Android SELinux——工作模式(二)

于 2024-10-10 08:52:25 发布
阅读量488 收藏 14
点赞数 17
文章标签: android SELinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c19344881x/article/details/142335734
版权

        通过上一篇文章我们对 SELinux 有一初步的了解,这里我们主要来看一下 SELinux 中的工作模式。

一、模式介绍

        SELinux 提供了三种不同的工作模式,每种模式都有其特定的目的和使用场景。这里我们就来介绍这三种模式的使用场景。

1、Disabled(禁用模式)

        在 Disabled 模式下,SELinux 完全不工作,系统退回到传统的自主访问控制(DAC)机制。此模式下,SELinux 不会对系统中的任何操作进行干预或记录。当系统管理员决定完全禁用 SELinux 时使用此模式,通常是为了简化系统管理或解决特定的兼容性问题。

2、Permissive(宽容模式)

        在 Permissive 模式下,SELinux 被激活,但不会强制执行安全策略。相反,它会记录所有违反安全策略的尝试,并将其记录在日志中。此模式主要用于测试和调试目的,帮助系统管理员了解 SELinux 如何影响系统行为,以及在完全启用 SELinux 之前识别和解决潜在问题。当系统管理员希望监控 SELinux 的行为但又不想立即启用严格的访问控制时,可以使用此模式。

3、Enforcing(强制模式)

        在 Enforcing 模式下,SELinux 完全启用,并且会强制执行所有的安全策略。此模式下,任何违反安全策略的操作都会被阻止,并且系统会记录相应的 AVC 日志。这是 SELinux 的默认模式,适用于生产环境,以确保系统的安全性。在此模式下,系统会严格执行 SELinux 安全策略,防止未经授权的访问。 

        通过这些不同的工作模式,系统管理员可以根据实际需要选择最适合当前环境的 SELinux 设置,既可以保证系统的安全性,又能灵活应对不同的需求。所以我们通常在开发中使用的都是Permissive(宽容模式),记录问题但有未启用访问控制。而正是上线的时候为Enforcing(强制模式)。

二、模式切换

1、ADB命令设置

查看工作模式

进入到 shell:adb shell

查看工作模式:getenforce

        首先进入到 shell 下,使用 getenforce 命令来查看当前 SELinux 的工作模式(或者直接使用 adb shell getenforce 命令查看 SELinux 的工作模式),输出内容:Enforcing 或 Permissive。

切换工作模式

获取 root 权限:adb root

进入到 shell:adb shell

切换到 Permissive 模式:setenforce 0

切换到 Enforcing 模式:setenforce 1

        使用 setenforce [0|1] 来切换 SELinux 的工作模式(0 表示 Permissive,1 表示 Enforcing)。注意这里一定要获取 root 权限,否则会出现如下错误:

setenforce: Couldn't set enforcing status to '0': Permission denied

2、fastboot模式设置      

        除此通过 ADB 命令设置模式之外还可以进入 fastboot 模式对工作模式的 bootargs 参数进行设置。

fastboot setenv

# 设置 androidboot.selinux 参数

$ fastboot setenv bootargs  androidboot.selinux = permissive/enforcing
# 保存参数
$ fastboot flash bootconfig bootconfig 
# 重启系统
$ fastboot reboot

fastboot oem

# 设置 androidboot.selinux 参数

$ fastboot oem setenv "androidboot.selinux = permissive/enforcing
# 保存参数
$ fastboot oem saveenv
# 重启系统
$ fastboot reboot

        对于使用 fastboot 命令更改工作模式需要设备支持,不同的设备和厂商可能有不同的命令格式。这里实际操作均设置失败,fastboot setenv 命令提示 fastboot: usage: unknown command setenv。fastboot oem 命令提示 FAILED (remote: unknown command)。

3、配置文件设置

        其实上面的命令都是在 Permissive 和 Enforcing 模式之间进行切换,无法设置成 Disabled 模式。所以 SELinux 的默认模式也可以通过配置文件进行设置。

config.xml

        修改 /etc/selinux/config.xml 文件中的 SELINUX 选项来设定,可以选择 Disabled、Permissive 或 Enforcing。编辑配置文件 /etc/selinux/config.xml,把SELINUX=disabled,然后重启系统,SELinux 就被禁用了。

        某些 Android 设备可能会有特定的 SELinux 配置文件,这些文件可能位于不同的路径,例如 /vendor/etc/selinux、/system/etc/selinux、/vendor/etc/security 或 /system/etc/security 。当然也有不使用 config.xml 配置文件的情况,这些都需要根据项目实际情况设定。

系统属性

        如果项目中并没有找到上面的 config.xml 配置文件,可以通过如下命令确认是否使用了系统属性设置了 SELinux 的工作模式。

进入 shell 模式:adb shell

查找相关属性:getprop | grep "selinux"

        这里在 shell 模式下,通过 getprop 查找 "selinux" 关键字的属性内容,可以看到如下输出内容:

[androidboot.selinux]: [enforcing]

        可以看到这个属性其实就是上面通过 fastboot 修改的对应属性值,androidboot.selinux 属性是一个特殊的内核启动参数,它在设备启动时被内核读取,并不是普通的系统属性,所以也不能通过 /system/build.prop 文件进行修改。

  • androidboot.selinux 名称由厂商自定义设置,可能与这里的名称并不相同。
  • /system/build.prop 文件主要用于定义构建信息和其他非启动时的系统属性。它可以用来设置诸如设备型号、制造商、构建版本等信息。

4、代码修改

源码位置:/system/core/init/selinux.cpp

SelinuxInitialize

void SelinuxInitialize() {
    LOG(INFO) << "Loading SELinux policy";
    // 加载 SELinux 策略
    if (!LoadPolicy()) {
        LOG(FATAL) << "Unable to load SELinux policy";
    }
  
    // 获取内核当前的 SELinux 模式
    bool kernel_enforcing = (security_getenforce() == 1);
    // 获取期望的 SELinux 模式
    bool is_enforcing = IsEnforcing();
    // 如果两者不一致,则尝试设置 SELinux 模式
    if (kernel_enforcing != is_enforcing) {
        if (security_setenforce(is_enforcing)) {
            PLOG(FATAL) << "security_setenforce(" << (is_enforcing ? "true" : "false") << ") failed";
        }
    }
  
    // 将 checkreqprot 设置为 0,关闭 SELinux 请求保护功能
    if (auto result = WriteFile("/sys/fs/selinux/checkreqprot", "0"); !result.ok()) {
        LOG(FATAL) << "Unable to write to /sys/fs/selinux/checkreqprot: " << result.error();
    }
}

        函数用于初始化 SELinux 并确保其工作模式符合预期。这里我们是不是直接修改期望的 SELinux 模式就可以实现工作模式的修改。在修改之前,我们先来看一下这里为什么要关闭 SELinux 请求保护功能(checkreqprot)。

checkreqprot

        SELinux 请求保护功能(checkreqprot)主要用于记录 SELinux 策略违规(avc denials)。当 SELinux 处于 enforcing 模式时,如果某个进程请求了不允许的操作,SELinux 会拒绝该操作并记录一条违规日志。

默认情况下:checkreqprot 的值为 1,表示启用请求保护功能。
启用时:SELinux 会记录所有违规行为,并将这些违规行为记录到日志中。
禁用时:SELinux 不会记录违规行为,只会在 enforcing 模式下直接拒绝违规操作。

        关闭 checkreqprot 的原因:

  • 性能考虑:当 checkreqprot 为 1 时,SELinux 会记录大量的违规日志,这可能会导致较高的系统开销。关闭 checkreqprot 可以减少系统日志记录的开销,提高系统性能。
  • 安全性考虑:在生产环境中,通常希望 SELinux 严格控制违规行为,而不记录过多的日志。
  • 在开发和调试阶段,可能会开启 checkreqprot 以便更好地了解违规情况,但在生产环境中通常不需要这些详细的日志记录。
  • 系统稳定性:大量的日志记录可能会导致日志文件迅速增长,占用大量磁盘空间。关闭 checkreqprot 可以避免这种情况,保持系统的稳定性和高效性。

        关闭 checkreqprot 功能的原因主要是为了提高系统性能和稳定性。在生产环境中,通常不需要记录大量的 SELinux 违规日志,因此关闭 checkreqprot 是一个常见的做法。 

IsEnforcing

bool IsEnforcing() {
    // 是否允许 SELinux 处于 permissive 模式
    if (ALLOW_PERMISSIVE_SELINUX) {
        return StatusFromCmdline() == SELINUX_ENFORCING;
    }
    return true;
}

        该函数的主要作用是根据配置和命令行参数来决定 SELinux 是否应该处于 enforcing 模式。这种设计使得 SELinux 的模式可以根据不同的配置和命令行参数灵活调整,适用于不同的场景。 

enum EnforcingStatus { SELINUX_PERMISSIVE, SELINUX_ENFORCING };

EnforcingStatus StatusFromCmdline() {
    EnforcingStatus status = SELINUX_ENFORCING;

    ImportKernelCmdline([&](const std::string& key, const std::string& value) {
        if (key == "androidboot.selinux" && value == "permissive") {
            status = SELINUX_PERMISSIVE;
        }
    });

    return status;
}

        该函数通常用于解析内核命令行参数,并执行相应的处理。可以看到这里还是根据上面的 androidboot.selinux 属性进行 SELinux 的工作模式初始化,如果我们在这里修改,可以直接修改 IsEnforcing() 函数的返回值即可。

bool IsEnforcing() {
    // 关闭SELinux
    return false;
}

        这里通过直接修改 IsEnforcing() 函数的返回值来修改 SELinux 的工作模式。接下来我们回过头来看一下 ALLOW_PERMISSIVE_SELINUX 参数的设置。

ALLOW_PERMISSIVE_SELINUX

源码位置:/system/core/init/Android.bp

cc_defaults {
	cflags: [
		"-DALLOW_PERMISSIVE_SELINUX=0",
        ……
	],
	product_variables: {
		debuggable: {
			cppflags: [
				"-UALLOW_PERMISSIVE_SELINUX",
				"-DALLOW_PERMISSIVE_SELINUX=1",
                ……
			],
            ……
		},
        ……
	},
    ……
}

        首先在 C 和 C++ 中,预处理器宏定义通常使用 -D 开头。这里的 -D 是一个编译器选项,用于定义预处理器宏。

        在 Android.bp 文件中,cc_defaults 用于设置默认的编译选项,这里 cc_defaults 通过 cflags 和 product_variables 来定义不同的编译配置。具体来说,-DALLOW_PERMISSIVE_SELINUX=0 和 product_variables 中的条件定义使得编译行为可以根据不同的产品变量进行调整。

  • 默认编译选项 (cflags):"-DALLOW_PERMISSIVE_SELINUX=0":默认情况下,定义 ALLOW_PERMISSIVE_SELINUX 为 0。
  • 产品变量 (product_variables):debuggable 变量。

         1) "-UALLOW_PERMISSIVE_SELINUX":取消定义 ALLOW_PERMISSIVE_SELINUX。
         2)"-DALLOW_PERMISSIVE_SELINUX=1":重新定义 ALLOW_PERMISSIVE_SELINUX 为 1。

        这样非调试版本 (debuggable=false) 时,只有默认的编译选项生效,因此,编译时 ALLOW_PERMISSIVE_SELINUX 的值为 0。调试版本 (debuggable=true),在这种情况下,product_variables 中的配置生效,首先,-UALLOW_PERMISSIVE_SELINUX 取消定义 ALLOW_PERMISSIVE_SELINUX,然后 "-DALLOW_PERMISSIVE_SELINUX=1" 重新定义 ALLOW_PERMISSIVE_SELINUX 为 1。

        这种方式使得编译行为可以根据不同的产品变量进行灵活调整,从而适应不同的开发和部署环境。

c小旭
关注
Android SELinux——基础介绍(一)
小旭的专栏
10-09 657
SELinux(Security-Enhanced Linux)是一种基于强制访问控制 MAC 的安全增强模块,最初由美国国家安全局(NSA)开发,用于提高 Linux 操作系统的安全性。它基于 FLASK(Flux Advanced Security Kernel)模型,这是一个由美国国防部门开发的安全内核模型。SELinux 通过 LSM 接口集成到 Linux 内核中,提供了比传统的自主访问控制 DAC 更强的安全性和灵活性。
Android SurfaceFlinger——服务启动流程(
小旭的专栏
06-19 993
由 init 进程启动:SurfaceFlinger 服务作为 Android 系统中的一个关键服务,是由 init 进程根据 init.rc 配置文件启动的。在这个阶段,init 进程会 fork 出一个新的进程来运行 SurfaceFlinger 服务。
android selinux权限添加
weixin_46027271的博客
01-15 2575
本文基于Android10版本举例介绍selinux的添加方法
AndroidSELinux——SEAndroid
明日暘炚
02-27 2148
SEAndroid简介   SEAndroid是Google在Android4.4上正式推出的一套以SELinux为核心的系统安全机制。而SELinux则是由NSA(美国国安局)在Linux社区的帮助下设计的一个针对Linux的安全强化系统。   NSA最初设计的安全模型叫FLASK,全称为FluxAdvanced Security Kernel(由Uta大学和美国国防部开
Android 11源码——安全策略SELinux关闭
tracy的博客
08-23 4563
Android 11源码 安全策略SELinux关闭SELinux介绍背景关闭AndroidSELinux临时关闭永久关闭 SELinux介绍 作为 Android 安全模型的一部分,Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可
Android系统启动流程()——Selinux初始化(基于Android13)
一切皆是定数的博客
04-16 2063
Selinux,全称为Security-Enhanced Linux,即安全增强型Linux,是Linux中的一种安全管控策略。传统的Linux访问控制通过DAC(Discretionary Access Control)控制,即给用户、用户组、其他用户授予不同的读写和可执行权限来控制文件的访问。Selinux基于MAC(Mandatory Access Control)控制,基于安全上下文和安全策略的安全机制,只有定义了允许访问的规则的才能访问,否则默认不能访问。
Android SELinux Enforcing 模式下问题及解决
ansondroider的博客
09-30 6370
平台:RK3288 + android 5.11修改selinux模式为enforcing (默认为 permissive) 主要修改parameter:FIRMWARE_VER:5.1.1 MACHINE_MODEL:rk3288 ... #private 6GB, System 512MB, Data 3GB, origin 512MB CMDLINE:console=ttyFIQ0 andr
[Android 基础] -- SELinux For Android (Android O)
u014674293的博客
08-11 3114
改为当意译自 Android 官方 《SELinux for Android 8.0》
SELinux on Android
大磊大的专栏
04-20 1031
Wesly大发神威,连夜翻译了一些文档,加上他本人的知识和理解,呕心沥血写出这部作品。不过需要润色,先放前面一些概述了。 引言 作为安卓安全模型的一部分,安卓使用了SELinux的访 问控制策略。SELinux的出现大幅度增强了安卓的安全性。此外,还有许多公司和组织也为增强安卓的安全性做出了不懈的努力。你可以在 android.googlesource.com站点看
Android 7.1 SElinux权限问题解决方案——编写APP,通过暗码读取TP fw版本
yonghengxiaoqingqing
12-20 4541
1、在底层,创建节点接口和给予访问的权限 kernel/msm-3.18/drivers/input/touchscreen/synaptics_dsx/synaptics_dsx_core.c __ATTR(buildid, (S_IRUGO | S_IWUSR | S_IWGRP), synaptics_rmi4_f01_buildid_show, synaptics_rmi4_...
Android Framework学习——安卓系统启动流程(Android 13)
qq_31190665的博客
12-25 1648
提示:本文仅作个人学习记录,禁止转载无论是安卓应用开发,还是安卓framework开发,在面试中总是会被问到framework相关的知识,系统启动流程已然成为高频提问点之一,以前对系统启动流程的认识停留在其他人口口相传、博客上的简要总结及流程图,接下来我将根据源码主要流程进行梳理,总结安卓系统启动这一过程的主要步骤。因为关注的重点是Java API Framework层的流程(如下图绿色部分),所以在这之前的流程会简略概括。在关机状态长按电源键,引导芯片程序(固化在rom中)开始运行;
GDB调试Android代码——环境搭建及调试过程
热门推荐
朱小南的博客
07-27 1万+
网上看了好多关于GDB调试android本地代码的,但是都是直接上手,对于一点都不懂的我,真是难办,所以本人根据个人经历,总结下怎么从小白一步一步进行调试。 调试环境: 调试平台:ubuntu14.04LTS 目标手机:Android6.0虚拟机 X86架构 软件环境:android-ndk-r10b搭配adt-bundle 然后准备gdb和gdbserver,远程调试需要在
Android 13源码分析】Activity生命周期之onCreate,onStart,onResume-1
隔壁小王的博客
10-01 1098
我们知道 onCreate 这个生命周期表示 Activity 的创建,对应 LaunchActivityItem 这个事务,源码中构建这个事务唯一的地方就在 ActivityTaskSupervisor::realStartActivityLocked 方法。TargetActivity 所在的应用进程已经启动SourceActivity 需要执行 onPause。
【AAOS】Android Automotive 10模拟器源码下载及编译
最新发布
码农的历程
10-09 225
AAOS Q模拟器
安卓的漏洞类型和扫描工具
xxdw1992的博客
10-09 457
Android应用由多个组件组成,这些组件中的漏洞可能导致严重的安全问题。常见的组件漏洞包括:Activity组件漏洞:Activity是Android应用中的一个核心组件,用于显示用户界面。如果Activity组件存在漏洞,如崩溃或异常,那么其他应用可能会利用这些漏洞导致应用崩溃或进行功能调用。此外,Activity接口如果被其他应用调用,还可能用于执行特定的敏感操作或进行钓鱼欺骗。Service组件漏洞:Service是Android应用中的另一个重要组件,用于在后台执行长时间运行的操作。
Android 防止截屏和录屏
子冉冰清的博客
10-09 254
通过给当前的window对象设置标记WindowManager.LayoutParams.FLAG_SECURE来防止截屏和录屏。在Android应用中,如果你已经设置了禁止截屏,然后想根据内容的变化动态取消这个限制,可以通过修改。设置以后,用手机快捷键截屏会提示如下:“当前页面涉及隐私内容,防止截屏和录屏”例如,你可以在数据更新的回调方法、监听器、或观察者模式中执行这一操作。如果在当前页面想根据不同内容来取决于是否设置禁止截屏的时候,可以通过。这种方法可以确保在内容发生变化时,用户能够再次截屏。
Android Camera系列(四):TextureView+OpenGL ES+Camera
xiaozhiwz的专栏
10-09 690
本文主要讲解了使用TextureView+OpenGL ES渲染Camera预览数据
Android 解锁工具的主题:适用于所有安卓手机的 5 款安卓解锁工具
Geekersoft的博客
10-09 954
在当今互联互通的世界里,移动设备的安全至关重要。然而,用户可能会因为忘记密码、屏幕损坏或其他不可预见的问题而无法使用 Android 设备。为了满足这一需求,出现了各种 Android解锁工具,它们提供了创新的解决方案来帮助用户重新获得对设备的访问权限。本文将介绍Android 解锁工具的主题 ,重点介绍适用于所有 Android 手机的一些最佳选项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

c小旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值