Android临时和永久关闭selinux

最新推荐文章于 2024-07-01 17:25:46 发布
最新推荐文章于 2024-07-01 17:25:46 发布
阅读量2.3w 收藏 33
点赞数 3
分类专栏: Linux驱动 Android系统 文章标签: selinux 关闭selinux Android selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangdaxia2/article/details/98243665
版权

当我们想要临时关闭selinux时,如果可以获得root权限,通过adb如下指令可以临时关闭selinux:

setenforce 0

如果需要长期关闭,则需要用其他方法,先看slinue启动的位置:

Android启selinux从init开始。在init.cpp中有:

static void selinux_initialize(bool in_kernel_domain) {
    Timer t;

    selinux_callback cb;
    cb.func_log = selinux_klog_callback;
    selinux_set_callback(SELINUX_CB_LOG, cb);
    cb.func_audit = audit_callback;
    selinux_set_callback(SELINUX_CB_AUDIT, cb);

    if (in_kernel_domain) {
        INFO("Loading SELinux policy...\n");
        if (selinux_android_load_policy() < 0) {
            ERROR("failed to load policy: %s\n", strerror(errno));
            security_failure();
        }

        bool kernel_enforcing = (security_getenforce() == 1);
        bool is_enforcing = selinux_is_enforcing();
        if (kernel_enforcing != is_enforcing) {
            if (security_setenforce(is_enforcing)) {
                ERROR("security_setenforce(%s) failed: %s\n",
                      is_enforcing ? "true" : "false", strerror(errno));
                security_failure();
            }
        }

        if (write_file("/sys/fs/selinux/checkreqprot", "0") == -1) {
            security_failure();
        }

        NOTICE("(Initializing SELinux %s took %.2fs.)\n",
               is_enforcing ? "enforcing" : "non-enforcing", t.duration());
    } else {
        selinux_init_all_handles();
    }
}

这里通过security_setenforce函数去设置是否启动selinux,启动的条件是kernel_enforcing和is_enforcing如果不一致,则设置selinux启动选项为is_enforcing。

我们看security_getenforce实现,在/external/selinux/libselinux/src/getenforce.c目录下:

int security_getenforce(void)
{
    int fd, ret, enforce = 0;
    char path[PATH_MAX];
    
    snprintf(path, sizeof path, "%s/enforce", selinux_mnt);
    fd = open(path, O_RDONLY);
    
    memset(buf, 0, sizeof buf);
    ret = read(fd, buf, sizeof buf - 1);
    close(fd);
    
    if (sscanf(buf, "%d", &enforce) != 1)
        return -1;
    return enforce;
    
}

所以首先获取一个节点数值,Android改节点路径为/sys/fs/selinux/enforce,这个值表示是否开启selinux。

另一个判定条件是selinux_is_enforcing()函数。其定义如下:

enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING };

static selinux_enforcing_status selinux_status_from_cmdline() {
    selinux_enforcing_status status = SELINUX_ENFORCING;

    import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) {
        if (key == "androidboot.selinux" && value == "permissive") {
            status = SELINUX_PERMISSIVE;
        }
    });

    return status;
}

此处从cmdline中获取androidboot.selinux的值,如果是permissive,则返回SELINUX_PERMISSIVE,即0,否则返回SELINUX_ENFORCING。

如果enforce节点和cmdline设置不一致,则调用security_setenforce重新设置selinux的enforce节点值。

因此想要关闭selinux,我们只需要在cmdline中设置一组参数:

androidboot.selinux=permissive

对于Android7.1, 设置位置可以是平台的BoardConfig.mk

BOARD_KERNEL_CMDLINE := console=ttyHSL0,115200,n8 androidboot.console=ttyHSL0 androidboot.hardware=qcom msm_rtb.filter=0x237 ehci-hcd.park=3 androidboot.bootdevice=7824900.sdhci lpm_levels.sleep_disabled=1 earlyprintk androidboot.selinux=permissive

内核启动时会有如下打印:

<6>[    0.001053] Security Framework initialized
<6>[    0.001091] SELinux:  Initializing.
<7>[    0.001185] SELinux:  Starting in permissive mode

<5>[    9.117477] audit: type=1400 audit(1489810287.106:3): avc:  denied  { net_raw } for  pid=368 comm="pm-service" capability=13  scontext=u:r:per_mgr:s0 tcontext=u:r:per_mgr:s0 tclass=capability permissive=1

可以看到selinue运行在permissive模式,即不会限制domain/type存取,仅仅打印log,log中也显示permissive=1。

VaderZhang
关注
  • 3
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
临时/永久关闭Linux下的selinux
01-25
本资源介绍了如何临时关闭selinux永久关闭selinux的方法
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android中的SELinux
麦芽的博客
01-16 1897
SELinux (Security Enhanced Linux)是由美国NSA(国安局)和 SCC 开发的 Linux 的一个扩张强制访问控制安全模块,目的是最大限度减少系统中服务进程可访问的资源。Google 在 Android 4.4 上正式添加以 SELinux 为基础的系统安全机制,命名为SEAndroid。SEAndroid 在架构和机制上与 SELinux 完全一样,基于移动设备的特点,SEAndroid 的只是所以移植 SELinux 的一个子集。
安卓selinux调试
最新发布
kk_judge的博客
07-01 621
selinux安卓权限问题
Android Selinux详解[一]---整体介绍
weixin_41028555的博客
03-07 1926
Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。ELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。下面大概介绍一下工作中经常遇到的Selinux相关知识。
Android SELinux
学无止境
12-21 2416
SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。强制模式:权限拒绝事件会被记录下来并强制执行。
Android 系统SELinux(SEAndroid
tq501501的博客
06-25 3729
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
关闭selinux(防火墙)方法分享
09-15
本文将介绍如何检查 SELinux 的状态以及如何关闭它,包括临时关闭永久关闭的方法。 首先,我们需要了解如何查看 SELinux 当前的状态。通过执行以下命令,我们可以获取有关 SELinux 的信息: ```bash # sestatus ...
关闭selinux.docx
03-16
1. **临时关闭**:在命令行中运行 `setenforce 0` 命令,可以临时SELinux 设置为“Permissive”模式,即宽松模式。在这种模式下,虽然不会强制执行策略,但会记录所有违反策略的行为,方便后期排查问题。 2. **...
SELinux for Android 8.0
12-10
This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip ...
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
Android系统SELinux详解
u010345983的博客
10-24 851
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
【干货】Android系统定制基础篇:第五部分(Android关闭selinuxAndroid设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 2307
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 9000
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android系统启动流程(二)——Selinux初始化(基于Android13)
一切皆是定数的博客
04-16 1816
Selinux,全称为Security-Enhanced Linux,即安全增强型Linux,是Linux中的一种安全管控策略。传统的Linux访问控制通过DAC(Discretionary Access Control)控制,即给用户、用户组、其他用户授予不同的读写和可执行权限来控制文件的访问。Selinux基于MAC(Mandatory Access Control)控制,基于安全上下文和安全策略的安全机制,只有定义了允许访问的规则的才能访问,否则默认不能访问。
Android 10 如何关闭selinux权限
wq892373445的博客
10-18 4525
由于应用层访问设备节点的时候,因为selinux权限问题而访问不了,所以就先关闭selinux 代码路径: system/core/init/selinux.cpp 1、在/selinux.cpp文件中SelinuxInitialize()方法初始化selinux权限问题 void SelinuxInitialize() { Timer t; LOG(INFO) << "Loading SELinux policy"; if (!LoadPolicy()) {
Android 各版本关闭 Selinux 的方法
热门推荐
Change The World
05-09 1万+
运行时调试开关 Selinux   Cmd Discription Other adb shell getenforce 查看当前 Selinux 功能是 permissive(关闭)还是 enforce(打开)的 adb shell setenforce 0 开Selinux:设置成模式permissive adb shell setenforce 1 关Selinux:设置成模式enforce 说明:setenforce 修改的状态在设备重启后会失效,需要重新执行命令重
基于Android13的系统启动流程分析(一)之SeLinux权限介绍
q1210249579的博客
01-11 4778
SeLinux,SeAndroid,init进程启动
永久关闭防火墙和临时关闭selinux
04-29
请注意,关闭防火墙和SELinux可能会导致系统安全受损。建议在必要时进行操作,并在完成后重新启用防火墙和SELinux永久关闭防火墙: 1. 使用 root 用户登录系统。 2. 执行命令:systemctl stop firewalld.service 3. 执行命令:systemctl disable firewalld.service 4. 执行命令:systemctl status firewalld.service 以确认防火墙已经停止并且已经禁用。 临时关闭SELinux: 1. 使用 root 用户登录系统。 2. 执行命令:setenforce 0 3. 执行命令:getenforce 以确认SELinux已被禁用。 4. 执行命令:setenforce 1 以重新启用SELinux
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值