如何设置确认selinux 模式

已于 2022-05-07 16:33:21 修改
阅读量6.1k 收藏 4
点赞数 1
分类专栏: android 文章标签: android
于 2015-09-11 19:52:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lei1217/article/details/48377109
版权
[Description]
linux SELinux 分成Enforce 以及 Permissive 两种模式,如何进行设置与确认当前SELinux模式?
 
[Keyword]
android, SELinux, Enforce, Permissive
 
[Solution]
在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 来增强android 的安全保护。
在ENG 版本中, 可以使用setenforce 命令进行设置:
adb shell setenforce 0    //设置成permissive 模式
adb shell setenforce 1    //设置成enforce 模式
 
在ENG/USER 版本中,都可以使用getenforce 命令进行查询,如:
root@mt6589_phone_720pv2:/ # getenforce
getenforce
Enforcing
 
如果想开机一启动就设置模式,你可以用下面方式:
KK 版本:更新mediatek/custom/{platform}/lk/rules_platform.mk
L  版本: 更新bootable/bootloader/lk/platform/mt6xxx/rules.mk
# choose one of following value -> 1: disabled/ 2: permissive /3: enforcing
SELINUX_STATUS := 3
可直接调整这个SELINUX_STATUS这个的值为2, 严禁直接设置成1:disabled, 此会造成生成的文件无法正确的打上标签,造成在再次设置成enforcing时,难以预料的情况发生。
注意的是, 在 L 版本上, Google 要求强制性开启enforcing mode, 前面的设置只针对userdebug, eng 版本有效, 如果要对user 版本有效, 需要修改system/core/init/Android.mk 新增
ifeq ($(strip $(TARGET_BUILD_VARIANT)),user)
LOCAL_CFLAGS += -DALLOW_DISABLE_SELINUX=1
endif
 

如果是在M 版本 将:

ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT)))
init_options += -DALLOW_LOCAL_PROP_OVERRIDE=1 -DALLOW_DISABLE_SELINUX=1
init_options += -DINIT_ENG_BUILD
else

修改成:
ifneq (,$(filter user userdebug eng,$(TARGET_BUILD_VARIANT)))
init_options += -DALLOW_LOCAL_PROP_OVERRIDE=1 -DALLOW_DISABLE_SELINUX=1
init_options += -DINIT_ENG_BUILD
else

N/O 版本上宏ALLOW_DISABLE_SELINUX 被Google 用 ALLOW_PERMISSIVE_SELINUX 替换了, 即 N 版本后已经禁止直接关闭掉selinux, 只能设定成permissive , 否则将直接无法开机.

另外前面的处理方式比较文雅, 不涉及代码修改, 附加 N/O 版本最快速暴力设定 permissive mode 的手法.

/system/core/init/init.cpp

static bool selinux_is_enforcing(void)
{
    return false; //force set selinux permissive.
    if (ALLOW_PERMISSIVE_SELINUX) {
        return selinux_status_from_cmdline() == SELINUX_ENFORCING;
    }
    return true;
}

 P0:

/system/core/init/selinux.cpp

bool IsEnforcing() {
 return false; //force set selinux permissive.
 if (ALLOW_PERMISSIVE_SELINUX) {
 return StatusFromCmdline() == SELINUX_ENFORCING;
 }
 return true;
}

R0 之后的 user load,

还需要在 alps/kernel-x.xx/arch/armxx/configs/xxxx_defconfig (比如:alps/kernel-4.14/arch/arm64/configs/k69v1_64_tee_cts_defconfig,注意:不是 xxxx_debug_defconfig)中,

配置:

CONFIG_SECURITY_SELINUX_DEVELOP=y


需要注意的是, Google 要求强制性开启SELinux Enforcing Mode, 如果您关闭,将无法通过Google CTS. 
 

[相关FAQ]
[FAQ11486] [SELinux Policy] 如何设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理
http://blog.csdn.net/lei1217/article/details/48377555
[FAQ11485] 权限(Permission denied)问题如何确认是Selinux 约束引起
http://blog.csdn.net/lei1217/article/details/48377575
[FAQ11483] 如何快速Debug SELinux Policy 问题
leitongzhuang1
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android S MTK平台关闭SeLinux
file_tang的专栏
02-23 916
Android S MTK平台关闭SeLinux
Lock SELinux forced mode.zip
07-20
1. **main** - 这可能是一个主要的配置脚本或程序,用于设置或管理SELinux的强制模式。它可能包含了启用、检查或调整SELinux策略的命令。 2. **module.prop** - 这可能是一个包含SELinux模块属性的文件,例如模块的...
从头开始生成 SELinux
风信子的专栏
01-05 868
简介SELinux 是 2.6 版本的 Linux 内核提供的强制访问控制 (MAC)系统。对于目前可用的 Linux 安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。有关这些主题的更多信息的链接,请参见本文后面的 参考资料 部分
SELinux学习以及问题分析(mtk平台)
m0_53696288的博客
03-30 659
先学概念后解题,老板夸我是第一
Android 13 aosp 默认关闭SELinux
最新发布
人生只是一种体验,不必用来演绎完美。
05-08 729
将IsEnforcing()方法默认返回值修改为false即默认关闭SELinux。unused fun,注释掉(测试仅限于ud版本)
Android 12关闭Selinux
我的学习笔记专栏
08-05 3518
Android 12 selinux
SELINUX
yangzex的专栏
11-20 677
也就是说,目前android 只定义了一个user u,一个role r,file system 使用object_r,user u 只有一个role r,mls 的low_level 是s0,high level 是s0:c0.c1023。在后续的版本更新,Google 导入了大批量的限制性 neverallow 语法,特别是从O 版本开始针对System/Vendor 的分离,进行了大量针对性的限制,具体可以参考Google 在/system/sepolicy 所设定的neverallow 语句。
关闭selinux(防火墙)方法分享
09-15
输出结果会显示 SELinux 是否启用、挂载点、当前模式、配置文件模式、策略版本等。例如: ``` SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing ...
linux如何关闭selinux?.pdf
03-22
在重启前,你可以再次使用 `getenforce` 检查确认SELinux的状态已经更改为 "Disabled"。 关闭SELinux虽然可以简化系统管理和避免一些由于SELinux策略引起的权限问题,但同时也会降低系统的安全性。因此,在决定关闭...
rsync守护进程模式部署
01-09
1. **关闭防火墙和SELinux**:为了允许rsync服务正常运行并接受来自客户端的连接,需要关闭防火墙服务(firewalld)并禁用SELinux的强制执行模式。这一步骤是临时的,生产环境可能需要设置适当的防火墙规则和SELinux...
centos7单机维护模式重置密码
04-29
在 Linux 系统,有一个特殊的模式叫单机维护模式(Single-User Mode),也称为恢复模式(Recovery Mode)。在这个模式下,系统将以最基本的配置启动,不会启动网络服务和其他非必须的服务。这种模式通常用于系统...
Centos7共享服务samba设置
06-19
验证Selinux的状态,以确认它是否已设为Permissive模式: ```bash sudo sestatus -b | grep samba ``` 最后,在Windows客户端或其他可以访问SMB协议的设备上,可以通过输入服务器的IP地址来访问共享: ```bash \\...
Zabbix监控Linux主机设置方法
09-15
在Linux主机上,编辑`/etc/zabbix/zabbix_agentd.conf`配置文件,配置`Server`字段为Zabbix服务端的IP地址,`ServerActive`字段同样设置为Zabbix服务端IP,以启用主动模式。同时,根据需求配置其他相关参数,如日志...
ovirt-setting:Ovirt安装设置
03-03
3. **开启Selinux**:OVirt需要Selinux处于Enforcing模式确认它已启用,如未启用,则运行`sudo setenforce 1`。 二、安装必备软件 1. **安装DNF插件**:OVirt依赖于特定的DNF插件,如`dnf-plugins-core`,用`sudo...
redhat samba服务共享设置详细文档
05-08
对于SELinux,确保其不会阻止Samba通信,可能需要调整相应的策略或设置为`permissive`模式。 9. **获取IP地址**: 使用`ifconfig -a`命令查看Linux系统的IP地址,这将用于Windows客户端访问共享资源。 10. **测试...
EX200-练习题_v4-含解题参考-内部资料!勿外传!1
08-04
同时,需要确保 SELinux 保护机制在 Enforcing 模式下运行,可以使用 getenforce 命令来确认当前的 SELinux 模式。 四、其他配置 在虚拟机 red ,还需要配置其他一些参数,例如配置 NTP 网络时间服务和 NFS 文件...
SELinux入门教程
上善若水 的专栏
08-31 5959
1. 介绍 这份文档是一个SE Linux的简介,可以指导一部分人初步的学会SE Linux。它涵盖和解释了SE Linux 的各方面的术语,安装和添加用户并且涵盖了一小部分别的知识。一个更高级的帮助文档将会在不久发布(译者注:正在翻译), 包 含了如何编辑策略等内容。(which causes a little too much information overload with use
鸿蒙系统研究之五:替换 AOSP 预编译库,关闭 SELinux
云水木石
07-14 2214
这是我的鸿蒙系统研究系列文章的第五篇,有兴趣还可以看看前面的文章:鸿蒙系统研究第一步:从源码构建系统镜像鸿蒙系统研究之二:内核编译鸿蒙系统研究之三:迈出平台移植第一步鸿蒙系统研究之四:根文...
Security options安全选项
steel0205的专栏
03-06 220
kernel 安全config选项介绍
配置selinux规则
06-11
setenforce 1 # 设置 SELinux 为 Enforcing 模式,严格阻止不符合规则的行为 ``` 3. 确认需要保护的文件或目录的 SELinux 安全上下文: ``` ls -Z /path/to/file ``` 4. 如果需要修改 SELinux 安全上下文,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值