Android7关闭selinux（设置为Permissive模式）

设置selinux为宽容模式（Permissive）需要修改两个文件：
Android/system/core/init/Android.mk
Android/system/core/init/init.cpp

网上有些文章说修改cmdline，如果修改cmdline无效的话，参考本文对Android/system/core/init/Android.mk进行修改后可能会生效，本文不讲修改cmdline的方法，因为我也不会[捂脸笑]
/--------------------------2019-12-31补充----------------------------/
本次补充本人未去验证，不保证准确
cmdline在device/qcom/平台/BoardConfig.mk中，例如高通的8953平台:
device/qcom/msm8953_64/BoardConfig.mk

ifeq ($(TARGET_QUECTEL_BUILD_FASTBOOT),userfastboot)BOARD_KERNEL_CMDLINE := console=ttyHSL0,115200,n8 androidboot.console=ttyHSL0 quiet androidboot.hardware=qcom msm_rtb.filter=0x    237 ehci-hcd.park=3 lpm_levels.sleep_disabled=1 androidboot.bootdevice=7824900.sdhci earlycon=msm_hsl_uart,0x78af000elseBOARD_KERNEL_CMDLINE := console=ttyHSL0,115200,n8 androidboot.console=ttyHSL0 androidboot.hardware=qcom msm_rtb.filter=0x237 eh    ci-hcd.park=3 lpm_levels.sleep_disabled=1 androidboot.bootdevice=7824900.sdhci earlycon=msm_hsl_uart,0x78af000endif

相关的C文件：bootable/bootloader/lk/app/aboot/aboot.c

/--------------------------2019-12-31补充----------------------------/

对比差异如下，详细说明请继续往下看

diff --git a/system/core/init/Android.mk b/system/core/init/Android.mkindex fbb3a28..8d68f72 100644--- a/system/core/init/Android.mk+++ b/system/core/init/Android.mk@@ -7,7 +7,7 @@ LOCAL_PATH:= $(call my-dir) ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT))) init_options += -DALLOW_LOCAL_PROP_OVERRIDE=1 -DALLOW_PERMISSIVE_SELINUX=1 else-init_options += -DALLOW_LOCAL_PROP_OVERRIDE=0 -DALLOW_PERMISSIVE_SELINUX=0+init_options += -DALLOW_LOCAL_PROP_OVERRIDE=0 -DALLOW_PERMISSIVE_SELINUX=1 endif  init_options += -DLOG_UEVENTS=0diff --git a/system/core/init/init.cpp b/system/core/init/init.cppindex 23fafba..8010fa9 100755--- a/system/core/init/init.cpp+++ b/system/core/init/init.cpp@@ -421,7 +421,7 @@ static void selinux_init_all_handles(void) enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING };  static selinux_enforcing_status selinux_status_from_cmdline() {-    selinux_enforcing_status status = SELINUX_ENFORCING;+    selinux_enforcing_status status = SELINUX_PERMISSIVE;      import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) {         if (key == "androidboot.selinux" && value == "permissive") {

首先看system/core/init/init.cpp

enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING };static selinux_enforcing_status selinux_status_from_cmdline() {     selinux_enforcing_status status = SELINUX_PERMISSIVE;  // 标注1      import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) {// 标注2         if (key == "androidboot.selinux" && value == "permissive") {// 标注3             status = SELINUX_PERMISSIVE;         }     });      return status; }static bool selinux_is_enforcing(void) {     if (ALLOW_PERMISSIVE_SELINUX) {// 标注4         return selinux_status_from_cmdline() == SELINUX_ENFORCING;     }     return true;// 标注5 }

代码讲解：
注释1：此处原来的值是SELINUX_ENFORCING，改为SELINUX_PERMISSIVE，则默认为宽容模式
注释2：此处从cmdline读取参数
注释3：如果从cmdline中读取的到androidboot.selinux为permissive，则status为宽容模式，cmdline默认androidboot.selinux的值为空，所以修改前默认返回SELINUX_ENFORCING
标注4：如果此处为真，则会调用selinux_status_from_cmdline，否则默认返回ture，只要返回ture，就是打开selinux
标注5：此处改为false则可以直接成功改为宽容模式，但不建议这样修改，所以此处保持为true

再看system/core/init/Android.mk

ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT)))init_options += -DALLOW_LOCAL_PROP_OVERRIDE=1 -DALLOW_PERMISSIVE_SELINUX=1elseinit_options += -DALLOW_LOCAL_PROP_OVERRIDE=0 -DALLOW_PERMISSIVE_SELINUX=1# 标注1endif

代码讲解：
注释1：此处-DALLOW_PERMISSIVE_SELINUX定义了ALLOW_PERMISSIVE_SELINUX的值，此值原为0，当编译的是user版本的时候，此值为0，这个值在system/core/init/init.cpp中的标注4用到了，要使此值为真，system/core/init/init.cpp才会调用selinux_status_from_cmdline，否则，system/core/init/init.cpp中的修改则没有任何意义

做完上方的修改之后编译并烧写到设备，设备端执行下方命令(getenforce)，返回结果为Permissive，则修改成功

$ getenforce                               Permissive

Android7关闭selinux（设置为Permissive模式）

Android7关闭selinux（设置为Permissive模式）

更多相关文章

随机推荐