GNU/Linux >> Belajar Linux >  >> Linux

3 Output Perintah SELinux sestatus Dijelaskan dengan Contoh

sstatus adalah singkatan dari status SELinux.

Perintah ini digunakan untuk melihat status SELinux yang sedang berjalan di sistem Anda.

Tutorial ini menjelaskan hal berikut:

  1. keluaran perintah status Dijelaskan dengan Detail
  2. Menampilkan Konteks Keamanan Objek Terpilih dalam status
  3. Menampilkan Nilai Boolean dalam status

1. sestatus Perintah Output Dijelaskan

perintah sestatus akan menampilkan apakah SELinux diaktifkan atau dinonaktifkan. Ini juga akan menampilkan informasi tambahan tentang beberapa pengaturan SELinux yang dijelaskan di sini.

Berikut ini adalah perintah sestatus pada sistem CentOS 7. Pada versi CentOS / RedHat yang lebih lama, output ini akan sedikit berbeda.

# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

Catatan:Pada output di atas, "mode saat ini" adalah baris terpenting yang harus Anda perhatikan, yang dijelaskan di bawah ini.

Status SELinux: Ini menunjukkan apakah modul SELinux itu sendiri diaktifkan atau dinonaktifkan di sistem Anda. Perlu diingat bahwa meskipun ini mungkin mengatakan diaktifkan, tetapi SELinux mungkin masih belum diaktifkan secara teknis (diaktifkan), yang sebenarnya ditunjukkan oleh baris "mode saat ini" yang dijelaskan di bawah ini.

SELinuxfs mount: Ini adalah titik pemasangan sistem file sementara SELinux. Ini digunakan secara internal oleh SELinux. Inilah yang akan Anda lakukan jika Anda mencoba melakukan ls pada sistem file SELinux ini. Untuk tujuan praktis kami, kami tidak dapat memanipulasi apa pun di direktori ini, karena ini dikelola secara internal oleh SELinux.

# ls -l /sys/fs/selinux
total 0
-rw-rw-rw-.  1 root root    0 Jun  4 22:16 access
dr-xr-xr-x.  2 root root    0 Jun  4 22:16 avc
dr-xr-xr-x.  2 root root    0 Jun  4 22:16 booleans
-rw-r--r--.  1 root root    0 Jun  4 22:16 checkreqprot
..
..
-r--r--r--.  1 root root    0 Jun  4 22:16 policy
-rw-rw-rw-.  1 root root    0 Jun  4 22:16 relabel
-r--r--r--.  1 root root    0 Jun  4 22:16 status
-rw-rw-rw-.  1 root root    0 Jun  4 22:16 user

Direktori akar SELinux: Di sinilah semua file konfigurasi SELinux berada. Secara default, Anda akan melihat file dan direktori berikut. Direktori ini berisi semua file konfigurasi yang diperlukan untuk operasi SELinux. Anda dapat memodifikasi file-file ini.

# ls -l /etc/selinux
total 8
-rw-r--r--. 1 root root  546 May  1 19:08 config
drwx------. 2 root root    6 May  1 19:09 final
-rw-r--r--. 1 root root 2321 Jan 17 18:33 semanage.conf
drwxr-xr-x. 7 root root  215 May  1 19:09 targeted
drwxr-xr-x. 2 root root    6 Jan 17 18:33 tmp

Nama kebijakan yang dimuat: Ini akan menunjukkan jenis kebijakan SELinux apa yang sedang dimuat. Dalam hampir semua situasi umum, Anda akan melihat "ditargetkan" sebagai kebijakan SELinux, karena itu adalah kebijakan default. Berikut adalah kemungkinan kebijakan SELinux yang tersedia:

  • targeted – Ini berarti hanya proses yang ditargetkan yang dilindungi oleh SELinux
  • minimum – Ini adalah sedikit modifikasi dari kebijakan yang ditargetkan. Hanya beberapa proses terpilih yang dilindungi dalam kasus ini.
  • mls – Ini untuk perlindungan Keamanan Multi Level. MLS cukup kompleks dan hampir tidak digunakan di sebagian besar situasi.

Mode saat ini: Ini menunjukkan apakah SELinux saat ini menerapkan kebijakan atau tidak. Dengan kata lain, secara teknis ini akan memberi tahu Anda apakah SELinux saat ini diaktifkan dan berjalan di sistem Anda atau tidak.

Berikut ini adalah kemungkinan mode SELinux:

  • menegakkan – Ini menunjukkan bahwa kebijakan keamanan SELinux diterapkan (yaitu SELinux diaktifkan)
  • permissive – Ini menunjukkan bahwa SELinux mencetak peringatan alih-alih menegakkan. Ini berguna selama tujuan debugging ketika Anda ingin mengetahui apa yang berpotensi memblokir SELinux (tanpa benar-benar memblokirnya) dengan melihat log SELinux.
  • dinonaktifkan – Tidak ada kebijakan SELinux yang dimuat.

Untuk tujuan praktis kami, penegakan sama dengan diaktifkan. permisif dan dinonaktifkan sama dengan dinonaktifkan.

Status kebijakan MLS menunjukkan status kebijakan MLS saat ini. Secara default ini akan diaktifkan.

Status Deny_unknown Kebijakan menunjukkan status saat ini dari flag Deny_unknown dalam kebijakan kami. Secara default, ini akan disetel ke diizinkan.

Versi kebijakan kernel maks menunjukkan versi kebijakan SELinux saat ini yang ada di kami. Dalam contoh ini, ini adalah versi 28.

Berikut adalah output dari sestatus pada CentOS dan RedHat 6.

# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted

Jika Anda ingin menonaktifkan SELinux di sistem Anda, Anda dapat menggunakan salah satu metode berikut:4 Metode Efektif untuk Menonaktifkan SELinux Sementara atau Permanen

2. Tampilkan Konteks Keamanan Objek Terpilih dalam sestatus

Menggunakan opsi -v, bersama dengan status selinux biasa, Anda juga dapat menampilkan konteks SELinux untuk file dan proses yang dipilih.

Berikut ini adalah output default dari opsi sestatus -v:

# sestatus -v
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

Process contexts:
Current context:                unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Init context:                   system_u:system_r:init_t:s0
/usr/sbin/sshd                  system_u:system_r:sshd_t:s0-s0:c0.c1023

File contexts:
Controlling terminal:           unconfined_u:object_r:user_devpts_t:s0
/etc/passwd                     system_u:object_r:passwd_file_t:s0
/etc/shadow                     system_u:object_r:shadow_t:s0
/bin/bash                       system_u:object_r:shell_exec_t:s0
/bin/login                      system_u:object_r:login_exec_t:s0
/bin/sh                         system_u:object_r:bin_t:s0 -> system_u:object_r:shell_exec_t:s0
/sbin/agetty                    system_u:object_r:getty_exec_t:s0
/sbin/init                      system_u:object_r:bin_t:s0 -> system_u:object_r:init_exec_t:s0
/usr/sbin/sshd                  system_u:object_r:sshd_exec_t:s0

Pada keluaran di atas:

  • Bagian konteks proses menampilkan konteks SELinux dari beberapa proses yang dipilih. Anda dapat menambahkan proses Anda sendiri ke daftar ini dengan menambahkannya ke file /etc/sstatus.conf. Seperti yang Anda lihat di sini, ini menampilkan konteks keamanan proses sshd.
  • Bagian konteks file menampilkan konteks SELinux dari beberapa file yang dipilih. Anda dapat menambahkan file kustom Anda sendiri ke daftar ini dengan menambahkannya ke file /etc/sstatus.conf. Seperti yang Anda lihat pada output di atas, ini menampilkan konteks keamanan kata sandi, bayangan, dan beberapa file lainnya.
  • Juga, jika file yang Anda tentukan adalah tautan simbolik, maka konteks file target juga akan ditampilkan.
    Bagian ini akan selalu menampilkan konteks keamanan dari proses saat ini, proses init, dan kontrol konteks file terminal.

Berikut ini adalah pengaturan default dari file /etc/sstatus.conf. Tambahkan file kustom Anda ke bagian [file], dan tambahkan proses kustom Anda ke bagian [proses].

# cat /etc/sestatus.conf 
[files]
/etc/passwd
/etc/shadow
/bin/bash
/bin/login
/bin/sh
/sbin/agetty
/sbin/init
/sbin/mingetty
/usr/sbin/sshd
/lib/libc.so.6
/lib/ld-linux.so.2
/lib/ld.so.1

[process]
/sbin/mingetty
/sbin/agetty
/usr/sbin/sshd

3. Tampilkan Nilai Boolean dalam sestatus

Menggunakan opsi -b, Anda dapat menampilkan status boolean saat ini seperti yang ditunjukkan di bawah ini.

Seperti yang ditunjukkan di bawah ini, selain dari keluaran sestatus tipikal, di bagian “Boolean kebijakan:”, ini akan menampilkan nilai boolean SELinux saat ini untuk semua parameter.

# sestatus -b | more
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

Policy booleans:
abrt_anon_write                             off
abrt_handle_event                           off
abrt_upload_watch_anon_write                on
antivirus_can_scan_system                   off
antivirus_use_jit                           off
auditadm_exec_content                       on
authlogin_nsswitch_use_ldap                 off
authlogin_radius                            off
authlogin_yubikey                           off
awstats_purge_apache_log_files              off
boinc_execmem                               on
cdrecord_read_content                       off
...
...
...
xend_run_blktap                             on
xend_run_qemu                               on
xguest_connect_network                      on
xguest_exec_content                         on
xguest_mount_media                          on
xguest_use_bluetooth                        on
xserver_clients_write_xshm                  off
xserver_execmem                             off
xserver_object_manager                      off
zabbix_can_network                          off
zarafa_setrlimit                            off
zebra_write_config                          off
zoneminder_anon_write                       off
zoneminder_run_sudo                         off

Output di atas biasanya menunjukkan apa yang akan Anda lihat di output dari perintah getsebool. yaitu Satu perintah "sstatus -b" di atas setara dengan menjalankan dua perintah berikut:

sestatus

getsebool -a

Linux

  1. Perintah shutdown Linux Dijelaskan dengan Contoh

  2. Perintah nslookup Linux Dijelaskan Dengan Contoh

  3. perintah whoami di Linux dijelaskan dengan contoh

  1. Perintah potong Linux Dijelaskan dengan 6 Contoh

  2. Perintah Linux ldd Dijelaskan dengan Contoh

  3. Perintah Traceroute Linux, Dijelaskan dengan Contoh

  1. 8 Perintah Tee Linux dengan Contoh

  2. Linux membuat Perintah Dijelaskan Dengan Contoh

  3. Linux lebih banyak Perintah Dijelaskan dengan Contoh