# vim /etc/selinux/config
/per yw /= p D ZZ
//快捷键,找到pre, 复制一个单词 (permissive) ,找到 /=,粘贴单词,删除后面内容,退出保存。 网页链接 一起学习linux
# cat /etc/selinux/config
# setenforce 0
# getenforce
SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要由美国国家安全局开发。26 及以上版本的 Linux 内核都已经集成了 SELinux 模块。
SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。
SELinux目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。
在目前的大多数发行版中,已经默认在内核集成了SELinux。
举例来说,系统上的 Apache 被发现存在一个漏洞,使得某远程用户可以访问系统上的敏感文件(比如 /etc/passwd 来获得系统已存在用户) ,而修复该安全漏洞的 Apache 更新补丁尚未释出。此时 SELinux 可以起到弥补该漏洞的缓和方案。因为 /etc/passwd 不具有 Apache 的 访问标签,所以 Apache 对于 /etc/passwd 的访问会被 SELinux 阻止。
相比其他强制性访问控制系统,SELinux 有如下优势:
SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括 域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的 *** 作 。
Android分为 宽容模式 (仅记录但不强制执行 SELinux 安全政策 )和 强制模式 (强制执行并记录安全政策。如果失败,则显示为 EPERM 错误。 );在选择强制执行级别时只能二择其一。
您的选择将决定您的政策是采取 *** 作,还是仅允许您收集潜在的失败事件。宽容模式在实现过程中尤其有用。
DAC是传统的Linux的访问控制方式,DAC可以对文件、文件夹、共享资源等进行访问控制。
在DAC这种模型中,文件客体的所有者(或者管理员)负责管理访问控制。
DAC使用了ACL(Access Control List,访问控制列表)来给非管理者用户提供不同的权限,而root用户对文件系统有完全自由的控制权。
MAC是任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。
凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
这个机制相当于一个白名单,这个白名单上配置了所有进程的权限,进程只能做白名单上权限内的事情,一旦它想做一个不属于它权限的 *** 作就会被拒绝。
这就需要使用到配置文件和其对应的te语法。
语法解析:
指定一个“域”(domain),一般用于描述进程,该域内的的进程,受该条TE语句的限制。
用 type 关键字,把一个自定义的域与原有的域相关联,最简单地定义一个新域的方式为:
意思为赋予shell给domain属性,同时,shell与属于domain这个集合里。
例如:有一个allow domain xxxxx 的语句,同样地也给了shell xxxxx的属性。
进程需要 *** 作的客体(文件,文件夹等)类型(安全上下文),同样是用type与一些已有的类型,属性相关联。
type有两个作用,定义(声明)并关联某个属性。
可以把这两个作用分开,type定义,typeattribute进行关联。
class定义在文件 system/sepolicy/private/security_classes 中.
定义在 system/sepolicy/private/access_vectors 。有两种定义方法。
SELinux中,每种东西都会被赋予一个安全属性,它就是SecurityContext(Security Context以下简称SContext,安全上下文或安全属性)是一个字符串,主要由三部分组成。
例如在 SELinux for Android中,进程的SContext可以通过PS-Z命令查看,如下:
其中:
1 kernel/msm-318/security/selinux/
2 external/selinux/
3 用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件,主要包括device/<oem_name>/sepolicy/<product_name>/和system/sepolicy/,以及其他功能模块添加的配置文件。
一文彻底明白linux中的selinux到底是什么
SELinux之一:SELinux基本概念及基本配置
Android selinux配置和用法
详解 SEAndroid 以及 Hack 其规则(sepolicy)
SELinux/SEAndroid 实例简述(二) TE语言规则
安装步骤:
第1步:进入REC,刷StockRider_Kernel_v2110,韩版第三方SRK内核,韩版专用,别的机型请自行寻找!刷第三方内核主要就是开放SELinux安全权限,为运行V4A做铺垫!如果你的手机本身开放了SELinux安全权限也可以直接跳过这步!如果你的手机是第三方内核也可以直接跳过这步!
第2步:安装V4A优化工具10,必须在运行V4A前安装, 安装完直接运行,点最下面的优化按钮,提示完已备份,然后重启手机!就是这个优化工具让V4A能在511的ROM上有效果!
第3步:安装ViPER4Android FX_2340,这个就不用说了,直接安装,安装完直接运行,然后重启手机!OK,完成!
4:SELinux-Mode-Changer-301:打开SELinux安全权限的工具!一般第三方内核都打开了,不需要安装!主要是打开那些支持SELinux安全权限,但还没有开放SELinux安全权限的内核!首先打开手机设置,关于设备,查看SELinux安全权限状态,如果SELinux安全权限没有开放,再安装!安装完直接运行,有两个按钮,如果上面的PERMISSIVEA按钮是灰色的,说明SELinux安全权限已经开放,如果是可用状态,说明SELinux安全权限没有开放,点上面的PERMISSIVEA按钮就行了!反正你要想办法开放手机的SELinux安全权限,V4A主要就是靠SELinux安全权限运行的!三星511官方内核把SELinux安全权限给上锁了,这个工具对三星511的官方内核不管用,三星官方444之前管用!除了三星,国产手机都开放了SELinux安全权限!
5:Busybox工具箱:为V4A提供busybox运行环境!这个也是必备的,一般第三方ROM都集成了busybox工具箱,不需要安装![/hide]你好朋友
1 禁止selinux
11 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX
12 还可以在systemprop中定义robootselinux=disable
这两种方法都可以禁用selinux,也可以设置成robootselinux=permissive
宽容模式
13 可以通过setenforce 1 开启enforce模式,setenforce 0 为permissive模式
getenforce获取当前模式
2 所有安全策略最终编译成sepolicy文件放在root目录下,init进程启动后会读取/sepolicy策略文件,并通过/sys/fs/selinux/load节点
把策略文件内容写入内核
3 安全上下文存放root目录
/etc/security/mac_permissionsxml
/file_contexts //系统中所有file_contexts安全上下文
/seapp_contexts //app安全上下文
/property_contexts //属性的安全上下文
/service_contexts //service文件安全上下文
genfs_contexts //虚拟文件系统安全上下文
4 app在/data/data/文件的安全上下文设置过程
1 根据uid,pkgname,seinfo在seapp_contexts中匹配
2 根据匹配到的contexts,重新设置给相对应文件
5 系统中所有的object class 定义在external/sepolicy/security_classes中
object class使用在allow语句中,object class所具有的 *** 作定义在external/sepolicy/access_vectors
文件中
6 allow语句
allow语句用来权限设置
rule_name source_type target_type : class perm_set
rule_name : 有allow,neverallow
source_type : 权限主体,表示source_type对target_type有perm_set描述的权限
如:
allow zygote init:process sigchld
允许zygote域里面的进程可对init域的进程发送sigchld信号
typeattribute表示把属性和type关联起来
7 role定义
Android系统中的role定义在external/sepolicy/roles中,
目前只定义了r
8 socket 使用
以/data/misc/wifi/sockets/wlan0 socket来说明使用方法
1 定义socket type
type wpa_socket ,file_type
2 指定安全上下文
/data/misc/wifi/sockets(/) u:object_r:wpa_socket:s0
给/data/misc/wifi/sockets目录下所有的文件统一指定安全上下文为wpa_socket
3声明socket使用权限
在进程te中使用unix_socket_send(clientdomain, wpa, serverdomain)即可建立socket连接
9 binder使用
在使用binder 进程的te中根据情况使用如下宏:
binder_use(domain)//允许domain域中的进程使用binder通信
binder_call(clientdomain, serverdomain) //允许clientdomain和serverdomain域中的进程通信
binder_service(domain) //标志domain为service端
10 文件的使用
以/dev/wmtWifi来说明:
1.定义type
type wmtWifi_device dev_type //dev_type用来标志/dev/下的文件
2.给/dev/wmtWifi指定完全上下文
/dev/wmtWifi(/) u:object_r:wmtWifi_device:s0
3进程权限设置
在进程te文件中allow权限
allow netd wmtWifi_device:chr_file { write open };
11 property 属性设置
以蓝牙的各种属性来说明
1.定义type
type bluetooth_prop, property_type;
2 设置安全上下文
bluetooth u:object_r:bluetooth_prop:s0
3 进程权限设置
allow bluetooth bluetooth_prop:property_service set;
5 专业词汇
MLS :Multi-Level Security
RBAC :Role Based Access Control
DAC :Discretionary Access Control
MAC :Mandatory Access Control
TEAC :Type Enforcement Accesc Control
望采纳祝你好运1 永久方法 _ 需要重启服务器\x0d\修改/etc/selinux/config文件中设置SELINUX=disabled ,然后重启服务器。\x0d\2 临时方法 _ 设置系统参数\x0d\使用命令setenforce 0\x0d\附:\x0d\setenforce 1 设置SELinux 成为enforcing模式\x0d\setenforce 0 设置SELinux 成为permissive模式\x0d\望采纳
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)