selinux常用参数

了解和配置 SELinux

1 获取当前 SELinux 运行状态

getenforce

可能返回结果有三种：Enforcing、Permissive 和 Disabled。Disabled 代表 SELinux 被禁用，Permissive 代表仅记录安全警告但不阻止 可疑行为，Enforcing 代表记录警告且阻止可疑行为。

目前常见发行版中，RHEL、CentOS、Fedora 等默认设置为 Enforcing，其余的如 openSUSE 等为 Permissive。

2 改变 SELinux 运行状态

setenforce [ Enforcing | Permissive | 1 | 0 ]

该命令可以立刻改变 SELinux 运行状态，在 Enforcing 和 Permissive 之间切换，结果保持至关机。一个典型的用途是看看到底是不是 SELinux 导致某个服务或者程序无法运行。若是在 setenforce 0 之后服务或者程序依然无法运行，那么就可以肯定不是 SELinux 导致的。

若是想要永久变更系统 SELinux 运行环境，可以通过更改配置文件 /etc/selinux/config 实现。注意当从 Disabled 切换到 Permissive 或者 Enforcing 模式后需要重启计算机并为整个文件系统重新创建安全标签(touch /autorelabel && reboot)。

[root@web2 ~]# vim /etc/selinux/config

# This file controls the state of SELinux on the system

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced

# permissive - SELinux prints warnings instead of enforcing

# disabled - No SELinux policy is loaded

SELINUX=enforcing

# SELINUXTYPE= can take one of these two values:

# targeted - Targeted processes are protected,

# mls - Multi Level Security protection

SELINUXTYPE=targeted

3 SELinux 运行策略

配置文件 /etc/selinux/config 还包含了 SELinux 运行策略的信息，通过改变变量 SELINUXTYPE 的值实现，该值有两种可能： targeted 代表仅针对预制的几种网络服务和访问请求使用 SELinux 保护，strict 代表所有网络服务和访问请求都要经过 SELinux。

RHEL、CentOS、Fedora 等默认设置为 targeted，包含了对几乎所有常见网络服务的 SELinux 策略配置，已经默认安装并且可以无需修改直接使用。 若是想自己编辑 SELinux 策略，也提供了命令行下的策略编辑器 seedit 以及 Eclipse 下的编辑插件 eclipse-slide 。

4 coreutils 工具的 SELinux 模式

常见的属于 coreutils 的工具如 ps、ls 等等，可以通过增加 Z 选项的方式获知 SELinux 方面的信息。

41使用ps获取：

[barlow@web1 ~]$ ps -auxZ |grep >

可以译为:“你若不离不弃,我必生死相依。” 如果你不离开,我会求生不得,求死不能。 追了一姑娘很多年了,那天她QQ发我一句:If you do not leave me -I will by your side until the life end 我没看懂请过了6级的朋友翻译

几乎可以肯定每个人都听说过 SELinux (更准确的说，尝试关闭过)，甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞，或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。

SELinux 与强制访问控制系统

SELinux 全称 Security Enhanced Linux (安全强化 Linux)，是 MAC (Mandatory Access Control，强制访问控制系统)的一个实现，目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防火墙或 ACL 的替代品，在用途上也不重复。

举例来说，系统上的 Apache 被发现存在一个漏洞，使得某远程用户可以访问系统上的敏感文件(比如 /etc/passwd 来获得系统已存在用户)，而修复该安全漏洞的 Apache 更新补丁尚未释出。此时 SELinux 可以起到弥补该漏洞的缓和方案。因为 /etc/passwd 不具有 Apache 的访问标签，所以 Apache 对于 /etc/passwd 的访问会被 SELinux 阻止。

相比其他强制性访问控制系统，SELinux 有如下优势：

●控制策略是可查询而非程序不可见的。

●可以热更改策略而无需重启或者停止服务。

●可以从进程初始化、继承和程序执行三个方面通过策略进行控制。

●控制范围覆盖文件系统、目录、文件、文件启动描述符、端口、消息接口和网络接口。

那么 SELinux 对于系统性能有什么样的影响呢根据 Phoronix 在 2009 年使用 Fedora 11 所做的横向比较来看，开启 SELinux 仅在少数情况下导致系统性能约 5% 的降低。

SELinux 是不是会十分影响一般桌面应用及程序开发呢原先是，因为 SELinux 的策略主要针对服务器环境。但随着 SELinux 8年来的广泛应用，目前 SELinux 策略在一般桌面及程序开发环境下依然可以同时满足安全性及便利性的要求。以刚刚发布的 Fedora 15 为例，笔者在搭建完整的娱乐(包含多款第三方原生 Linux 游戏及 Wine 游戏)及开发环境(Android SDK + Eclipse)过程中，只有 Wine 程序的首次运行时受到 SELinux 默认策略的阻拦，在图形化的“SELinux 故障排除程序”帮助下，点击一下按钮就解决了。

了解和配置 SELinux

1 获取当前 SELinux 运行状态

getenforce

可能返回结果有三种：Enforcing、Permissive 和 Disabled。Disabled 代表 SELinux 被禁用，Permissive 代表仅记录安全警告但不阻止可疑行为，Enforcing 代表记录警告且阻止可疑行为。

目前常见发行版中，RHEL 和 Fedora 默认设置为 Enforcing，其余的如 openSUSE 等为 Permissive。

2 改变 SELinux 运行状态

setenforce [ Enforcing | Permissive | 1 | 0 ]

该命令可以立刻改变 SELinux 运行状态，在 Enforcing 和 Permissive 之间切换，结果保持至关机。一个典型的用途是看看到底是不是 SELinux 导致某个服务或者程序无法运行。若是在 setenforce 0 之后服务或者程序依然无法运行，那么就可以肯定不是 SELinux 导致的。

若是想要永久变更系统 SELinux 运行环境，可以通过更改配置文件 /etc/sysconfig/selinux 实现。注意当从 Disabled 切换到 Permissive 或者 Enforcing 模式后需要重启计算机并为整个文件系统重新创建安全标签(touch /autorelabel && reboot)。

3 SELinux 运行策略

配置文件 /etc/sysconfig/selinux 还包含了 SELinux 运行策略的信息，通过改变变量 SELINUXTYPE 的值实现，该值有两种可能：targeted 代表仅针对预制的几种网络服务和访问请求使用 SELinux 保护，strict 代表所有网络服务和访问请求都要经过 SELinux。

RHEL 和 Fedora 默认设置为 targeted，包含了对几乎所有常见网络服务的 SELinux 策略配置，已经默认安装并且可以无需修改直接使用。

若是想自己编辑 SELinux 策略，也提供了命令行下的策略编辑器 seedit 以及 Eclipse 下的编辑插件 eclipse-slide 。

4 coreutils 工具的 SELinux 模式

常见的属于 coreutils 的工具如 ps、ls 等等，可以通过增加 Z 选项的方式获知 SELinux 方面的信息。

注释#SELINUX=enforcing

添加SELINUX=disabled

或从 系统->管理->安全级别和防火墙->SELinux ->禁用

vi /etc/sysconfig/selinux

# This file controls the state of SELinux on the system

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced

# permissive - SELinux prints warnings instead of enforcing

# disabled - SELinux is fully disablied

#SELINUX=enforcing

SELINUX=disabled

# SELINUXTYPE= type of policy in use Possible values are:

# targeted - Only targeted network daemons are protected

# strict - Full SELinux protection

SELINUXTYPE=targeted

其中红色的是要改掉的部分这样重启linux,eclipse就可以正常了

android （安卓）是完全开源的。

Android是一种基于Linux的自由及开放源代码的 *** 作系统。主要使用于移动设备，如智能手机和平板电脑，由Google（谷歌）公司和开放手机联盟领导及开发。

尚未有统一中文名称，中国大陆地区较多人使用“安卓”或“安致”。Android *** 作系统最初由Andy Rubin开发，主要支持手机。2005年8月由Google收购注资。

2007年11月，Google与84家硬件制造商、软件开发商及电信营运商组建开放手机联盟共同研发改良Android系统。随后Google以Apache开源许可证的授权方式，发布了Android的源代码。

扩展资料：

一、发展历程

2003年10月，Andy Rubin等人创建Android公司，并组建Android团队。

2005年8月17日，Google低调收购了成立仅22个月的高科技企业Android及其团队。安迪鲁宾成为Google公司工程部副总裁，继续负责Android项目。

2007年11月5日，谷歌公司正式向外界展示了这款名为Android的 *** 作系统，并且在这天谷歌宣布建立一个全球性的联盟组织，该组织由34家手机制造商、软件开发商、电信运营商以及芯片制造商共同组成。

并与84家硬件制造商、软件开发商及电信营运商组成开放手持设备联盟（Open Handset Alliance）来共同研发改良Android系统，这一联盟将支持谷歌发布的手机 *** 作系统以及应用软件，Google以Apache免费开源许可证的授权方式，发布了Android的源代码。

2008年，在GoogleI/O大会上，谷歌提出了AndroidHAL架构图，在同年8月18号，Android获得了美国联邦通信委员会（FCC）的批准，在2008年9月，谷歌正式发布了Android 10系统，这也是Android系统最早的版本。

二、系统内核

Android 是运行于Linux kernel之上，但并不是GNU/Linux。因为在一般GNU/Linux 里支持的功能，Android 大都没有支持，包括Cairo、X11、Alsa、FFmpeg、GTK、Pango及Glibc等都被移除掉了。

Android又以Bionic 取代Glibc、以Skia 取代Cairo、再以opencore取代FFmpeg等等。Android 为了达到商业应用，必须移除被GNU GPL授权证所约束的部份，例如Android将驱动程序移到 Userspace，使得Linux driver 与 Linux kernel彻底分开。

Bionic/Libc/Kernel/ 并非标准的Kernel header files。Android 的 Kernel header 是利用工具由 Linux Kernel header 所产生的，这样做是为了保留常数、数据结构与宏。

Android 的 Linux kernel控制包括安全（Security），存储器管理（Memory Management），程序管理（Process Management），网络堆栈（Network Stack），驱动程序模型（Driver Model）等。下载Android源码之前，先要安装其构建工具 Repo来初始化源码。Repo 是 Android 用来辅助Git工作的一个工具。

参考资料来源：百度百科－android

1

OPPO R9s利用dirtycow漏洞强刷第三方twrp recovery和获取root权限的教程原理：利用漏洞替换applypatch和app_process64，将recovery分区刷入selinux permissive的boot，进入recovery(实际上是selinux permissive的系统)，然后替换run-as就能获取root权限了，然后刷个twrp，之后想怎么玩就怎么玩了！

2

1）手机不要打开“开发者选项”，只需要从通知栏下拉打开USB调试即可，否则在启动permissive的boot时会卡在正在启动Android请输入密码，这个很奇怪，暂时不清楚原因

2）将twrp的img文件（r9s-twrp-3020-20170107img）拷贝到内置sd卡，严格按教程需要将img文件重命名为twrpimg，最后刷入成功后运行reboot recovery(adb shell中)进入twrp，不要重启手机后再进recovery模式

3）下载oppo r9s专用的root zip包（UPDATE-SuperSU-v276-OppoR9s-rjzip），也拷贝到内置sd卡。

4）将OPPO_R9srar下载到电脑C盘，解压缩。。。打开电脑Cmd命令黑窗口，进到OPPO_R9s\root目录（即运行命令 cd C:\OPPO_R9s\root）

3

第一部分：“将dirtycow漏洞利用程序复制进手机”adb push dirtycow /data/local/tmp

adb push recowvery-applypatch /data/local/tmp

adb push recowvery-app_process64 /data/local/tmp

adb push recowvery-run-as /data/local/tmp

4

adb shellcd /data/local/tmp

chmod 0777

/dirtycow /system/bin/applypatch recowvery-applypatch

"等待执行完成"/dirtycow /system/bin/app_process64 recowvery-app_process64"等待执行完成，此时手机在崩溃。""如果出现自动重启，马上按住音量下键，一直按住不放，进入步骤六"

5

继续输入

exitadb logcat -s recowvery

"等待提示成功"按电脑键盘"[CTRL+C]"adb shell reboot recovery"等待手机重启"

6

现在可以尝试获取ro

adb shell

getenforce"应该会显示Permissive"

cd /data/local/tmp

/dirtycow /system/bin/run-as recowvery-run-as"

等待执行完成"run-as exec /recowvery-applypatch boot(可以不执行)"等待执行完成"(可以不执行)

7

run-as su"获取root权限，shell变成root即表示成功

"dd if=/sdcard/twrpimg of=/dev/block/bootdevice/by-name/recovery"

将twrp刷入recovery分区"reboot recovery

以上就是关于selinux常用参数全部的内容，包括:selinux常用参数、以上经营范围国家限制或禁止经营的除外、c程序编译错误if you use permissive g++will accept your等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！