androidselinux关闭

① android之SElinux小记

SELinux是安全增强型 Linux（Security-Enhanced Linux）简称 SELinux。它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。

SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。

SELinux 的结构及配置非常复杂，而且有大量概念性的东西，要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。

SELinux目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。

在目前的大多数发行版中，已经默认在内核集成了SELinux。

举例来说，系统上的 Apache 被发现存在一个漏洞，使得某远程用户可以访问系统上的敏感文件(比如 /etc/passwd 来获得系统已存在用户) ，而修复该安全漏洞的 Apache 更新补丁尚未释出。此时 SELinux 可以起到弥补该漏洞的缓和方案。因为 /etc/passwd 不具有 Apache 的 访问标签，所以 Apache 对于 /etc/passwd 的访问会被 SELinux 阻止。

相比其他强制性访问控制系统，SELinux 有如下优势：

SELinux for Android在架构和机制上与SELinux完全一样，考虑到移动设备的特点，所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源，包括 域转换，类型转换，进程、内核、文件、目录、设备，App，网络及IPC相关的操作 。

Android分为 宽容模式 (仅记录但不强制执行 SELinux 安全政策 )和 强制模式 (强制执行并记录安全政策。如果失败，则显示为 EPERM 错误。 )；在选择强制执行级别时只能二择其一。

您的选择将决定您的政策是采取操作，还是仅允许您收集潜在的失败事件。宽容模式在实现过程中尤其有用。

DAC是传统的Linux的访问控制方式，DAC可以对文件、文件夹、共享资源等进行访问控制。

在DAC这种模型中，文件客体的所有者（或者管理员）负责管理访问控制。

DAC使用了ACL（Access Control List，访问控制列表）来给非管理者用户提供不同的权限，而root用户对文件系统有完全自由的控制权。

MAC是任何进程想在SELinux系统中干任何事情，都必须先在安全策略配置文件中赋予权限。

凡是没有出现在安全策略配置文件中的权限，进程就没有该权限。

这个机制相当于一个白名单，这个白名单上配置了所有进程的权限，进程只能做白名单上权限内的事情，一旦它想做一个不属于它权限的操作就会被拒绝。

这就需要使用到配置文件和其对应的te语法。

语法解析：

指定一个“域”（domain），一般用于描述进程，该域内的的进程，受该条TE语句的限制。

用 type 关键字，把一个自定义的域与原有的域相关联,最简单地定义一个新域的方式为：

意思为赋予shell给domain属性，同时，shell与属于domain这个集合里。

例如：有一个allow domain xxxxx 的语句，同样地也给了shell xxxxx的属性。

进程需要操作的客体（文件，文件夹等）类型（安全上下文），同样是用type与一些已有的类型，属性相关联。

type有两个作用，定义（声明）并关联某个属性。

可以把这两个作用分开，type定义，typeattribute进行关联。

class定义在文件 system/sepolicy/private/security_classes 中．

定义在 system/sepolicy/private/access_vectors 。有两种定义方法。

SELinux中，每种东西都会被赋予一个安全属性，它就是SecurityContext（Security Context以下简称SContext，安全上下文或安全属性）是一个字符串，主要由三部分组成。

例如在 SELinux for Android中，进程的SContext可以通过PS-Z命令查看，如下：

其中：

1. kernel/msm-3.18/security/selinux/
2. external/selinux/
3. 用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件，主要包括device/<oem_name>/sepolicy/<proct_name>/和system/sepolicy/，以及其他功能模块添加的配置文件。

一文彻底明白linux中的selinux到底是什么
SELinux之一：SELinux基本概念及基本配置
Android selinux配置和用法
详解 SEAndroid 以及 Hack 其规则（sepolicy）
SELinux/SEAndroid 实例简述（二） TE语言规则

② 小米关闭selinux好处

作用：最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

工作模式 :

enforcing：强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。

permissive：宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。

disabled：关闭 SELinux

关闭方法 :

1. 临时关闭:关机重启都会失效
   

2.永久关闭:关机重启都会有效（检查selinux系统是否被成功关闭）

③ 安卓代码能不能实现关闭SElinux权限

不可以
1.3 方法1：adb在线修改

关闭 seLinux：

打开seLinux：

Enforcing：seLinux已经打开；
Permissive：seLinux已经关闭；

1.4 方法2： 从kernel中彻底关闭 （用于开机初始化时的seLinux权限问题，要重编bootimage）

修改LINUX/android/kernel/arch/arm64/configs/XXXdefconfig文件（找相应config文件）
去掉CONFIG_SECURITY_SELINUX=y 的配置项

2. 在sepolicy中添加相应权限

2.1 修改依据：
log 信息:
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0

2.2 修改步骤：
找相应的“源类型.te ”文件

有两个位置可能存在相应的te文件：

位置一：LINUX/android/external/sepolicy
位置二：LINUX/android/device/qcom/sepolicy/common

2.3 按如下格式在该文件中添加：

allow 源类型 目标类型:访问类别 {权限}；

2.4 举例
Kernel Log：
avc: denied { execheap } for pid=7201 comm="com..input" scontext=u:r:untrusted_app:s0tcontext=u:r:untrusted_app:s0tclass=processpermissive=0

修改：
在LINUX/android/external/sepolicy/untrusted_app.te 中添加：

[java] view plain
<span style="font-size:24px;color:#009900;">allow untrusted_app untrusted_app:process { execheap };</span>

备注:
在这个例子中，由于源类型和目标类型都是untreated_app, 所以也可以写成：

[java] view plain
<span style="font-size:24px;color:#009900;">allow untrusted_app self:process { execheap };</span>

3. 添加权限后的neverallowed冲突

3.1 编译报错：
libsepol.check_assertion_helper: neverallow on line xxx ofexternal/sepolicy/domain.te ……

3.2 原因：
新添加的sepolicy项目违反了domain.te 中规定的的总策略原则。所以该条权限策略不能添加，如果强行添加的话有CTS测试失败的风险。

3.3 解决方法：
1.从运行log中找到要访问的目标名称，一般是name字段后的名称
avc: denied { read write } for pid=303 comm="mediaserver"name="tfa9890"dev="tmpfs" ino=3880 scontext=u:r:mediaserver:s0tcontext=u:object_r:device:s0tclass=chr_file permissive=0

2.找到相应的*_contexts文件。

一般有file_contexts, genfs_contexts, property_contexts, service_contexts 等文件

3.在contexts文件中指定要访问的目标为一个“源类型 ”有权限访问的“目标类型”
如：在file_contexts中添加： /dev/tfa9890 u:object_r:audio_device:s0

3.4 举例
添加权限：
在mediaserver.te中添加allow mediaserver device:chr_file { read write open};

编译报错：
libsepol.check_assertion_helper: neverallow on line 258 ofexternal/sepolicy/domain.te (or line 5252 of policy.conf) violated byallow mediaserver device:chr_file { read write open};

违反了domain.te 258的：
neverallow {domain –unconfineddomain –ueventd } device:chr_file { open read write}

运行Log：
avc: denied { read write } for pid=303 comm="mediaserver"name="tfa9890" dev="tmpfs" ino=3880 scontext=u:r:mediaserver:s0 tcontext=u:object_r:device:s0tclass=chr_file permissive=0

修改步骤：

1.目标名称是： tfa9890, 其在系统中的路径是： /dev/tfa9890, 是audio相关的设备文件
2.源类型是mediaserver, 在mediaserver.te 文件中发现其具有 audio_device 目标类型的权限
3.所以在file_contexts 中添加 “/dev/tfa9890 u:object_r:audio_device:s0” 可以解决问题

④ 安卓关闭selinux好处

你好朋友
1. 禁止selinux

1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX
1.2 还可以在system.prop中定义ro.boot.selinux=disable
这两种方法都可以禁用selinux,也可以设置成ro.boot.selinux=permissive
宽容模式
1.3 可以通过setenforce1开启enforce模式,setenforce 0为permissive模式
getenforce获取当前模式

2. 所有安全策略最终编译成sepolicy文件放在root目录下,init进程启动后会读取/sepolicy策略文件,并通过/sys/fs/selinux/load节点
把策略文件内容写入内核

3 安全上下文存放root目录
/etc/security/mac_permissions.xml
/file_contexts //系统中所有file_contexts安全上下文
／seapp_contexts //app安全上下文
／property_contexts //属性的安全上下文
／service_contexts //service文件安全上下文

genfs_contexts //虚拟文件系统安全上下文

4. app在/data/data/文件的安全上下文设置过程
1. 根据uid,pkgname,seinfo在seapp_contexts中匹配.
2. 根据匹配到的contexts,重新设置给相对应文件

5. 系统中所有的object class 定义在external/sepolicy/security_classes中.
object class使用在allow语句中，object class所具有的操作定义在external/sepolicy/access_vectors
文件中

6 allow语句
allow语句用来权限设置
rule_name source_type target_type : class perm_set

rule_name : 有allow,neverallow
source_type : 权限主体,表示source_type对target_type有perm_set描述的权限
如:
allow zygote init:process sigchld
允许zygote域里面的进程可对init域的进程发送sigchld信号

typeattribute表示把属性和type关联起来

7 role定义
Android系统中的role定义在external/sepolicy/roles中,
目前只定义了r

8 socket使用
以/data/misc/wifi/sockets/wlan0 socket来说明使用方法
1. 定义socket type
type wpa_socket ,file_type
2. 指定安全上下文
/data/misc/wifi/sockets(/.*)? u:object_r:wpa_socket:s0
给/data/misc/wifi/sockets目录下所有的文件统一指定安全上下文为wpa＿socket
3.声明socket使用权限
在进程te中使用unix_socket_send(clientdomain, wpa, serverdomain)即可建立socket连接

9binder使用
在使用binder进程的te中根据情况使用如下宏:
binder_use(domain)//允许domain域中的进程使用binder通信
binder_call(clientdomain, serverdomain)//允许clientdomain和serverdomain域中的进程通信
binder_service(domain)／／标志domain为service端

10 文件的使用
以/dev/wmtWifi来说明：
1．定义type
type wmtWifi_device dev_type //dev_type用来标志/dev/下的文件
2．给/dev/wmtWifi指定完全上下文
/dev/wmtWifi(/.*)? u:object_r:wmtWifi_device:s0

3.进程权限设置
在进程te文件中allow权限
allow netd wmtWifi_device:chr_file { write open };

11 property 属性设置
以蓝牙的各种属性来说明
1．定义type
type bluetooth_prop, property_type;
2设置安全上下文
bluetooth. u:object_r:bluetooth_prop:s0
3进程权限设置
allow bluetooth bluetooth_prop:property_service set;

5 专业词汇
MLS :Multi-Level Security
RBAC :Role Based Access Control
DAC :Discretionary Access Control
MAC :Mandatory Access Control
TEAC :Type Enforcement Accesc Control
望采纳祝你好运

⑤ Android 中怎样查找SELinux导致的权限受限有关问题

在Android KK 4.4 版本后，Google 有正式有限制的启用SELinux, 来增强android 的安全保护。
SELinux 分成enforcing mode 和 permissive mode, enforcing mode 会强制性限制访问; 而permissve mode 只审查权限, 但不限制, 即不会产生实质性影响.

KK 版本, Google 只有限制的启用SELinux, 即只有针对netd, installd, zygote, vold 以及它们直接fork 出的child process 使用enforcing mode, 但不包括zygote fork的普通app.

L 版本, Google 全面开启SELinux, 几乎所有的process 都使enforcing mode， 影响面非常广.

另外为了限制user 版本root 权限，针对su 有做特别的处理，可以参考FAQ android KK 4.4 版本后，user 版本su 权限严重被限制问题说明

目前所有的SELinux check 失败，在kernel log 或者android log(L版本后)中都有对应的"avc: denied" 或者 "avc: denied"的LOG 与之对应。反过来，有此LOG，并非就会直接失败，还需要确认当时SELinux 的模式, 是enforcing mode 还是 permissve mode.

如果问题容易复现，可以先将SELinux 模式调整到Permissive mode，然后再测试确认是否与SELinux 约束相关.