sestatus 是一个在 Linux 系统上用于显示 SELinux(Security-Enhanced Linux)状态的工具。SELinux 是一个内核安全模块,提供了强制访问控制(MAC)机制,以保护系统免受潜在的攻击。
sestatus 的输出通常包括以下部分:
- SELinux status:显示 SELinux 是否启用以及其当前模式(例如,Enforcing、Permissive 或 Disabled)。
- Policy version:显示当前 SELinux 策略的版本号。
- Policy loaded:显示已加载的 SELinux 策略的序列号。
- Policy booted:显示自系统启动以来已应用的 SELinux 策略的序列号。
- Current mode:与“SELinux status”相同,显示 SELinux 的当前模式。
- Mode of operation:显示 SELinux 是以用户空间模式(user space)还是内核空间模式(kernel space)运行。在用户空间模式下,SELinux 不会影响系统调用和权限检查;而在内核空间模式下,SELinux 会拦截并强制实施安全策略。
- Loaded policy name:显示当前应用的 SELinux 策略的名称。
- Policy cache ID:显示 SELinux 策略缓存的 ID。
- Trustee mappings:显示用户和角色到用户和角色的映射关系。
- Role mappings:显示角色到角色的映射关系。
- Type enforcement:显示 SELinux 是否启用了类型强制(type enforcement)功能。
- Level of security:显示 SELinux 的安全级别(例如,minimum、low、medium、high 或 maximum)。
- SELinux logs:提供 SELinux 相关的日志文件路径,以便于排查问题。
- Enabled policy:显示当前启用的 SELinux 策略的路径。
- Policy type:显示 SELinux 策略的类型(例如,targeted、minimum、mls 或 custom)。
- Maximum policy load:显示允许加载的最大 SELinux 策略大小(以字节为单位)。
- SELinux user and role mappings:提供用户和角色到用户和角色的映射关系。
- SELinux context:显示当前文件或进程的 SELinux 上下文。
- SELinux file context:提供文件或目录的 SELinux 上下文信息。
- SELinux process context:提供进程或线程的 SELinux 上下文信息。
通过分析 sestatus 的输出,可以了解 SELinux 在系统上的配置、状态和运行情况。如果需要进一步调整 SELinux 的设置或策略,可以使用 semanage、audit2allow 等工具。