使用sestatus命令來檢視SELinux的當前狀態

sestatus 用於檢視系統上正在執行的SE 的當前狀態。本文講述sestatus 輸出詳細說明，在sestatus中顯示所選物件的安全上下文，顯示所有的布林值

sestatus命令將顯示SELinux啟用狀態。還顯示有關SELinux的其他資訊，在此進行說明。以下是  8系統上的sestatus命令：

[root@localhost ~]# sestatus 
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

SELinux status：表示系統上是否啟用SELinux模組。

SELinuxfs mount：這是SELinux臨時檔案系統的掛載點。這是SELinux內部使用的。可以使用ls命令檢視該目錄。

SELinux root directory：這是所有SELinux配置檔案所在的位置。該目錄包含SELinux所需的所有配置檔案，我們可以修改這些檔案。

Loaded policy name：這表示當前載入的SELinux策略型別。預設情況下載入的策略型別為 targeted。以下是可用的SELinux策略：

• targeted – 表示SELinux僅保護目標程式。
• minimum – 這是對targeted策略的稍微修改。在這種情況下，只有少數選定的程式受到保護。
• mls – 這是用於多級安全保護。MLS非常複雜，在大多數情況下幾乎不使用。

Current mode：表示SELinux當前是否正在執行策略。有一下三種模式：

• enforcing - 表示已強制執行SELinux安全策略。
• permissive - 表示SELinux記錄警告資訊而不是執行操作。
• disabled - 表示沒有載入SELinux策略。

對於我們的實際目的，enforcing等於啟用SELinux。Permissive和Disabled等於禁用SELinux。

Policy MLS status: 指示MLS策略的當前狀態。預設情況下將啟用。

Policy deny_unknown status: 指示我們策略中deny_unknown標誌的當前狀態。預設情況下，它將設定為允許。

Max kernel policy version: 指示我們中包含的SELinux策略的當前版本。在此示例中，它是版本33。

使用選項 -v可以顯示在 /etc/sestatus.conf檔案中列出的檔案和程式的SELinux上下文。下面是sestatus -v選項的預設輸出：

在上面的輸出中： Process contexts: 部分顯示一些選定程式的SELinux上下文。可以將自己的程式新增到 /etc/sestatus.conf檔案中。

File contexts: 部分顯示了一些選定檔案的SELinux上下文。可以透過將自己的自定義檔案新增到/etc/sestatus.conf檔案中。另外，如果指定的檔案是符號連結，還會顯示目標檔案的上下文。

以下是 /etc/sestatus.conf檔案的預設設定。將自定義檔案新增到 [files]部分，將自定義的程式新增到 [process]部分。

使用 -b選項，可以顯示布林值的當前狀態，如下所示在“ Policy booleans：”部分中顯示所有引數的當前SELinux布林值。

[root@localhost ~]# sestatus -b |less

上面的輸出，getsebool也可以顯示所有SELinux的布林值。

[root@localhost ~]# getsebool -a |less

sestatus命令用於檢視系統上正在執行的SELinux的當前狀態。