在Linux系统安全防护中,SELinux作为强制访问控制机制的核心组件,其策略状态的正确性直接影响系统安全边界。本文将通过sestatus命令快速检查SELinux策略状态,并结合实际场景演示调试技巧。
首先,使用sestatus命令查看当前SELinux运行状态:
# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 30
此输出显示当前策略为targeted模式,运行在enforcing状态。若要验证特定策略是否正确加载,可结合以下命令:
# getenforce
Enforcing
# ls -Z /
-rw-r--r--. root root system_u:object_r:admin_home_t:s0 /root/.bashrc
在调试过程中,若遇到策略不生效问题,可通过以下步骤排查:
- 检查策略是否正确加载:
sestatus -v - 查看当前策略规则:
sesearch -s httpd_t -t httpd_exec_t - 临时切换到permissive模式进行测试:
sudo setenforce 0
对于系统管理员而言,定期检查sestatus输出是维护SELinux安全配置的重要手段。建议将此命令纳入日常巡检脚本中,确保策略状态与安全要求一致。
在生产环境中,当需要快速确认SELinux策略是否正常加载时,sestatus命令提供了最直接的验证方式。通过对比Current mode和Mode from config file字段,可判断是否存在配置不一致的情况。
讨论