如何设置确认selinux 模式

已于 2022-05-07 16:33:21 修改
阅读量6.1k 收藏 4
点赞数 1
分类专栏: android 文章标签: android
于 2015-09-11 19:52:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lei1217/article/details/48377109
版权
[Description]
linux SELinux 分成Enforce 以及 Permissive 两种模式,如何进行设置与确认当前SELinux模式?
 
[Keyword]
android, SELinux, Enforce, Permissive
 
[Solution]
在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 来增强android 的安全保护。
在ENG 版本中, 可以使用setenforce 命令进行设置:
adb shell setenforce 0    //设置成permissive 模式
adb shell setenforce 1    //设置成enforce 模式
 
在ENG/USER 版本中,都可以使用getenforce 命令进行查询,如:
root@mt6589_phone_720pv2:/ # getenforce
getenforce
Enforcing
 
如果想开机一启动就设置模式,你可以用下面方式:
KK 版本:更新mediatek/custom/{platform}/lk/rules_platform.mk
L  版本: 更新bootable/bootloader/lk/platform/mt6xxx/rules.mk
# choose one of following value -> 1: disabled/ 2: permissive /3: enforcing
SELINUX_STATUS := 3
可直接调整这个SELINUX_STATUS这个的值为2, 严禁直接设置成1:disabled, 此会造成生成的文件无法正确的打上标签,造成在再次设置成enforcing时,难以预料的情况发生。
注意的是, 在 L 版本上, Google 要求强制性开启enforcing mode, 前面的设置只针对userdebug, eng 版本有效, 如果要对user 版本有效, 需要修改system/core/init/Android.mk 新增
ifeq ($(strip $(TARGET_BUILD_VARIANT)),user)
LOCAL_CFLAGS += -DALLOW_DISABLE_SELINUX=1
endif
 

如果是在M 版本 将:

ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT)))
init_options += -DALLOW_LOCAL_PROP_OVERRIDE=1 -DALLOW_DISABLE_SELINUX=1
init_options += -DINIT_ENG_BUILD
else

修改成:
ifneq (,$(filter user userdebug eng,$(TARGET_BUILD_VARIANT)))
init_options += -DALLOW_LOCAL_PROP_OVERRIDE=1 -DALLOW_DISABLE_SELINUX=1
init_options += -DINIT_ENG_BUILD
else

N/O 版本上宏ALLOW_DISABLE_SELINUX 被Google 用 ALLOW_PERMISSIVE_SELINUX 替换了, 即 N 版本后已经禁止直接关闭掉selinux, 只能设定成permissive , 否则将直接无法开机.

另外前面的处理方式比较文雅, 不涉及代码修改, 附加 N/O 版本最快速暴力设定 permissive mode 的手法.

/system/core/init/init.cpp

static bool selinux_is_enforcing(void)
{
    return false; //force set selinux permissive.
    if (ALLOW_PERMISSIVE_SELINUX) {
        return selinux_status_from_cmdline() == SELINUX_ENFORCING;
    }
    return true;
}

 P0:

/system/core/init/selinux.cpp

bool IsEnforcing() {
 return false; //force set selinux permissive.
 if (ALLOW_PERMISSIVE_SELINUX) {
 return StatusFromCmdline() == SELINUX_ENFORCING;
 }
 return true;
}

R0 之后的 user load,

还需要在 alps/kernel-x.xx/arch/armxx/configs/xxxx_defconfig (比如:alps/kernel-4.14/arch/arm64/configs/k69v1_64_tee_cts_defconfig,注意:不是 xxxx_debug_defconfig)中,

配置:

CONFIG_SECURITY_SELINUX_DEVELOP=y


需要注意的是, Google 要求强制性开启SELinux Enforcing Mode, 如果您关闭,将无法通过Google CTS. 
 

[相关FAQ]
[FAQ11486] [SELinux Policy] 如何设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理
http://blog.csdn.net/lei1217/article/details/48377555
[FAQ11485] 权限(Permission denied)问题如何确认是Selinux 约束引起
http://blog.csdn.net/lei1217/article/details/48377575
[FAQ11483] 如何快速Debug SELinux Policy 问题
leitongzhuang1
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 蓝牙 selinux权限讲解
手机-手表蓝牙开发工程师的博客
06-11 748
目前user 版本无法禁用 seliunx。 setenforce 0 /system/core/init/selinux.cpp99 bool IsEnforcing() { 100 if (ALLOW_PERMISSIVE_SELINUX) { 101 return StatusFromCmdline() == SELINUX_ENFORCING; 102 } 103 return true; 104 }直接return falseselinux 的改
Lock SELinux forced mode.zip
07-20
1. **main** - 这可能是一个主要的配置脚本或程序,用于设置或管理SELinux的强制模式。它可能包含了启用、检查或调整SELinux策略的命令。 2. **module.prop** - 这可能是一个包含SELinux模块属性的文件,例如模块的...
Redhat 配置SELinux 模式
神仙哥哥的博客
04-09 4268
要求: SeLinux的工作模式为enforcing,系统重启后依然生效。 [root@desktop ~]# getenforce -->查看现在的SELinux状态 Permissive [root@desktop ~]# vim /etc/selinux/config --> 编辑配置文件,如下图 [root@desktop ~]# setenforce 1 --&g...
Android 13 aosp 默认关闭SELinux
最新发布
人生只是一种体验,不必用来演绎完美。
05-08 679
将IsEnforcing()方法中默认返回值修改为false即默认关闭SELinux。unused fun,注释掉(测试仅限于ud版本)
查看SELinux状态和设置SELinux
nathan8的博客
02-21 2292
1. 查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [root@localhost ~]# getenforce Enforcing 1.2 /usr/sbin/
linux中的selinux管理
qq_41582883的博客
11-22 500
selinux的状态 配置文件:/etc/sysconfig/selinux selinux开启状态:enforcing 强制状态 permissive 被动状态 selinux关闭状态:disabled 当selinux开启时,enforcing与permissive之间可以通过setenforce切换: 切换到permissive被动状态:setenforce=0 切换到enforcing强制状态:setenforce=1 sel
selinux 开启和关闭
热门推荐
Amn-o的博客
03-10 9万+
对于新手来说,linux的selinux困扰了一大批学员,开启后,导致文件权限修改不了等问题,下面就是关闭设置setlinux的方法查看SELinux状态:1、/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态SELinux status:                 enabled2、getenforce        ...
centos7单机维护模式重置密码
04-29
在 Linux 系统中,有一个特殊的模式叫单机维护模式(Single-User Mode),也称为恢复模式(Recovery Mode)。在这个模式下,系统将以最基本的配置启动,不会启动网络服务和其他非必须的服务。这种模式通常用于系统...
Centos7共享服务samba设置
06-19
验证Selinux的状态,以确认它是否已设为Permissive模式: ```bash sudo sestatus -b | grep samba ``` 最后,在Windows客户端或其他可以访问SMB协议的设备上,可以通过输入服务器的IP地址来访问共享: ```bash \\...
Zabbix监控Linux主机设置方法
09-15
在Linux主机上,编辑`/etc/zabbix/zabbix_agentd.conf`配置文件,配置`Server`字段为Zabbix服务端的IP地址,`ServerActive`字段同样设置为Zabbix服务端IP,以启用主动模式。同时,根据需求配置其他相关参数,如日志...
ovirt-setting:Ovirt安装设置
03-03
3. **开启Selinux**:OVirt需要Selinux处于Enforcing模式确认它已启用,如未启用,则运行`sudo setenforce 1`。 二、安装必备软件 1. **安装DNF插件**:OVirt依赖于特定的DNF插件,如`dnf-plugins-core`,用`sudo...
linux的selinux模式
mushuangpanny的博客
10-02 509
【代码】linux的selinux模式
android7禁用selinux,Android7关闭selinux设置为Permissive模式
n_fly的博客
02-12 527
Android7关闭selinux(设置为Permissive模式)
[Linux Device Driver] Android10 关闭Selinux权限方法
编程菜汝狗
05-30 3407
0. 背景 C:\Users\Administrator>adb shell sdm660_64:/ # getenforce getenforce Enforcing 这个表明Selinux权限存在。 1. 抓开机log 抓一份开机串口log,检索SELinux [ 7.085097] init: Loading SELinux policy 这句log是重点,从init可以判断这句代码是从system下面找到的。 2 关闭权限 然后我们去grep: ~/android_10/LA.UM
SELinux 权限问题
wq892373445的博客
05-12 804
权限修改 adb在线修改seLinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前seLinux状态 setenforce 1; //打开seLinux setenforce 0; //关闭seLinux 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/configs/xxx_defconfig文件(xxx一般为手机产品名), 去掉CONFIG_SECURITY_SELINU
从头开始生成 SELinux
yjfkpyu的专栏
04-09 937
文档选项<trvalign="top"><img alt="" height="1" width="8"src="//www.ibm.com/i/c.gif"/><img alt="" width="16"height="16" src="//www.ibm.com/i/c.gif"/><td class="small"w
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
查看SELinux状态及关闭SELinux
字母哥博客
04-16 1万+
一、查看SELinux状态: 1、我们可以通过查看配置文件的命令 cat /etc/selinux/config 来查看状态 [root@lill ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enf
SELinux如何永久禁用
liangkk的博客
03-19 6786
1、SELinux介绍 Linux被认为是当今最安全的操作系统之一,这是因为它杰出的安全特性,如SELinux(安全增强的Linux)。 对于初学者,SELinux被描述为在内核中执行的强制访问控制(MAC)安全结构。SELinux提供了一种强制执行某些安全策略的方法,否则系统管理员将无法有效地实现这些策略。当您安装RHEL/CentOS或其他衍生工具时,SELinux服务是默认启用的,因此您系统上的一些应用程序可能不支持这种安全机制。因此,要使此类应用程序正常运行,必须禁用或关闭SELinux
配置selinux规则
06-11
配置 SELinux 规则可以提高系统的安全性,以下是一些基本步骤: 1. 确认 SELinux 是否已经启用: ``` getenforce ``` 如果返回 `Enforcing`,说明 SELinux 已经启用。 2. 根据需要设置 SELinux模式: ``` setenforce 0 # 设置 SELinux 为 Permissive 模式,只记录不阻止 setenforce 1 # 设置 SELinux 为 Enforcing 模式,严格阻止不符合规则的行为 ``` 3. 确认需要保护的文件或目录的 SELinux 安全上下文: ``` ls -Z /path/to/file ``` 4. 如果需要修改 SELinux 安全上下文,可以使用 `chcon` 命令: ``` chcon -t httpd_sys_content_t /path/to/file ``` 5. 如果需要永久修改 SELinux 安全上下文,可以使用 `semanage` 命令: ``` semanage fcontext -a -t httpd_sys_content_t /path/to/file restorecon -v /path/to/file ``` 6. 如果需要添加自定义的 SELinux 模块,可以使用 `audit2allow` 和 `semodule` 命令: ``` grep httpd_t /var/log/audit/audit.log | audit2allow -M mypol semodule -i mypol.pp ``` 以上是一些 SELinux 配置的基本步骤,具体操作需要根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值