SELinux权限

最新推荐文章于 2026-03-29 21:06:55 发布
原创 最新推荐文章于 2026-03-29 21:06:55 发布 · 5.9k 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#SElinux权限 #linux #安卓
SELinux是Linux内核的强制访问控制系统,提供enforcing、permissive和disable三种运行级别。政策语言包括规则名称、类型集等元素,用于定义访问权限。文章介绍了如何通过adb查看权限、修改内核配置或在sepolicy中添加权限来管理SELinux策略。

SELinux权限

SELinux简介

SELinux是2.6版本Linux内核中提供的强制访问控制系统,selinux默认配置在/etc/sysconfig/selinux。

默认有三种级别

  • enforcing Linux下 selinux所设置的安全策略都会被启用.所有与selinux安全策略有关的服务或者程序都会被策略阻止.也就是,所有操作都会进行权限检查。
  • permissive Linux下 selinux所设置的安全策略都会被启动,但是所有与selinux安全策略有关的服务或者程序不会被策略阻止,但是会收到警告.也就是,所有操作都被允许(即没有 MAC),但是如果有违反权限的话,会记录日志
  • disable 关闭 selinux,相当于系统没有安装 selinux一样
SELinux Policy语言介绍

  • 规则定义语法:

    规则名称 类型集 类型集:类别集 许可集;每个规则都要包含下面五个元素:

    • 规则名称: allow,dontaudit,auditallow和neverallow

    • 源类型:授予访问的类型,通常是进程的域类型

    • 目标类型:客体的类型,它被授权可以访问的类型

    • 客体类别:客体的类可

    • 许可:表示主体对客体访问时允许的操作类型(也叫做访问向量)。

    例如:allow kernel block_device:blk_file write;

其中allow是规则名称,kernel是主体类型,block_device是客体类型,blk_file是客体类别,write是许可类型。

权限修改

  1. adb查看SELinux权限

    getenforce //获取当前seLinux状态

    setenforce 1 //打开seLinux

    setenforce 0 //关闭seLinux

    ls -Z #可以查看当前SELinux权限

  2. 从内核中关闭SELinux权限

    通过修改kernel/arch/arm64/configs/xxx_defconfig文件,关闭CONFIG_SECURITY_SELINUX=y配置项即可

    or

    system/core/init/init.c中 将函数security_setenforce(is_enforcing);里的参数is_enforcing强制赋值为0,然后重新编译kernel,烧录boot.img即可在系统启动阶段就关闭安全策略。

  3. 在sepolicy中添加权限

    • debug和修改依据,定为系统需要的权限 adb logcat | denied or adb shell logcat -v threadtime > e:\logcat3.txt确定权限

    • 修改步骤

      • 找到源类型.te 文件,
      external/sepolicy
device/qcom/sepolicy/common
      • 标志性日志格式

      avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0

      • 修改方案
      
#在相应te文件或system_app.te文件中,添加下面语句:

 allow system_app shell_data_file:dir{getattr read};

Selinux权限介绍
littleyards的博客
03-26 925
可以看出,这里对主体(platform_app )访问客体(system_file)的子项(比如文件夹)的某项权限都进行了精确的规定。一个文件可以规定为:拥有它的用户具有什么权限,和它同组的用户具有什么权限以及其它的用户具有什么权限。这里说的是用户空间,是因为Seliunx的权限检查还是由内核完成的。load_policy : 加载二进制策略文件,临时性的操作,重启无效, 一般用于调试,如重新编译了策略文件, 替换新的策略二进制文件, 可以重新让系统加载策略文件。五,Seliunx 常见的命令。
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7905
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
Linux SELinux 详解:从入门到实战,搞定强制访问控制
最新发布
2301_80048473的博客
03-29 735
本文详细介绍了Linux系统中的SELinux安全机制,包括其基础认知、三种运行模式、安全上下文原理及日常配置管理方法。SELinux作为强制访问控制子系统,通过严格限制进程和用户对系统资源的访问权限,提供比传统DAC更高级别的安全防护。文章重点讲解了如何查看和修改安全上下文、管理布尔值开关,以及通过日志排查SELinux拦截问题的具体步骤。针对常见的网页目录迁移、FTP上传等场景提供了解决方案,强调生产环境不应禁用SELinux,而应通过合理配置来平衡安全性和可用性。掌握SELinux的运行机制和故障排查
SeLinux权限
MrDouYa的博客
03-19 1845
SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Android 4.4引入,L相对较为全面成熟,具体的信息如博客: https://blog.csdn.net/bsxiaomage/article/details/51126826 作者 lansehai2014 Selinux的两种模式分别为:1.Enforcing表示seLinux已经打开;...
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 2634
在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
SELinux权限问题解决
aylr2015的博客
06-27 1394
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。
添加Selinux 权限/常见的Selinux 权限问题
一只攻城的柿子
07-07 1万+
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,临时禁用selinux ,重启失效,可先执行: C:\Users\A
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 1万+
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android SeLinux权限问题和解决方法
热门推荐
DonnyCoy
07-28 3万+
1. 确认 seLinux导致权限问题 1.1 标志性log 格式: avc: denied  { 操作权限 }  for pid=7201 comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类别  permissive=0 1.2 举例: Kenel log: avc: denied
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 3192
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限
Selinux权限问题处理指导文档分享
吉吉的博客
05-18 1508
Selinux权限问题处理指导文档 概述 SELinux概述 Selinux即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation (SCC) 和 MITRE直接参与开发,以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制,该系统最初是作为一款通用访问软件,发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后,有直接整合进入SELinux, 搭建在Linux Sec
selinux权限
weixin_43899302的博客
08-19 2214
selinux
Selinux权限配置详解
秦逸轩的博客
07-15 2635
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
android selinux权限添加
weixin_46027271的博客
01-15 3804
本文基于Android10版本举例介绍selinux的添加方法
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 9303
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
SELinux详解
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
Android SElinux 权限
m0_49786098的博客
10-22 1404
有关添加Android SElinux 权限------proc 文件系统 sys文件系统一,SElinux是什么,如何分析此类问题二,添加selinux权限--基于高通平台演示1,基于proc下出现selinux权限问题2,基于sys下出现selinux权限问题三,实际log分析 温馨提示 此文章参考[Android L]SEAndroid开放设备文件结点权限(读或写)方法(涵盖常用操作:sys/xxx、proc/xxx、SystemProperties)热门干货。有不对的地方请各位指出。 一,SEl
确认 seLinux导致权限问题 对selinux权限的添加
qq_36950017的博客
01-29 982
确认 seLinux导致权限问题 对selinux权限的添加 对于selinux的问题,首先如何确认是selinux权限问题呢, 可以查看手机的log如果在log里面显示有如下内容: avc: denied { execheap } for pid=7201 comm=“com.baidu.input” scontext=u:r:untrusted_app:s0 tcontext=u:r:un...
添加 Selinux 权限步骤
wangjun7121的专栏
03-06 7486
前言 简单笔记 步骤 一、首先验证是否是 Selinux 权限相关问题 在 eng 版本中使用: setenforce 0 临时关闭 selinux 后,再验证。(注:有时是权限问题,但也未必有效,这时可通过 log 确认) 二、给可执行程序添加权限: src\device\qcom\sepolicy\common\file_contexts # wangjun@wind-mo...
Selinux权限以及使用
android 系统定制开发那些事
09-26 5281
selinux的使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值