当前位置: 首页 > news >正文

Android SELinux——工作模式(二)

        通过上一篇文章我们对 SELinux 有一初步的了解,这里我们主要来看一下 SELinux 中的工作模式。

一、模式介绍

        SELinux 提供了三种不同的工作模式,每种模式都有其特定的目的和使用场景。这里我们就来介绍这三种模式的使用场景。

1、Disabled(禁用模式)

        在 Disabled 模式下,SELinux 完全不工作,系统退回到传统的自主访问控制(DAC)机制。此模式下,SELinux 不会对系统中的任何操作进行干预或记录。当系统管理员决定完全禁用 SELinux 时使用此模式,通常是为了简化系统管理或解决特定的兼容性问题。

2、Permissive(宽容模式)

        在 Permissive 模式下,SELinux 被激活,但不会强制执行安全策略。相反,它会记录所有违反安全策略的尝试,并将其记录在日志中。此模式主要用于测试和调试目的,帮助系统管理员了解 SELinux 如何影响系统行为,以及在完全启用 SELinux 之前识别和解决潜在问题。当系统管理员希望监控 SELinux 的行为但又不想立即启用严格的访问控制时,可以使用此模式。

3、Enforcing(强制模式)

        在 Enforcing 模式下,SELinux 完全启用,并且会强制执行所有的安全策略。此模式下,任何违反安全策略的操作都会被阻止,并且系统会记录相应的 AVC 日志。这是 SELinux 的默认模式,适用于生产环境,以确保系统的安全性。在此模式下,系统会严格执行 SELinux 安全策略,防止未经授权的访问。 

        通过这些不同的工作模式,系统管理员可以根据实际需要选择最适合当前环境的 SELinux 设置,既可以保证系统的安全性,又能灵活应对不同的需求。所以我们通常在开发中使用的都是Permissive(宽容模式),记录问题但有未启用访问控制。而正是上线的时候为Enforcing(强制模式)。

二、模式切换

1、ADB命令设置

查看工作模式

进入到 shell:adb shell

查看工作模式:getenforce

        首先进入到 shell 下,使用 getenforce 命令来查看当前 SELinux 的工作模式(或者直接使用 adb shell getenforce 命令查看 SELinux 的工作模式),输出内容:Enforcing 或 Permissive。

切换工作模式

获取 root 权限:adb root

进入到 shell:adb shell

切换到 Permissive 模式:setenforce 0

切换到 Enforcing 模式:setenforce 1

        使用 setenforce [0|1] 来切换 SELinux 的工作模式(0 表示 Permissive,1 表示 Enforcing)。注意这里一定要获取 root 权限,否则会出现如下错误:

setenforce: Couldn't set enforcing status to '0': Permission denied

2、fastboot模式设置      

        除此通过 ADB 命令设置模式之外还可以进入 fastboot 模式对工作模式的 bootargs 参数进行设置。

fastboot setenv

# 设置 androidboot.selinux 参数

$ fastboot setenv bootargs  androidboot.selinux = permissive/enforcing
# 保存参数
$ fastboot flash bootconfig bootconfig 
# 重启系统
$ fastboot reboot

fastboot oem

# 设置 androidboot.selinux 参数

$ fastboot oem setenv "androidboot.selinux = permissive/enforcing
# 保存参数
$ fastboot oem saveenv
# 重启系统
$ fastboot reboot

        对于使用 fastboot 命令更改工作模式需要设备支持,不同的设备和厂商可能有不同的命令格式。这里实际操作均设置失败,fastboot setenv 命令提示 fastboot: usage: unknown command setenv。fastboot oem 命令提示 FAILED (remote: unknown command)。

3、配置文件设置

        其实上面的命令都是在 Permissive 和 Enforcing 模式之间进行切换,无法设置成 Disabled 模式。所以 SELinux 的默认模式也可以通过配置文件进行设置。

config.xml

        修改 /etc/selinux/config.xml 文件中的 SELINUX 选项来设定,可以选择 Disabled、Permissive 或 Enforcing。编辑配置文件 /etc/selinux/config.xml,把SELINUX=disabled,然后重启系统,SELinux 就被禁用了。

        某些 Android 设备可能会有特定的 SELinux 配置文件,这些文件可能位于不同的路径,例如 /vendor/etc/selinux、/system/etc/selinux、/vendor/etc/security 或 /system/etc/security 。当然也有不使用 config.xml 配置文件的情况,这些都需要根据项目实际情况设定。

系统属性

        如果项目中并没有找到上面的 config.xml 配置文件,可以通过如下命令确认是否使用了系统属性设置了 SELinux 的工作模式。

进入 shell 模式:adb shell

查找相关属性:getprop | grep "selinux"

        这里在 shell 模式下,通过 getprop 查找 "selinux" 关键字的属性内容,可以看到如下输出内容:

[androidboot.selinux]: [enforcing]

        可以看到这个属性其实就是上面通过 fastboot 修改的对应属性值,androidboot.selinux 属性是一个特殊的内核启动参数,它在设备启动时被内核读取,并不是普通的系统属性,所以也不能通过 /system/build.prop 文件进行修改。

  • androidboot.selinux 名称由厂商自定义设置,可能与这里的名称并不相同。
  • /system/build.prop 文件主要用于定义构建信息和其他非启动时的系统属性。它可以用来设置诸如设备型号、制造商、构建版本等信息。

4、代码修改

源码位置:/system/core/init/selinux.cpp

SelinuxInitialize

void SelinuxInitialize() {LOG(INFO) << "Loading SELinux policy";// 加载 SELinux 策略if (!LoadPolicy()) {LOG(FATAL) << "Unable to load SELinux policy";}// 获取内核当前的 SELinux 模式bool kernel_enforcing = (security_getenforce() == 1);// 获取期望的 SELinux 模式bool is_enforcing = IsEnforcing();// 如果两者不一致,则尝试设置 SELinux 模式if (kernel_enforcing != is_enforcing) {if (security_setenforce(is_enforcing)) {PLOG(FATAL) << "security_setenforce(" << (is_enforcing ? "true" : "false") << ") failed";}}// 将 checkreqprot 设置为 0,关闭 SELinux 请求保护功能if (auto result = WriteFile("/sys/fs/selinux/checkreqprot", "0"); !result.ok()) {LOG(FATAL) << "Unable to write to /sys/fs/selinux/checkreqprot: " << result.error();}
}

        函数用于初始化 SELinux 并确保其工作模式符合预期。这里我们是不是直接修改期望的 SELinux 模式就可以实现工作模式的修改。在修改之前,我们先来看一下这里为什么要关闭 SELinux 请求保护功能(checkreqprot)。

checkreqprot

        SELinux 请求保护功能(checkreqprot)主要用于记录 SELinux 策略违规(avc denials)。当 SELinux 处于 enforcing 模式时,如果某个进程请求了不允许的操作,SELinux 会拒绝该操作并记录一条违规日志。

默认情况下:checkreqprot 的值为 1,表示启用请求保护功能。
启用时:SELinux 会记录所有违规行为,并将这些违规行为记录到日志中。
禁用时:SELinux 不会记录违规行为,只会在 enforcing 模式下直接拒绝违规操作。

        关闭 checkreqprot 的原因:

  • 性能考虑:当 checkreqprot 为 1 时,SELinux 会记录大量的违规日志,这可能会导致较高的系统开销。关闭 checkreqprot 可以减少系统日志记录的开销,提高系统性能。
  • 安全性考虑:在生产环境中,通常希望 SELinux 严格控制违规行为,而不记录过多的日志。
  • 在开发和调试阶段,可能会开启 checkreqprot 以便更好地了解违规情况,但在生产环境中通常不需要这些详细的日志记录。
  • 系统稳定性:大量的日志记录可能会导致日志文件迅速增长,占用大量磁盘空间。关闭 checkreqprot 可以避免这种情况,保持系统的稳定性和高效性。

        关闭 checkreqprot 功能的原因主要是为了提高系统性能和稳定性。在生产环境中,通常不需要记录大量的 SELinux 违规日志,因此关闭 checkreqprot 是一个常见的做法。 

IsEnforcing

bool IsEnforcing() {// 是否允许 SELinux 处于 permissive 模式if (ALLOW_PERMISSIVE_SELINUX) {return StatusFromCmdline() == SELINUX_ENFORCING;}return true;
}

        该函数的主要作用是根据配置和命令行参数来决定 SELinux 是否应该处于 enforcing 模式。这种设计使得 SELinux 的模式可以根据不同的配置和命令行参数灵活调整,适用于不同的场景。 

enum EnforcingStatus { SELINUX_PERMISSIVE, SELINUX_ENFORCING };EnforcingStatus StatusFromCmdline() {EnforcingStatus status = SELINUX_ENFORCING;ImportKernelCmdline([&](const std::string& key, const std::string& value) {if (key == "androidboot.selinux" && value == "permissive") {status = SELINUX_PERMISSIVE;}});return status;
}

        该函数通常用于解析内核命令行参数,并执行相应的处理。可以看到这里还是根据上面的 androidboot.selinux 属性进行 SELinux 的工作模式初始化,如果我们在这里修改,可以直接修改 IsEnforcing() 函数的返回值即可。

bool IsEnforcing() {// 关闭SELinuxreturn false;
}

        这里通过直接修改 IsEnforcing() 函数的返回值来修改 SELinux 的工作模式。接下来我们回过头来看一下 ALLOW_PERMISSIVE_SELINUX 参数的设置。

ALLOW_PERMISSIVE_SELINUX

源码位置:/system/core/init/Android.bp

cc_defaults {cflags: ["-DALLOW_PERMISSIVE_SELINUX=0",……],product_variables: {debuggable: {cppflags: ["-UALLOW_PERMISSIVE_SELINUX","-DALLOW_PERMISSIVE_SELINUX=1",……],……},……},……
}

        首先在 C 和 C++ 中,预处理器宏定义通常使用 -D 开头。这里的 -D 是一个编译器选项,用于定义预处理器宏。

        在 Android.bp 文件中,cc_defaults 用于设置默认的编译选项,这里 cc_defaults 通过 cflags 和 product_variables 来定义不同的编译配置。具体来说,-DALLOW_PERMISSIVE_SELINUX=0 和 product_variables 中的条件定义使得编译行为可以根据不同的产品变量进行调整。

  • 默认编译选项 (cflags):"-DALLOW_PERMISSIVE_SELINUX=0":默认情况下,定义 ALLOW_PERMISSIVE_SELINUX 为 0。
  • 产品变量 (product_variables):debuggable 变量。

         1) "-UALLOW_PERMISSIVE_SELINUX":取消定义 ALLOW_PERMISSIVE_SELINUX。
         2)"-DALLOW_PERMISSIVE_SELINUX=1":重新定义 ALLOW_PERMISSIVE_SELINUX 为 1。

        这样非调试版本 (debuggable=false) 时,只有默认的编译选项生效,因此,编译时 ALLOW_PERMISSIVE_SELINUX 的值为 0。调试版本 (debuggable=true),在这种情况下,product_variables 中的配置生效,首先,-UALLOW_PERMISSIVE_SELINUX 取消定义 ALLOW_PERMISSIVE_SELINUX,然后 "-DALLOW_PERMISSIVE_SELINUX=1" 重新定义 ALLOW_PERMISSIVE_SELINUX 为 1。

        这种方式使得编译行为可以根据不同的产品变量进行灵活调整,从而适应不同的开发和部署环境。


http://www.mrgr.cn/news/46880.html

相关文章:

  • 【前端】自学基础算法 -- 24.动态规划-变态青蛙蛙跳台阶
  • OpenCV相机标定与3D重建(55)通用解决 PnP 问题函数solvePnPGeneric()的使用
  • ffmpeg常用命令及介绍
  • 系统看门狗配置--以ubuntu为例
  • 【计算机网络】深入浅出计算机网络
  • UE5 打包项目
  • Yocto构建教程:在SDK中添加Qt5并生成带有Qt5的SDK
  • 小北的技术博客:探索华为昇腾CANN训练营与AI技术创新——Ascend C算子开发能力认证考试(中级)
  • 【玩转动态规划专题】746. 使用最小花费爬楼梯【简单】
  • 【计算机网络】网络相关技术介绍
  • LVGL仪表盘逆时针
  • 飞腾CPU技术发展分析
  • 2024最新分别利用sklearn和Numpy实现c均值对鸢尾花数据集进行聚类(附完整代码和注释)
  • Linux平台Kafka高可用集群部署全攻略
  • C++学习笔记----8、掌握类与对象(六)---- 操作符重载(3)
  • 计算机视觉算法--原理、技术、应用、发展
  • 开源 AI 智能名片 O2O 商城小程序源码助力企业实现三层式个性化体验
  • 回溯算法之组合求解详细解读(附带Java代码解读)
  • TypeError Cannot read properties of undefined (reading ‘endsWith‘)
  • QDesktopWidget Class
  • 查询v$asm_disk等待enq: DD - contention
  • Python OpenCV精讲系列 - 实例分割深入理解(十八)
  • 【回顾原生JDBC手动管理事务以及两种方式实现Spring编程式事务】
  • STM32 -- USB CDC 虚拟串口通信
  • 【30天玩转python】最后复习与总结
  • 详解SSH和bash