android SElinux 总结--启用,关闭以及配置文件说明,很详细,值得学习

最新推荐文章于 2025-10-26 11:22:09 发布
转载 最新推荐文章于 2025-10-26 11:22:09 发布 · 2.6w 阅读 · 27

本文详细介绍了SELinux的配置方法,包括禁用SELinux、安全上下文设置、进程权限分配等,并深入解析了SELinux的工作原理及核心概念。
部署运行你感兴趣的模型镜像

转自 http://blog.youkuaiyun.com/bin_linux96/article/details/44993819 

1. 禁止selinux 

1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX
1.2 还可以在system.prop中定义ro.boot.selinux=disable
这两种方法都可以禁用selinux,也可以设置成ro.boot.selinux=permissive
宽容模式
1.3 可以通过setenforce 1 开启enforce模式,setenforce 0 为permissive模式
getenforce获取当前模式


2. 所有安全策略最终编译成sepolicy文件放在root目录下,init进程启动后会读取/sepolicy策略文件,并通过/sys/fs/selinux/load节点
把策略文件内容写入内核




3 安全上下文存放root目录
/etc/security/mac_permissions.xml
/file_contexts //系统中所有file_contexts安全上下文
/seapp_contexts //app安全上下文
/property_contexts //属性的安全上下文
/service_contexts    //service文件安全上下文


genfs_contexts //虚拟文件系统安全上下文




4. app在/data/data/文件的安全上下文设置过程
1. 根据uid,pkgname,seinfo在seapp_contexts中匹配.
2. 根据匹配到的contexts,重新设置给相对应文件




5. 系统中所有的object class 定义在external/sepolicy/security_classes中.
object class使用在allow语句中,object class所具有的操作定义在external/sepolicy/access_vectors
文件中




6 allow语句
allow语句用来权限设置
rule_name source_type target_type : class perm_set


rule_name : 有allow,neverallow
source_type : 权限主体,表示source_type对target_type有perm_set描述的权限
如:
allow zygote init:process sigchld
允许zygote域里面的进程可对init域的进程发送sigchld信号


typeattribute表示把属性和type关联起来


7 role定义
Android系统中的role定义在external/sepolicy/roles中,
目前只定义了r


8 socket 使用
以/data/misc/wifi/sockets/wlan0 socket来说明使用方法
1. 定义socket type 
type wpa_socket ,file_type
2. 指定安全上下文
/data/misc/wifi/sockets(/.*)?   u:object_r:wpa_socket:s0 
给/data/misc/wifi/sockets目录下所有的文件统一指定安全上下文为wpa_socket
3.声明socket使用权限
在进程te中使用unix_socket_send(clientdomain, wpa, serverdomain)即可建立socket连接


9 binder使用
在使用binder 进程的te中根据情况使用如下宏:
binder_use(domain)//允许domain域中的进程使用binder通信
binder_call(clientdomain, serverdomain) //允许clientdomain和serverdomain域中的进程通信
binder_service(domain) //标志domain为service端




10 文件的使用
以/dev/wmtWifi来说明:
1.定义type 
type wmtWifi_device dev_type //dev_type用来标志/dev/下的文件
2.给/dev/wmtWifi指定完全上下文
/dev/wmtWifi(/.*)? u:object_r:wmtWifi_device:s0


3.进程权限设置
在进程te文件中allow权限
allow netd wmtWifi_device:chr_file { write open };




11 property 属性设置
以蓝牙的各种属性来说明
1.定义type
type bluetooth_prop, property_type;
2 设置安全上下文
bluetooth.              u:object_r:bluetooth_prop:s0
3 进程权限设置
allow bluetooth bluetooth_prop:property_service set;






5 专业词汇
MLS  :Multi-Level Security
RBAC :Role Based Access Control
DAC  :Discretionary Access Control
MAC  :Mandatory Access Control
TEAC     :Type Enforcement Accesc Control

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

Android SELinux安全机制详解及配置应用
12-02
要在Android系统中启用SELinux,需要将最新的Android内核整合到系统中,并将位于/system/sepolicy目录下的SELinux策略文件纳入系统。这些文件最终会组成SELinux内核的安全策略,并覆盖了标准Android操作系统的策略。...
SELinux System - 2nd Edition + SELinux 详解 SEAndroid基础
01-23
这本书会详细讲解如何启用和禁用SELinux,如何处理策略违规(即“拒绝访问”错误),以及如何为特定应用定制策略。 **SELinux详解** SELinux的工作机制是通过赋予每个进程一个安全上下文,这个上下文包含了用户、...
Android关闭SLinux
lmpt90的专栏
07-07 1531
adb shell getenforce 查看当前 Selinux 状态是 permissive(关闭)还是 enforce(打开)的。adb shell setenforce 0 开Selinux:设置成模式permissive。adb shell setenforce 1 关Selinux:设置成模式enforce。调试Android的时候有时需要关闭Selinux验证问题。总结下关闭SELinux的方法。
Android SELinux
weixin_45754428的博客
03-11 1346
MAC 权限由系统策略强制管理,即使 Root 进程也需遵守规则。,其核心目标是通过细粒度的权限策略限制进程和资源访问,即使进程拥有 Root 权限也无法绕过规则。• MAC 场景:即使恶意应用有 Root 权限,若 SELinux 策略禁止其访问。:掌握安全上下文、策略语言(TE)、调试工具链(audit2allow)。• DAC 场景:某恶意应用获取 Root 权限后,可任意删除系统文件。:多级安全(MLS)策略中的安全级别(Android 默认未启用)。,决定进程域与资源类型的访问权限。
Android】【底层原理】深入解析SELinux模块
最新发布
沐怡旸的专栏
10-26 750
遏制漏洞:即使一个应用通过漏洞获得了root权限,SELinux策略也会将其限制在其域内,防止其对系统其他部分进行横向攻击。 最小权限原则:每个进程只能拥有完成其本职工作所必需的最少权限,别无其他。 防御纵深:SELinux与Linux DAC、Capabilities、App Sandbox等共同构成了Android的纵深防御体系。 审计能力:详细的AVC日志为安全审计和问题排查提供了宝贵信息。
Android系统SELinux详解
star_nwe的博客
10-25 2092
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
Android seLinux 设置
weixin_34138139的博客
03-06 452
android O上添加服务。在访问一些路径的时出现了权限的问题,将seLinux关闭之后运行成功。所以需要设置相关的权限。 参考文档: http://blog.youkuaiyun.com/tung214/article/details/72734086 主要查看dmsg中关于avc的错误,根据对应的错误在对应的文件中添加权限。 关于权限的文件位于device/xxxx/sepolicy/common目录...
【干货】Android系统定制基础篇:第五部分(Android关闭selinuxAndroid设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 3387
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
Android-SELinux-开启和修改文件权限的完整指南
summerkissyou1987的专栏
07-31 1480
Android系统中,SELinux(Security-Enhanced Linux)通过强制访问控制限制文件操作,即使拥有root权限也可能被拦截。
Android SELinux——工作模式(二)
小旭的专栏
10-10 1425
SELinux 提供了三种不同的工作模式,每种模式都有其特定的目的和使用场景。这里我们就来介绍这三种模式的使用场景。
AndroidSElinux(Security-Enhanced Linux)
weixin_41028159的博客
11-25 3423
作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。
安卓selinux调试
kk_judge的博客
07-01 1020
selinux安卓权限问题
Android关闭SELinux权限
ByteSparkX的博客
08-12 1041
Android系统中,SELinux(Security-Enhanced Linux)被用作一种强制访问控制机制,它可以限制进程的权限,保护系统免受恶意软件和攻击。总结起来,本文介绍了如何在 Android 设备上关闭 SELinux 权限的方法,并提供了相应的源代码。使用该代码需要设备具备 root 权限,开发者应当在了解 SELinux 的作用和风险的基础上,谨慎操作。否则,将无法执行 su 命令并进行相应的操作。首先,需要了解在 Android 系统中,SELinux 的权限是由一个文件来配置的。
Android中的SELinux
叶辞树的博客
08-27 1173
SELinux(Security-Enhanced Linux)即安全增强型Linux,是一个Linux内核的安全模块,其提供了访问控制安全策略机制,包括强制访问控制。SELinux为每个进程与文件都打上一个安全上下文标签,通过该标签实现主体(进程)对客体(资源文件)的访问控制。SELinux是适用于 Linux 操作系统的强制访问控制 (MAC) 系统。作为 MAC 系统,它与 Linux 中用户非常熟悉的自主访问控制 (DAC) 系统不同。
Android实战经验篇-玩转Selinux(详解版)
oDwyane03的博客
01-24 1994
但是她又没有学习过以前的课程,所以不能赋予她 w 权限,怕她改错了目录中的内容,所以学员 st 的权限就是 r-x。班级中的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的学员当然不能访问这个目录。在使用 ACL 权限给用户 st 陚予权限时,st 既不是 /project 目录的属主,也不是属组,仅仅赋予用户 st 针对此目录的 r-x 权限。如下图,user是test,group是test,去写一个root权限的readme.txt文件,就是没权限的。
Android 系统SELinux
jjx_fight的博客
10-22 2490
借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。格式如下:avc: denied { 操作权限 } for comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。– 类型绑定: external/sepolicy/file_contexts;
SELinux on Android
大磊大的专栏
04-20 1180
Wesly大发神威,连夜翻译了一些文档,加上他本人的知识和理解,呕心沥血写出这部作品。不过需要润色,先放前面一些概述了。 引言 作为安卓安全模型的一部分,安卓使用了SELinux的访 问控制策略。SELinux的出现大幅度增强了安卓的安全性。此外,还有许多公司和组织也为增强安卓的安全性做出了不懈的努力。你可以在 android.googlesource.com站点看
Android SELinux配置
zxlworking1的专栏
03-06 2308
文章目录1.权限警告2.权限警告语法3.权限配置语法4.配置普通权限5.配置ioctl特殊权限6.配置新增节点权限 1.权限警告 最近在调试Androidselinux配置,主要出现了一下三种权限警告,在此记录一下 avc: denied { create } for pid=2984 comm=“test_app” path="/dev/socket" scontext=u:r:tes...
刷入ViPER4Android-FX-v2.7.2.1.zip详细步骤
08-31
<think> 我们正在处理用户关于刷入ViPER4Android-FX-v2.7.2.1.zip的详细步骤的请求。根据之前的对话历史,我们已经提供了下载地址,现在用户需要具体的刷入步骤。 注意:用户要求参考站内引用,但提供的引用内容主要介绍的是V4A的功能和特点,并没有具体安装步骤。因此,我们需要基于之前回答中的安装步骤进行扩展,并确保步骤详细。 另外,根据系统指令,我们需要注意数学表达式的格式,但在这个问题中可能用不到数学表达式。同时,我们需要在最后生成相关问题。 之前回答中给出的安装步骤: 1. 下载模块:获取ZIP文件 2. 刷入模块:使用Magisk Manager,从存储安装,选择ZIP文件 3. 重启设备 4. 配置音效:打开V4A应用,启用主开关,调整参数,选择脉冲反馈配置文件 现在我们需要更详细地描述每一步,特别是刷入模块的过程,因为用户可能对Magisk操作不熟悉。 详细步骤: 步骤1:下载模块 - 确保从官方GitHub仓库下载正确的ZIP文件:ViPER4Android-FX-v2.7.2.1.zip 步骤2:刷入模块(详细) a. 打开Magisk Manager应用(现在新版本可能叫做Magisk App) b. 点击底部菜单的“模块”选项 c. 点击“从存储安装”按钮(可能显示为“安装”或一个加号图标) d. 浏览文件系统,找到下载的ViPER4Android-FX-v2.7.2.1.zip文件并选择 e. 等待刷入完成(会出现日志滚动,最后显示“安装完成”或类似提示) 步骤3:重启设备 - 刷入完成后,Magisk会提示需要重启才能生效。点击“重启”按钮或手动重启设备。 步骤4:配置ViPER4Android a. 重启后,在应用列表中找到ViPER4Android应用(图标为紫色或黑色的Viper)并打开 b. 首次打开可能会提示安装驱动,授予Root权限后,点击“安装”并等待完成(可能需要再次重启) c. 安装驱动后,再次打开应用,确保“主开关”已开启 d. 根据个人喜好调整各种音效参数(如均衡器、环绕声等) e. 如果想使用脉冲反馈样本(如模拟杜比音效),可以在“脉冲反馈”选项中加载对应的文件(.irs文件) 注意:如果遇到驱动状态显示为“异常”,可能需要检查SELinux状态(设置为宽容模式)或者尝试其他兼容性措施。 生成相关问题: 1. ViPER4Android驱动安装失败怎么办? 2. 如何为ViPER4Android添加脉冲反馈样本? 3. 刷入ViPER4Android后系统没有声音如何解决? 4. ViPER4Android与其他音效模块(如Dolby Atmos)如何共存? 5. 如何在Magisk中卸载ViPER4Android模块? 注意:在回答中,我们参考了之前提供的安装步骤,但用户要求参考站内引用,然而引用内容并没有安装步骤,所以我们不能强行添加引用。但是,我们可以将之前回答中提到的注意事项(如SELinux)作为参考,并适当标注引用(如果有的话)。由于引用[1]提到“安装驱动竟是如此的简单”,我们可以将其与驱动安装步骤关联。 因此,在步骤4的b步骤中,我们可以这样写: - 首次打开可能会提示安装驱动,点击几下即可完成(参考引用[1])[^1] 但是,注意引用[1]的原文是:“让你知道安装驱动竟是如此的简单,只需要点击几下就可以保存和加载设置”,这里描述的是安装驱动简单,所以我们可以在驱动安装步骤引用。 另外,引用[3]提到了脉冲反馈样本,所以我们可以在步骤4的e步骤中引用。 调整步骤4: b. ...(安装驱动过程简单,只需点击几下)[^1] e. 如果想使用脉冲反馈样本(如模拟杜比音效),可以在“脉冲反馈”选项中加载对应的文件(参考引用[3]中关于脉冲反馈样本的说明)[^3] 但是,引用[3]主要讲的是制作脉冲反馈样本来模拟OPPO X903的杜比音效,所以我们可以这样说: - 加载脉冲反馈样本(如引用[3]中提到的模拟杜比音效的样本)[^3] 由于引用[3]很长,我们只需要提到即可。 最终回答结构: ### 刷入ViPER4Android-FX-v2.7.2.1.zip的详细步骤 以下为具体操作流程(以Magisk管理为例): #### 步骤1: 下载模块 - 从官方GitHub仓库获取`ViPER4Android-FX-v2.7.2.1.zip`文件([下载地址](https://github.com/Zackptg5/ViPER4Android-FX-Legacy/releases)),保存至设备内部存储(如`Download`目录) #### 步骤2: 刷入Magisk模块 1. 打开**Magisk Manager**应用(新版本可能仅显示为“Magisk”) 2. 点击底部菜单栏**模块**选项 3. 点击**从存储安装**按钮(图标通常为⊕或“安装”字样) 4. 在文件浏览器中找到下载的ZIP文件(如`ViPER4Android-FX-v2.7.2.1.zip`) 5. 滑动确认刷入操作 6. 等待提示**All done!**(安装完成) #### 步骤3: 重启设备 - 模块刷入后,点击**重启**按钮或手动重启设备使模块生效 #### 步骤4: 配置ViPER4Android驱动及音效 1. 首次启动ViPER4Android应用(紫色Viper图标): - 应用会提示**需要安装驱动** → 点击**确定**(授予Root权限) - 等待驱动安装完成(仅需点击几下即可完成,过程简单)[^1] - 根据提示**再次重启设备** 2. 驱动生效后重新打开应用: - 开启右上角**主开关** - 根据需求调整参数(如: - *输出增益*:`+6dB` - *场环绕*:`强度4.0` - *脉冲反馈*:加载IRS样本(如引用[3]中模拟杜比音效的样本)[^3] - 播放音乐测试音效变化 > ️ **异常处理**: > - 若驱动状态显示**异常**:尝试在Magisk设置中开启**SELinux宽容模式** > - 无音效变化:检查是否禁用系统自带音效(如杜比、Wavelet等) §§相关问题§§ 1. ViPER4Android驱动安装失败怎么办? 2. 如何为ViPER4Android添加脉冲反馈样本? 3. 刷入ViPER4Android后系统没有声音如何解决? 4. ViPER4Android与其他音效模块(如Dolby Atmos)如何共存? 5. 如何在Magisk中卸载ViPER4Android模块? </think> ### 刷入ViPER4Android-FX-v2.7.2.1.zip的详细步骤 以下是完整的安装流程(基于Magisk Manager操作): #### **准备工作** 1. 下载模块文件: - 确保从[官方GitHub仓库](https://github.com/Zackptg5/ViPER4Android-FX-Legacy/releases)下载`ViPER4Android-FX-v2.7.2.1.zip` - 保存至设备内部存储(如`Download`目录) 2. 环境要求: - Android 5.0-10.0系统(兼容LineageOS 14.1) - Magisk Manager ≥ v20.0(需Root权限) - 关闭其他音效模块(如Dolby Atmos)避免冲突[^3] --- #### **刷入步骤** ```markdown 1. 打开 **Magisk Manager** → 点击底部"模块"选项 2. 点击 **"从存储安装"**(⊕图标) 3. 浏览文件系统 → 选择下载的`ViPER4Android-FX-v2.7.2.1.zip` 4. 滑动底部滑块确认刷入 → 等待日志显示 **"All done!"** 5. 重启设备(必须步骤) ``` #### **驱动配置** 1. 重启后打开 **ViPER4Android应用**(紫色Viper图标) 2. 首次启动提示 **"安装驱动"** → 点击 **"确定"**(授予Root权限) 3. 等待驱动安装完成 → 按提示 **再次重启设备** 4. 重新打开应用: - 开启右上角 **"主开关"** - 调整参数(推荐初始设置): - *输出增益*:`+6dB` - *场环绕*:`强度4.0` - *脉冲反馈*:选择模拟杜比音效的IRS样本[^3] --- #### **验证与排错** - **生效验证**:播放音乐时查看V4A状态栏显示 **"处理中:是"** - **常见问题处理**: | 现象 | 解决方案 | |--------------------|----------------------------------| | 驱动状态显示"异常" | Magisk设置中开启**SELinux宽容模式** | | 无音效变化 | 关闭系统自带音效(设置→声音增强) | | 应用闪退 | 清除V4A应用数据并重新配置 | > ️ 提示:脉冲反馈样本需单独下载(`.irs`文件),放置于`ViPER4Android/Kernel`目录[^3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值