由于现做的是MTK平台,源码路径基于MTK, 不过高通大同小异 说明 Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777...enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 SELinux Policy文件路径 # Google 原生目录 external/sepolicy...CONFIG_SECURITY_SELINUX=y // 屏蔽此配置项 SELinux Sepolicy中添加权限 修改相应源类型.te文件(基本以源进程名命名),添加如下一行语句: # 格式 allow...所以该条权限策略不能添加,如果强行添加的话有CTS测试失败的风险。...”有权限访问的“目标类型” 如:在file_contexts中添加: /dev/tfa9890 u:object_r:audio_device:s0 举例 添加权限: 在mediaserver.te
关于selinux的详细资料,请查阅http://blog.csdn.net/innost/article/details/19299937 在Android开发的过程中,遇到关于selinux相关的东西...当然,在调试阶段,可在终端上运行如下命令获取SELinux的状态和临时关闭SELinux setenforce 0 ##设置SELinux 成为permissive模式...(SELinux开启,但对违反selinux规则的行为只记录,不会阻止) setenforce 1 ##设置SELinux 成为enforcing模式 (SELinux...cmdline中加入androidboot.selinux=0来关闭selinux 或者到Android源码的根目录下,直接修改system/core/init/init.c文件。...修改后,然后编译mmm system/sepolicy -j30,会将devices下的selinux文件包含进去,生成的文件在system/etc/selinux/或vendor/etc/selinux
SELinux 工作原理 SELinux 定义了每个人对系统上的应用、进程和文件的访问控制。利用安全策略(一组告知 SELinux 哪些能访问,哪些不能访问的规则)来强制执行策略所允许的访问。...当应用或进程(称为主体)发出访问对象(如文件)的请求时,SELinux 会检查访问向量缓存(AVC),其中缓存有主体和对象的访问权限。...开启 SELinux 可以提升系统的安全性,但同时也会带来一些问题。在特定场景有的人会选择关闭 SELinux 以换取更好的兼容性。...但是奇怪的事情来了,通过查看文件权限发现权限并没有问题。...解决方法就是用restorecon命令用来恢复SELinux文件属性 restorecon -rv 目标目录 相关链接: 解决文件权限正确,但 systemd 服务仍然提示没有权限,启动失败。
虽然类型和属性作为Android SELinux政策的一部分会进行定期更新,但权限和类是静态定义的,并且作为新Linux版本的一部分也很少进行更新。...必要时,系统会使用安全上下文的类别字段表示实际用户 不使用SELinux角色和基于角色的访问权限控制 (RBAC)。...要开始使用,请按下列步骤操作: 使用最新的Android内核 采用最小权限原则 仅针对Android需要添加的内容调整SELinux政策。...以下示例会将服务“foo”放入它自己的SELinux网域中并为其授予权限。...Android SELinux 权限问题处理
今天在使用 httpd 做文件服务器的时候,发现 png 图像没有打开,但是原本www/html 文件夹内部的文件就可以打开。...后来猜测是selinux 的问题,之前一直想写一篇关于selinux 的博文,现在先在这里提到一点吧。...暂时关闭,定位到是否是selinux 权限的问题。...如果 关闭后,可以正常访问,我们可以进一步来进行解决: 用过 ls -Z 查看 selinux 权限: root@yaowenxu /v/w/html# ls -alZ total 176 drwxr-xrwx...这样便能保持 selinux 的权限的一致性。
概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。...然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。...本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2....,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。...(首先请排除拼写错误)说明此项权限是SELinux明确禁止的,也是Google CTS禁止的,如果产品不需要过CTS,可以修改。
查看SELinux状态: 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status:...enabled 2、getenforce ##也可以用这个命令检查 关闭SELinux: 1、临时关闭(不用重启机器): setenforce 0...##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式...2、修改配置文件需要重启机器: 修改/etc/selinux/config 文件 将SELINUX=enforcing改为SELINUX=disabled 重启机器即可
更多的 SELinux 相关说明可以参考: http://www.nsa.gov/research/selinux/ 这也就是说:其实 SELinux 是在进行进程、文件等细部权限设定依据的一个核心模块...不过你要注意的是,各种权限设定对 root 是无效的。因此,当某个进程想要对文件进行存取时,系统就会根据该进程的拥有者/群组,并比对文件的权限,若通过权限检查,就可以存取该文件了。...由于 SELinux 重点在保护进程读取文件系统的权限,因此我们将上述的几个说明搭配起来,绘制成底下的流程图,比较好理解: ? 上图的重点在『主体』如何取得『目标』的资源访问权限!...问题是,最终能否存取目标还是与文件系统的 rwx 权限设定有关喔!如此一来,加入了 SELinux 之后,出现权限不符的情况时,你就得要一步一步的分析可能的问题了!...让 SELinux 只会警告无法顺利联机的讯息,而不是直接抵挡主体进程的读取权限。
配置机器时用到的,记录一下。...一、简介 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux 历史上最杰出的新安全子系统。...但是一般都不用它,因为它管的东西太多了,想做安全可以用防火墙等其他措施。 二、设置 通过查看配置文件的命令 cat /etc/selinux/config 来查看状态。...通过修改配置文件来修改 SELinux 的状态 执行 sed -i s#SELINUX=enforcing#SELINUX=disabled# /etc/selinux /config cat /etc...使用 /usr/sbin/sestatus 命令来查看 SELinux 的状态。
SELinux三种模式简介 Enforcing:强制模式。代表SELinux在运行中,且已经开始限制domain/type之间的验证关系 Permissive:宽容模式。...代表SELinux在运行中,不过不会限制domain/type之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正确会发出警告 Disabled:关闭模式。...SELinux并没有实际运行 getenforce 查看当前SELinux的运行模式 setenforce 改变当前SELinux的运行模式(0 宽容模式 1 强制模式) 配置文件:/etc/selinux.../config 永久关闭selinux:修改配置文件中的以下位置 SELINUX=enforcing //修改此处为disabled
用户在访问文件的时候,系统对权限(读、写 、执行)进行检查。只要用户对文件有足够的权限,就可以任意操作资源。root 用户对所有资源拥有所有权限,是个危险的存在。...DAC 机制下,程序直接继承用户的权限。用户有权限,则用户启动的程序就有权限,恶意程序也有了发挥空间。DAC 让主体自主管理权限,实践中容易管理不当,基于读、写、执行的权限控制,也过于粗略。...SELinux 干了哪些活 :定义一套 MAC 的权限系统,对系统内的一切资源(文件)打上标记(安全上下文),使用安全策略来控制资源访问。用户同时通过 DAC 和 MAC 的检查,才能访问资源。...访问控制 [图5] 因为DAC的读、写、执行权限过于粗略,SELinux 基于类型增强( Type-Enhanced ) 的属性进行访问控制,简单说就是基于安全上下文的类型属性的访问控制。...我们利用命令分析该日志: audit2why</var/log/audit/audit.log 找到异常或不当的日志记录,然后调整 selinux 的权限。
如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性...在这种形式下,一个软件或守护进程以 User ID(UID)或 Set owner User ID(SUID)的身份运行,并且拥有该用户的目标(文件、套接字、以及其它进程)权限。...这使得恶意代码很容易运行在特定权限之下,从而取得访问关键的子系统的权限。 另一方面,强制访问控制Mandatory Access Control(MAC)基于保密性和完整性强制信息的隔离以限制破坏。...基于当前的模式mode,如果 SELinux 安全服务器授予权限,该主体就能够访问该目标。如果 SELinux 安全服务器拒绝了权限,就会在 /var/log/messages 中记录一条拒绝信息。...当你这么做了,就会出现这种可能性:你磁盘上的文件可能会被打上错误的权限标签,需要你重新标记权限才能修复。而且你无法修改一个以 Disabled 模式启动的系统的模式。
可以运行下面的命令来查看当前服务配置的 SELinux 的状态。getenforce上面的输出状态显示了当前 SELinux 的配置状态。如果上图显示当前的状态。临时禁用 SELinux 。...使用下面的命令来临时禁用 SELinux。setenforce 0https://www.ossez.com/t/linux-selinux/14365
selinux其实挺烦的,有它在,连给正常服务改个端口都不行。...这就是selinux造成的。...关闭selinux的方法: 1、临时关闭,即时生效,不需要重启服务器:setenforce 0 2、永久关闭,重启服务器才能生效:sed -i '/SELINUX/s/enforcing/disabled.../' /etc/selinux/config
在Linux中,拥有root的权限等于拥有了无上权利,但是会被selinux限制。在Android中,我们通过下面两个问题去简单理解下root的含义:1.怎样的进程算是有了root的权限呢?...2.为什么在终端adb root或者su之后,不受到selinux限制怎样的进程算是有了root权限呢?...图片可以看到在su之后,shell的执行权限会变为root,对应的代码如下图片我们再来看看cmd wifi get-ipreach-disconnect 中进行权限检测的地方图片那么代码里面是通过什么去判断这个进程是...通过uid是否为0去判断,从Process.java中的定义,我们可以看到uid为0表示root。所以我们认为uid为0的进程就是root进程,具备root权限。...图片但是在我们执行su后,即使重新开启selinux限制,仍旧可以获取到属性图片不是说selinux是限制root权限的吗,那么这里为什么root之后不受到selinux权限的控制了?
基本上安装大部分的数据库,都需要关闭 selinux,很简单!...临时关闭: setenforce 0 永久关闭: sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config ????...查看是否成功关闭: getenforce cat /etc/selinux/config ---- 本次分享到此结束啦~ 如果觉得文章对你有帮助,点赞、收藏、关注、评论,一键四连支持,你的支持就是我创作最大的动力
普通Linux安全和传统Unix系统一样,基于自主存取控制方法,即DAC,只要符合规定的权限,如规定的所有者和文件属性等,就可存取资源。...二、SELinux 的作用及权限管理机制 2.1 SELinux 的作用 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。...2.2 DAC 在没有使用 SELinux 的操作系统中,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。 只要访问这个资源的进程符合以上的条件就可以被访问。...这种权限管理机制的主体是用户,也称为自主访问控制(DAC); 2.3 MAC 在使用了 SELinux 的操作系统中,决定一个资源是否能被访问的因素除了上述因素之外,还需要判断每一类进程是否拥有对某一类资源的访问权限...这种权限管理机制的主体是进程,也称为强制访问控制(MAC)。 而 MAC 又细分为了两种方式,一种叫类别安全(MCS)模式,另一种叫多级安全(MLS)模式。
SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。...在Android4.2中,SELinux是个可选项,谷歌并没有直接取消root权限或其他功能。这是一个为企业级用户或是对隐私数据极为重视的用户提供的选项,普通消费者则完全可以关闭它。 2....的权限被缓存(cached)。...SELinux写入权限,但我们没有该文件的w许可,那么我们也不能写该文件。...SELinux allow规则如之前的例子在SELinux中实际上都是授予访问权的,真正的挑战是如何保证数以万计的访问正确授权,只授予必须的权限,实现尽可能的安全。
文件权限的访问方式: 1.DAC主动访问控制:完全依赖于权限的设置 2.MAC强制访问控制:根据上下文的进程,只能访问特定上下文的内容。...查看文件的上下文:ls -lZ XXX ps auxZ 修改上下文:chcon -R -t httpd_sys_content_t /www chcon -R --reference=/var/www.../html /www 恢复默认上下文:restorecon -R /www 修改默认的上下文:semanage fcontext -a -t httpd_sys_content_t '/www(/*)?...修改端口的上下文:semanage port -l |grep '\b80\b' semanage port -a -t http_port_t -p tcp 808 可以参考vim /etc/ssh.../sshd_config记忆 selinux的模式: 1.强制模式 enforcing 2.允许模式 permissive 3.关闭模式 selinux的布尔值 getsebool -a setsebool
SELinux模式 SELinux模式分类 ermissive 模式:经常用于排故。这个模式,SELinux允许所有访问,即使与规则冲突,但会记录拒绝访问的行为日志。...控制SELinux上下文 在运行SELinux的系统上,所有进程和文件都会有相应的标签。新文件通常从父目录继承其SELinux上下文,从而确保它们具有适当的上下文。...但是,有两种情况例外: 如果在不同的位置创建文件,然后移动文件, 则该文件将具有创建它 时所在目录的SELinux上下文,而不是目标目录的SELinux上下文。...如果是复制一个保留SELinux上下文的文件(正如使用cp -a 命令),则 SELinux上下文将反映原始文件的位置。...chcon命令,更改文件SELinux上下文,它不会将上下文更改保存到SELinux上下文数据库中。当 restorecon命令运行时, chcon命令所做的更改也同样无法保留。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
