Android临时和永久关闭selinux
当我们想要临时关闭selinux时,如果可以获得root权限,通过adb如下指令可以临时关闭selinux:
setenforce 0
如果需要长期关闭,则需要用其他方法,先看slinue启动的位置:
Android启selinux从init开始。在init.cpp中有:
static void selinux_initialize(bool in_kernel_domain) { Timer t; selinux_callback cb; cb.func_log = selinux_klog_callback; selinux_set_callback(SELINUX_CB_LOG, cb); cb.func_audit = audit_callback; selinux_set_callback(SELINUX_CB_AUDIT, cb); if (in_kernel_domain) { INFO("Loading SELinux policy...\n"); if (selinux_android_load_policy() < 0) { ERROR("failed to load policy: %s\n", strerror(errno)); security_failure(); } bool kernel_enforcing = (security_getenforce() == 1); bool is_enforcing = selinux_is_enforcing(); if (kernel_enforcing != is_enforcing) { if (security_setenforce(is_enforcing)) { ERROR("security_setenforce(%s) failed: %s\n", is_enforcing ? "true" : "false", strerror(errno)); security_failure(); } } if (write_file("/sys/fs/selinux/checkreqprot", "0") == -1) { security_failure(); } NOTICE("(Initializing SELinux %s took %.2fs.)\n", is_enforcing ? "enforcing" : "non-enforcing", t.duration()); } else { selinux_init_all_handles(); }}
这里通过security_setenforce函数去设置是否启动selinux,启动的条件是kernel_enforcing和is_enforcing如果不一致,则设置selinux启动选项为is_enforcing。
我们看security_getenforce实现,在/external/selinux/libselinux/src/getenforce.c目录下:
int security_getenforce(void){ int fd, ret, enforce = 0; char path[PATH_MAX]; snprintf(path, sizeof path, "%s/enforce", selinux_mnt); fd = open(path, O_RDONLY); memset(buf, 0, sizeof buf); ret = read(fd, buf, sizeof buf - 1); close(fd); if (sscanf(buf, "%d", &enforce) != 1) return -1; return enforce; }
所以首先获取一个节点数值,Android改节点路径为/sys/fs/selinux/enforce,这个值表示是否开启selinux。
另一个判定条件是selinux_is_enforcing()函数。其定义如下:
enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING };static selinux_enforcing_status selinux_status_from_cmdline() { selinux_enforcing_status status = SELINUX_ENFORCING; import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) { if (key == "androidboot.selinux" && value == "permissive") { status = SELINUX_PERMISSIVE; } }); return status;}
此处从cmdline中获取androidboot.selinux的值,如果是permissive,则返回SELINUX_PERMISSIVE,即0,否则返回SELINUX_ENFORCING。
如果enforce节点和cmdline设置不一致,则调用security_setenforce重新设置selinux的enforce节点值。
因此想要关闭selinux,我们只需要在cmdline中设置一组参数:
androidboot.selinux=permissive
对于Android7.1, 设置位置可以是平台的BoardConfig.mk:
BOARD_KERNEL_CMDLINE := console=ttyHSL0,115200,n8 androidboot.console=ttyHSL0 androidboot.hardware=qcom msm_rtb.filter=0x237 ehci-hcd.park=3 androidboot.bootdevice=7824900.sdhci lpm_levels.sleep_disabled=1 earlyprintk androidboot.selinux=permissive
内核启动时会有如下打印:
<6>[ 0.001053] Security Framework initialized<6>[ 0.001091] SELinux: Initializing.<7>[ 0.001185] SELinux: Starting in permissive mode<5>[ 9.117477] audit: type=1400 audit(1489810287.106:3): avc: denied { net_raw } for pid=368 comm="pm-service" capability=13 scontext=u:r:per_mgr:s0 tcontext=u:r:per_mgr:s0 tclass=capability permissive=1
可以看到selinue运行在permissive模式,即不会限制domain/type存取,仅仅打印log,log中也显示permissive=1。
更多相关文章
- Android(安卓)PopWindow与GridView练习
- Android之Android(安卓)studio设置背景图片
- 第2.3节 android目录中manifest的介绍
- android发送http请求—-URLConnection、HttpURLConnection的使用
- 第19天android:《android从零开始》视频(6-7)
- Android设置Button字母大小写
- Android切换前后置摄像头并录制视频
- android实现为PreferenceScreen设置背景图片等
- Android(安卓)onConfigurationChanged 不执行