Android临时和永久关闭selinux

当我们想要临时关闭selinux时，如果可以获得root权限，通过adb如下指令可以临时关闭selinux:

setenforce 0

如果需要长期关闭，则需要用其他方法，先看slinue启动的位置：

Android启selinux从init开始。在init.cpp中有：

static void selinux_initialize(bool in_kernel_domain) {    Timer t;    selinux_callback cb;    cb.func_log = selinux_klog_callback;    selinux_set_callback(SELINUX_CB_LOG, cb);    cb.func_audit = audit_callback;    selinux_set_callback(SELINUX_CB_AUDIT, cb);    if (in_kernel_domain) {        INFO("Loading SELinux policy...\n");        if (selinux_android_load_policy() < 0) {            ERROR("failed to load policy: %s\n", strerror(errno));            security_failure();        }        bool kernel_enforcing = (security_getenforce() == 1);        bool is_enforcing = selinux_is_enforcing();        if (kernel_enforcing != is_enforcing) {            if (security_setenforce(is_enforcing)) {                ERROR("security_setenforce(%s) failed: %s\n",                      is_enforcing ? "true" : "false", strerror(errno));                security_failure();            }        }        if (write_file("/sys/fs/selinux/checkreqprot", "0") == -1) {            security_failure();        }        NOTICE("(Initializing SELinux %s took %.2fs.)\n",               is_enforcing ? "enforcing" : "non-enforcing", t.duration());    } else {        selinux_init_all_handles();    }}

这里通过security_setenforce函数去设置是否启动selinux，启动的条件是kernel_enforcing和is_enforcing如果不一致，则设置selinux启动选项为is_enforcing。

我们看security_getenforce实现，在/external/selinux/libselinux/src/getenforce.c目录下：

int security_getenforce(void){    int fd, ret, enforce = 0;    char path[PATH_MAX];        snprintf(path, sizeof path, "%s/enforce", selinux_mnt);    fd = open(path, O_RDONLY);        memset(buf, 0, sizeof buf);    ret = read(fd, buf, sizeof buf - 1);    close(fd);        if (sscanf(buf, "%d", &enforce) != 1)        return -1;    return enforce;    }

所以首先获取一个节点数值，Android改节点路径为/sys/fs/selinux/enforce，这个值表示是否开启selinux。

另一个判定条件是selinux_is_enforcing()函数。其定义如下：

enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING };static selinux_enforcing_status selinux_status_from_cmdline() {    selinux_enforcing_status status = SELINUX_ENFORCING;    import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) {        if (key == "androidboot.selinux" && value == "permissive") {            status = SELINUX_PERMISSIVE;        }    });    return status;}

此处从cmdline中获取androidboot.selinux的值，如果是permissive，则返回SELINUX_PERMISSIVE，即0，否则返回SELINUX_ENFORCING。

如果enforce节点和cmdline设置不一致，则调用security_setenforce重新设置selinux的enforce节点值。

因此想要关闭selinux，我们只需要在cmdline中设置一组参数：

androidboot.selinux=permissive

对于Android7.1，设置位置可以是平台的BoardConfig.mk：

BOARD_KERNEL_CMDLINE := console=ttyHSL0,115200,n8 androidboot.console=ttyHSL0 androidboot.hardware=qcom msm_rtb.filter=0x237 ehci-hcd.park=3 androidboot.bootdevice=7824900.sdhci lpm_levels.sleep_disabled=1 earlyprintk androidboot.selinux=permissive

内核启动时会有如下打印：

<6>[    0.001053] Security Framework initialized<6>[    0.001091] SELinux:  Initializing.<7>[    0.001185] SELinux:  Starting in permissive mode<5>[    9.117477] audit: type=1400 audit(1489810287.106:3): avc:  denied  { net_raw } for  pid=368 comm="pm-service" capability=13  scontext=u:r:per_mgr:s0 tcontext=u:r:per_mgr:s0 tclass=capability permissive=1

可以看到selinue运行在permissive模式，即不会限制domain/type存取，仅仅打印log，log中也显示permissive=1。

更多相关文章

随机推荐