前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >正确姿势临时和永久开启关闭Android的SELinux

正确姿势临时和永久开启关闭Android的SELinux

作者头像
全栈程序员站长
发布2022-09-14 15:54:28
7K0
发布2022-09-14 15:54:28
举报
文章被收录于专栏:全栈程序员必看

大家好,又见面了,我是你们的朋友全栈君。

      正确姿势临时和永久关闭Android的SELinux

Android SELinux开发多场景实战指南目录:

Android SELinux开发入门指南之SELinux基础知识 Android SEAndroid权限问题指南 Android SELinux开发入门指南之如何增加Java Binder Service权限 Android SELinux开发入门指南之权限解决万能规则 Android SELinux开发入门指南之如何增加Native Binder Service权限 Android SELinux开发入门指南之正确姿势解决访问data目录权限问题 正确姿势临时和永久关闭Android的SELinux

引言

   自从Android 4.4强制开启SELinux以后,在开发中我们经常会遇到avc denied的问题,为了方便开发调试我们会将SELinux关闭,那么本章将带领读者怎么临时和永久关闭Android的SELinux。

注意:这里的源码是以Android 8.0为基准的。

正确姿势临时和永久关闭Android的SELinux

1.1 临时关闭Android的SELinux

这个操作比较简单,但是前提条件是机器能被root,且固件里面没有限制setenforce命令的执行。下面让我们看看怎么执行:

代码语言:javascript
复制
XXX:/ # getenforce //获取当前SELinux状态
Enforcing
XXX:/ # setenforce 0 //临时关闭SELinux状态
XXX:/ # getenforce //获取SELinux状态
Permissive
XXX:/ # setenforce 1 //永久开启SELinux状态
XXX:/ # getenforce
Enforcing
XXX:/ #

注意点:

  • 上述的方法是临时关闭SELinux,机器重启以后还是会恢复的
  • 上述命令一定要在Root模式下运行,且必须是终端没有对setenforce进行限制,否则会报如下的错误
代码语言:javascript
复制
setenforce: Could not set enforcing status: Permission denied   //非root情况
  • 对于一些定制了内核的Room来说,哪怕你已经获取了Root权限,当执行setenforce命令时依然会提示如下错误,因为在SELinux模式下,Root不是万能的。
代码语言:javascript
复制
setenforce: Couldn't set enforcing status to '0': Invalid argument //Root情况,但是Room做了定制不允许setenforce

1.2 永久关闭Android的SELinux

init进程是Android内核启动的第一个用户级进程,其中的SELinux也是在init进程中启动的,代码位置在system/core/init/init.cpp中。

代码语言:javascript
复制
int main(int argc, char** argv) { 
   
	...
	selinux_initialize(true);
	...
}

static void selinux_initialize(bool in_kernel_domain) { 
   
    Timer t;

    selinux_callback cb;
    cb.func_log = selinux_klog_callback;
    selinux_set_callback(SELINUX_CB_LOG, cb);
    cb.func_audit = audit_callback;
    selinux_set_callback(SELINUX_CB_AUDIT, cb);

    if (in_kernel_domain) { 
   
        LOG(INFO) << "Loading SELinux policy";
        if (!selinux_load_policy()) { 
   
            panic();
        }

        bool kernel_enforcing = (security_getenforce() == 1);//判断条件1
        bool is_enforcing = selinux_is_enforcing();//判断条件2
        if (kernel_enforcing != is_enforcing) { 
   
            if (security_setenforce(is_enforcing)) { 
   
                PLOG(ERROR) << "security_setenforce(%s) failed" << (is_enforcing ? "true" : "false");
                security_failure();
            }
        }

        std::string err;
        if (!WriteFile("/sys/fs/selinux/checkreqprot", "0", &err)) { 
   
            LOG(ERROR) << err;
            security_failure();
        }
        // init's first stage can't set properties, so pass the time to the second stage.
        setenv("INIT_SELINUX_TOOK", std::to_string(t.duration().count()).c_str(), 1);
    } else { 
   
        selinux_init_all_handles();
    }
}

通过代码我们可以看出,init会通过security_getenforce()和selinux_is_enforcing()的值是否一致来判断是否开启SELinux,当不一致的时候会设置security_setenforce的值为is_enforcing。

下面让我么看看security_getenforce()的实现,通过全局搜索我们发现,该代码的位置在在external/selinux/libselinux/src/getenforce.c目录下:

代码语言:javascript
复制
int security_getenforce(void)
{ 
   
    int fd, ret, enforce = 0;
    char path[PATH_MAX];
    char buf[20];

    if (!selinux_mnt) { 
   
        errno = ENOENT;
        return -1; 
    }   

    snprintf(path, sizeof path, "%s/enforce", selinux_mnt);
    fd = open(path, O_RDONLY | O_CLOEXEC);
    if (fd < 0)
        return -1; 

    memset(buf, 0, sizeof buf);
    ret = read(fd, buf, sizeof buf - 1); 
    close(fd);
    if (ret < 0)
        return -1; 

    if (sscanf(buf, "%d", &enforce) != 1)
        return -1; 

    return !!enforce;
}

这里有个要注意点,sizeof path,这个不是错误的,因为这里的sizeof是一个运算符,这里的代码所以首先获取一个节点数值,Android改节点路为/sys/fs/selinux/enforce,这个值表示是否开启selinux,让我们手动cat一下该节点,然后查看一下值:

代码语言:javascript
复制
XXX:/ # cat /sys/fs/selinux/enforce
1

这里另一个判定条件是selinux_is_enforcing()函数。其定义如下:

代码语言:javascript
复制
enum selinux_enforcing_status { 
    SELINUX_PERMISSIVE, SELINUX_ENFORCING };
        
static selinux_enforcing_status selinux_status_from_cmdline() { 
   
    selinux_enforcing_status status = SELINUX_ENFORCING;
        
    import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) { 
   
        if (key == "androidboot.selinux" && value == "permissive") { 
   
            status = SELINUX_PERMISSIVE;
        }
    });     
                
    return status;
}           
        
static bool selinux_is_enforcing(void)
{ 
          
    if (ALLOW_PERMISSIVE_SELINUX) { 
   
        return selinux_status_from_cmdline() == SELINUX_ENFORCING;
    }       
    return true;
}  

此处从cmdline中获取androidboot.selinux的值,如果是permissive,则返回SELINUX_PERMISSIVE,即0,否则返回SELINUX_ENFORCING。如果enforce节点和cmdline设置不一致,则调用security_setenforce重新设置selinux的enforce节点值。 因此想要关闭selinux,可以直接将selinux_is_enforcing返回false,网上也有人从驱动返回,这个驱动这边不是很熟悉,所以就在这里直接注释掉从驱动获取的值直接返回false即可。

代码语言:javascript
复制
static bool selinux_is_enforcing(void)
{ 
                
    return false;
}  

最后重新编译boot.img,烧入固件这样重新启。启动完成后调用getenforce命令可以看到已经特地关闭SELinux了。

关于从驱动层返回修改的,可以参考下面的这篇博文: https://blog.csdn.net/zhangdaxia2/article/details/98243665

结语

   关于SELinxu都是些偏向实战类型的博客,所以也没有过多好说的,跟着规则实际操作几把就基本OK了。好了今天的博客正确姿势临时和永久开启关闭Android的SELinux到这里就结束了,各位青山不改绿水长流,江湖见!

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/153550.html原文链接:https://javaforall.cn

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  •       正确姿势临时和永久关闭Android的SELinux
    • 引言
      • 正确姿势临时和永久关闭Android的SELinux
        • 1.1 临时关闭Android的SELinux
        • 1.2 永久关闭Android的SELinux
      • 结语
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档