SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。SELinux 是 2.6 版本的Linux内核中提供的强制访问控制(MAC)系统。对于目前可用的Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。
SELinux 分成Enforce 以及Permissive 两种模式,在Android KK 4.4版本后,Google 有正式有限制的启用SELinux, 来增强android 的安全保护
在ENG/USER 版本中,可以使用getenforce 命令进行查询当前模式,如:
xxx@xxxxxx:/ # getenforce
getenforce
Enforcing
在ENG 版本中, 可以使用setenforce命令进行设置:
adb shell setenforce 0 //设置成permissive模式
adb shell setenforce 1 //设置成enforce 模式
如果想开机一启动就设置模式,你可以用下面方式:
KK 版本:更新mediatek/custom/{platform}/lk/rules_platform.mk
L 版本:更新bootable/bootloader/lk/platform/mt6xxx/rules.mk
# choose one of following value -> 1: disabled/ 2: permissive /3: enforcing
SELINUX_STATUS := 3
可直接调整这个SELINUX_STATUS这个的值为2, 严禁直接设置成1:disabled, 此会造成生成的文件无法正确的打上标签,造成在再次设置成enforcing时,难以预料的情况发生。
在L 版本上, Google 要求强制性开启enforcing mode, 前面的设置只针对userdebug, eng 版本有效, 如果要对user 版本有效, 需要修改system/core/init/Android.mk 新增
ifeq ($(strip $(TARGET_BUILD_VARIANT)),user)
LOCAL_CFLAGS += -DALLOW_DISABLE_SELINUX=1
endif
需要注意的是, Google 要求强制性开启SELinuxEnforcing Mode, 如果您关闭,将无法通过Google CTS