sshd_exec_t:s0
Ve výše uvedeném výstupu:
- Sekce Kontexty procesů zobrazuje kontext SELinuxu několika vybraných procesů. Do tohoto seznamu můžete přidat svůj vlastní proces tak, že je přidáte do souboru /etc/sestatus.conf. Jak vidíte zde, zobrazuje kontext zabezpečení procesu sshd.
- Sekce Kontexty souborů zobrazuje kontext SELinuxu několika vybraných souborů. Do tohoto seznamu můžete přidat své vlastní soubory tak, že je přidáte do souboru /etc/sestatus.conf. Jak vidíte ve výše uvedeném výstupu, zobrazuje kontext zabezpečení hesla, stínu a několika dalších souborů.
- Pokud je soubor, který jste určili, symbolický odkaz, zobrazí se také kontext cílového souboru.
V této části se vždy zobrazí kontext zabezpečení aktuálního procesu, init procesu a ovládání kontext souboru terminálů.
Následuje výchozí nastavení souboru /etc/sestatus.conf. Přidejte své vlastní soubory do sekce [files] a přidejte svůj vlastní proces do sekce [process].
# cat /etc/sestatus.conf [files] /etc/passwd /etc/shadow /bin/bash /bin/login /bin/sh /sbin/agetty /sbin/init /sbin/mingetty /usr/sbin/sshd /lib/libc.so.6 /lib/ld-linux.so.2 /lib/ld.so.1 [process] /sbin/mingetty /sbin/agetty /usr/sbin/sshd
3. Zobrazit booleovské hodnoty v sestavu
Pomocí volby -b můžete zobrazit aktuální stav booleanů, jak je ukázáno níže.
Jak je ukázáno níže, kromě typického výstupu stavu se v sekci „Policy booleans:“ zobrazí aktuální booleovské hodnoty SELinuxu pro všechny parametry.
# sestatus -b | more SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28 Policy booleans: abrt_anon_write off abrt_handle_event off abrt_upload_watch_anon_write on antivirus_can_scan_system off antivirus_use_jit off auditadm_exec_content on authlogin_nsswitch_use_ldap off authlogin_radius off authlogin_yubikey off awstats_purge_apache_log_files off boinc_execmem on cdrecord_read_content off ... ... ... xend_run_blktap on xend_run_qemu on xguest_connect_network on xguest_exec_content on xguest_mount_media on xguest_use_bluetooth on xserver_clients_write_xshm off xserver_execmem off xserver_object_manager off zabbix_can_network off zarafa_setrlimit off zebra_write_config off zoneminder_anon_write off zoneminder_run_sudo off
Výše uvedený výstup obvykle ukazuje to, co byste viděli ve výstupu příkazu getebool. tj. Výše uvedený příkaz „sestatus -b“ je ekvivalentní spuštění následujících dvou příkazů:
sestatus getsebool -a