SELinux

最新推荐文章于 2022-02-26 15:21:13 发布
最新推荐文章于 2022-02-26 15:21:13 发布
阅读量143 收藏
点赞数
分类专栏: 系统运维 维护 文章标签: SELinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ynchyong/article/details/119566396
版权
SELinux是一种强制访问控制机制,通过安全策略决定程序对文件的访问权限。它的工作模式包括强制、宽容和禁用,其中强制模式会严格遵循策略规则。在宽容模式下,虽然不会拒绝访问,但会记录日志。修改SELinux模式可通过命令行或配置文件进行。此外,自定义策略涉及允许、不允许和记录访问决策的规则,以及不同类型和许可的对应关系。要了解SELinux状态,可以使用相应命令获取系统详细报告。
摘要由CSDN通过智能技术生成

1. SELinux 工作

当一个主体Subject(如一个程序)尝试访问一个目标Object(如一个文件),SELinux安全服务器SELinux Security Server(在内核中)从策略数据库Policy Database中运行一个检查。基于当前的模式mode,如果 SELinux 安全服务器授予权限,该主体就能够访问该目标。如果SELinux安全服务器拒绝了权限,就会在/var/log/messages中记录一条拒绝信息。

2. 工作模式

模式将规定 SELinux 在主体请求时如何应对。这些模式是:
-Enforcing强制— SELinux 策略强制执行,基于 SELinux 策略规则授予或拒绝主体对目标的访问

  • Permissive 宽容— SELinux 策略不强制执行,不实际拒绝访问,但会有拒绝信息写入日志
  • Disabled 禁用— 完全禁用SELinux

查看工作模式

getenforce  # 返回  Enforcing、Permissive,或者Disabled

不推荐关闭 SELinux, 如果关闭可能出现

  1. 磁盘上的文件可能会被打上错误的权限标签,需要你重新标记权限才能修复。
  2. 无法修改一个以Disabled 模式启动的系统的模
最低0.47元/天 解锁文章
ynchyong
关注
专栏目录
Android6.0 selinux没有对某个文件的权限(又neverAllow)处理方法
kc58236582的博客
01-18 1万+
一、案例 我们举个案例,比如recovery升级中,碰到这个的log 01-01 08:03:22.410000 217 217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recov
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 2204
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android SeLinux权限问题
Flying snow
09-29 2393
(1)权限确认&示例 avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0 Kenel log: avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u:r:untrusted_app:s0 tcontext=u:r:untrusted
Android SELinux 权限问题处理
jgw2008的专栏
02-26 6126
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforc
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 7249
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
SELinux中保护进程间通信
最新发布
07-09
### 在SELinux中保护进程间通信 #### 引言 随着现代计算技术的发展,系统安全变得日益重要。其中,强制访问控制(Mandatory Access Control, MAC)机制是实现安全系统的关键组成部分之一。在安全系统设计中,对...
SELinux】通过neverallow语句来认知“属性”的意义
aaajj的专栏
02-25 6179
关于neverallow   对于类型为system_server_service 的服务,由于设置了 add_service(system_server, system_server_service);   里面调用了neverallow, add_service是个宏,定义在 system/sepolicy/public/te_macros   556###########...
Android O selinux违反Neverallow解决办法
纸上得来终觉浅,绝知此事要躬行
11-19 6406
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下: 1、Android O selinux相关配置文件所在路径 system/sepolicy/* AOSP device和APPS相关selinux配置 device/qcom/sepolicy/* 平台和板卡相关selinux配置 2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规...
【Android】关于selinux等引起的权限问题
Joymine的专栏
11-01 2358
本文章会持续更新问题背景1:在系统中间增加一个parameter分区,主要用来存储音频参数等硬件参数。但是在audioserver进程访问的时候出现权限问题 相关信息:Android N+MTK 如何创建分区打包成镜像放到手机? 在build/core/Makefile中间的修改如下: ## Generate an ext4 image TARGET_PARAMETER_OUT := $(PR
SELinux For Android(Android O)
从0到1,突破自己
02-05 8533
注!该文章主要是从Android官方文档SELinux模块进行精简,简单添加了一些自己的理解     从 Android 4.3 起,SELinux 开始为传统的自主访问控制 (DAC) 环境提供强制访问控制 (MAC) 保护功能。例如,软件通常情况下必须以 Root 用户帐号的身份运行,才能向原始块设备写入数据。在基于 DAC 的传统 Linux 环境中,如果 Root 用户遭到入侵,攻击
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
selinux权限问题
明朗晨光的专栏
10-24 6496
adb修改selinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前selinux状态 setenforce 1; //打开selinux setenforce 0; //关闭selinux 从kernel中彻底关闭 修改/linux/android/kernel/arch/arm64/configs/xxx_defconf...
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统中,Security Enhanced Linux(SELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ynchyong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值