正确姿势临时和永久开启关闭Android的SELinux

最新推荐文章于 2025-04-03 15:20:08 发布
最新推荐文章于 2025-04-03 15:20:08 发布
阅读量2.9w 收藏 58
点赞数 17
CC 4.0 BY-SA版权
分类专栏: Android SELinux开发多场景实战指南 文章标签: SELinux 开启/关闭SELinux setenforce 0 enforce Permissive
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tkwxty/article/details/103938287

      正确姿势临时和永久关闭Android的SELinux


Android SELinux开发多场景实战指南目录:

Android SELinux开发入门指南之SELinux基础知识
Android SEAndroid权限问题指南
Android SELinux开发入门指南之如何增加Java Binder Service权限
Android SELinux开发入门指南之权限解决万能规则
Android SELinux开发入门指南之如何增加Native Binder Service权限
Android SELinux开发入门指南之正确姿势解决访问data目录权限问题
正确姿势临时和永久关闭Android的SELinux


引言

   自从Android 4.4强制开启SELinux以后,在开发中我们经常会遇到avc denied的问题,为了方便开发调试我们会将SELinux关闭,那么本章将带领读者怎么临时和永久关闭Android的SELinux。

注意:这里的源码是以Android 8.0为基准的。



正确姿势临时和永久关闭Android的SELinux


1.1 临时关闭Android的SELinux

这个操作比较简单,但是前提条件是机器能被root,且固件里面没有限制setenforce命令的执行。下面让我们看看怎么执行:

XXX:/ # getenforce   //获取当前SELinux状态
Enforcing
XXX:/ #  setenforce 0   //临时关闭SELinux状态
XXX:/ # getenforce   	//获取SELinux状态
Permissive
XXX:/ # setenforce 1   //永久开启SELinux状态
XXX:/ # getenforce
Enforcing
XXX:/ #

注意点:

  • 上述的方法是临时关闭SELinux,机器重启以后还是会恢复的
  • 上述命令一定要在Root模式下运行,且必须是终端没有对setenforce进行限制,否则会报如下的错误
setenforce: Could not set enforcing status: Permission denied   //非root情况
  • 对于一些定制了内核的Room来说,哪怕你已经获取了Root权限,当执行setenforce命令时依然会提示如下错误,因为在SELinux模式下,Root不是万能的。
setenforce: Couldn't set enforcing status to '0': Invalid argument //Root情况,但是Room做了定制不允许setenforce


1.2 永久关闭Android的SELinux

init进程是Android内核启动的第一个用户级进程,其中的SELinux也是在init进程中启动的,代码位置在system/core/init/init.cpp中。

int main(int argc, char** argv) {
	...
	selinux_initialize(true);
	...
}

static void selinux_initialize(bool in_kernel_domain) {
    Timer t;

    selinux_callback cb;
    cb.func_log = selinux_klog_callback;
    selinux_set_callback(SELINUX_CB_LOG, cb);
    cb.func_audit = audit_callback;
    selinux_set_callback(SELINUX_CB_AUDIT, cb);

    if (in_kernel_domain) {
        LOG(INFO) << "Loading SELinux policy";
        if (!selinux_load_policy()) {
            panic();
        }

        bool kernel_enforcing = (security_getenforce() == 1);//判断条件1
        bool is_enforcing = selinux_is_enforcing();//判断条件2
        if (kernel_enforcing != is_enforcing) {
            if (security_setenforce(is_enforcing)) {
                PLOG(ERROR) << "security_setenforce(%s) failed" << (is_enforcing ? "true" : "false");
                security_failure();
            }
        }

        std::string err;
        if (!WriteFile("/sys/fs/selinux/checkreqprot", "0", &err)) {
            LOG(ERROR) << err;
            security_failure();
        }
        // init's first stage can't set properties, so pass the time to the second stage.
        setenv("INIT_SELINUX_TOOK", std::to_string(t.duration().count()).c_str(), 1);
    } else {
        selinux_init_all_handles();
    }
}

通过代码我们可以看出,init会通过security_getenforce()和selinux_is_enforcing()的值是否一致来判断是否开启SELinux,当不一致的时候会设置security_setenforce的值为is_enforcing。

下面让我么看看security_getenforce()的实现,通过全局搜索我们发现,该代码的位置在在external/selinux/libselinux/src/getenforce.c目录下:

int security_getenforce(void)
{
    int fd, ret, enforce = 0;
    char path[PATH_MAX];
    char buf[20];

    if (!selinux_mnt) {
        errno = ENOENT;
        return -1; 
    }   

    snprintf(path, sizeof path, "%s/enforce", selinux_mnt);
    fd = open(path, O_RDONLY | O_CLOEXEC);
    if (fd < 0)
        return -1; 

    memset(buf, 0, sizeof buf);
    ret = read(fd, buf, sizeof buf - 1); 
    close(fd);
    if (ret < 0)
        return -1; 

    if (sscanf(buf, "%d", &enforce) != 1)
        return -1; 

    return !!enforce;
}

这里有个要注意点,sizeof path,这个不是错误的,因为这里的sizeof是一个运算符,这里的代码所以首先获取一个节点数值,Android改节点路为/sys/fs/selinux/enforce,这个值表示是否开启selinux,让我们手动cat一下该节点,然后查看一下值:

XXX:/ # cat /sys/fs/selinux/enforce
1

这里另一个判定条件是selinux_is_enforcing()函数。其定义如下:

enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING };
        
static selinux_enforcing_status selinux_status_from_cmdline() {
    selinux_enforcing_status status = SELINUX_ENFORCING;
        
    import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) {
        if (key == "androidboot.selinux" && value == "permissive") {
            status = SELINUX_PERMISSIVE;
        }
    });     
                
    return status;
}           
        
static bool selinux_is_enforcing(void)
{       
    if (ALLOW_PERMISSIVE_SELINUX) {
        return selinux_status_from_cmdline() == SELINUX_ENFORCING;
    }       
    return true;
}

此处从cmdline中获取androidboot.selinux的值,如果是permissive,则返回SELINUX_PERMISSIVE,即0,否则返回SELINUX_ENFORCING。如果enforce节点和cmdline设置不一致,则调用security_setenforce重新设置selinux的enforce节点值。
因此想要关闭selinux,可以直接将selinux_is_enforcing返回false,网上也有人从驱动返回,这个驱动这边不是很熟悉,所以就在这里直接注释掉从驱动获取的值直接返回false即可。

static bool selinux_is_enforcing(void)
{             
    return false;
}

最后重新编译boot.img,烧入固件这样重新启。启动完成后调用getenforce命令可以看到已经特地关闭SELinux了。

关于从驱动层返回修改的,可以参考下面的这篇博文:
https://blog.csdn.net/zhangdaxia2/article/details/98243665



结语

   关于SELinxu都是些偏向实战类型的博客,所以也没有过多好说的,跟着规则实际操作几把就基本OK了。好了今天的博客正确姿势临时和永久开启关闭Android的SELinux到这里就结束了,各位青山不改绿水长流,江湖见!欢迎点赞或者关注本博主,当然由于博主知识有限,批评或者踩也无妨!

android13 关闭selinux 临时关闭或者永久关闭
zhutoubenben的专栏
08-08 1737
Android操作系统中,SELinux(Security-Enhanced Linux)是一种安全模块,用于提供强制访问控制(MAC)安全策略。当然关闭SELinux可能会降低系统的安全性,因此在执行此操作之前,应充分了解其风险后果。但是有时候我们需要关闭它,用来测试是否是其他问题导致功能不正常使用。
关闭Android12系统的SELinux权限
Do my best!
11-29 1927
Android 12上关闭SELinux权限,你可以通过修改/selinux.cpp文件来实现。具体来说,你需要找到SelinuxInitialize()方法,在那里初始化selinux权限。如果由于权限问题导致应用层无法访问设备节点,可以先临时永久关闭selinux。若要永久关闭,需要对/selinux.cpp文件进行编程修改,直接在IsEnforcing()方法中返回false即可。此外,你还可以在system.prop文件中定义ro.boot.selinux=disable以禁用selinux
永久关闭手机selinux
JackBoy的博客
06-07 1090
aboox -x boot.img 修改boot.cfg插入androidboot.selinux=permissive 不要用abootimg --create create.img -k zImage -r initrd.img -f bootimg.cfg 去重打包,冒失这傻逼命令已经失效了,打包后的img起不起来 abootimg -u boot.img -f bootimg.cfg ...
Linux(26)—— SELinux 基本概念及故障排除
最新发布
m0_68756914的博客
04-03 1105
讲述了 SELinux 的基本概念、执行模式以及如何分析与解决 SELinux 问题。
Android 10 如何关闭selinux权限
wq892373445的博客
10-18 4893
由于应用层访问设备节点的时候,因为selinux权限问题而访问不了,所以就先关闭selinux 代码路径: system/core/init/selinux.cpp 1、在/selinux.cpp文件中SelinuxInitialize()方法初始化selinux权限问题 void SelinuxInitialize() { Timer t; LOG(INFO) << "Loading SELinux policy"; if (!LoadPolicy()) {
android永久关闭linux,Android临时永久关闭selinux
weixin_42635064的博客
05-15 708
当我们想要临时关闭selinux时,如果可以获得root权限,通过adb如下指令可以临时关闭selinux:setenforce 0如果需要长期关闭,则需要用其他方法,先看slinue启动的位置:Androidselinux从init开始。在init.cpp中有:static void selinux_initialize(bool in_kernel_domain) {Timer t;seli...
永久关闭SELinux
Letcos
12-13 693
当我们自己编写native serivce时,如果打开SELinux,往往需要耗费大量无意义的时间在添加权限上面。所以在对系统安全等级要求不是非常严苛的情况下我们可以关闭SELinux。补丁如下: diff --git a/system/core/init/init.cpp b/system/core/init/init.cpp index be1c232..adda5d8 100755 --- a/system/core/init/init.cpp +++ b/system/core/init/init.
Android临时永久关闭selinux
热门推荐
zhangdaxia2的博客
08-02 2万+
当我们想要临时关闭selinux时,如果可以获得root权限,通过adb如下指令可以临时关闭selinux: setenforce 0 如果需要长期关闭,则需要用其他方法,先看slinue启动的位置: Androidselinux从init开始。在init.cpp中有: static void selinux_initialize(bool in_kernel_domain) { Ti...
安卓永久关闭Linux,永久关闭selinux
weixin_42718924的博客
05-15 740
URI编码解码base64概述 对于uri的编解码,在js中有3对函数,分别是escape/unescape,encodeURI/decodeURI,encodeURIComponent/decodeURIComponent. ...Mysql主从架构的复制复制类型 (1)基于语句的复制: 在主服务器上执行的SQL语句,在从服务器上执行同样的语句.MySQL默认采用基于语句的复制,效率比较高....
临时/永久关闭Linux下的selinux
01-25
本资源介绍了如何临时关闭selinux永久关闭selinux的方法
Android 关闭SElinux权限
hyg55555的博客
01-09 551
【代码】Android 关闭SElinux权限。
SELinux的介绍以及几种关闭方式
05-05
SELinux的介绍以及几种关闭方式
Android 10.0关闭selinux权限
安卓兼职framework和app工程师的博客
06-30 3752
在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限,所以怎么样关闭selinux权限呢 system/core/init/selinux.cpp bool IsEnforcing() { { int fd(open("/mboot/selinux", O_RDONLY | O_CLOEXEC | O_BINARY)); if (fd != -1) { char v = 0x
Android SELinux——工作模式(二)
小旭的专栏
10-10 1228
SELinux 提供了三种不同的工作模式,每种模式都有其特定的目的使用场景。这里我们就来介绍这三种模式的使用场景。
Android关闭SLinux
lmpt90的专栏
07-07 1387
adb shell getenforce 查看当前 Selinux 状态是 permissive(关闭)还是 enforce(打开)的。adb shell setenforce 0Selinux:设置成模式permissive。adb shell setenforce 1 关Selinux:设置成模式enforce。调试Android的时候有时需要关闭Selinux验证问题。总结下关闭SELinux的方法。
关闭SELINUX
shuai0845的博客
11-23 239
关闭SELinux功能 先查看SELINUX配置文件 [root@shuai ~]# cat /etc/selinux/config    # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: #     enforcing - SE
Android S MTK平台关闭SeLinux
file_tang的专栏
02-23 1175
Android S MTK平台关闭SeLinux
关闭 SELinux 权限
2301_79326510的博客
08-21 801
它通过强制访问控制(MAC)提供更细粒度的权限控制,限制应用程序的行为,并防止恶意代码的执行。此外,关闭 SELinux 权限可能会导致一些应用程序无法正常运行,因此在禁用 SELinux 之前,请确保您了解可能带来的潜在风险影响。在 Android 系统中关闭 SELinux 权限是一个常见的需求,本文将介绍如何通过修改系统配置文件来关闭 SELinux 权限并提供相应的源代码。但请注意,禁用 SELinux 可能会降低系统的安全性,因为该安全机制的作用是防止恶意代码的执行。在打开的文件中,找到。
rk3566 android11关闭selinux模式
jingzhemodao的博客
04-01 953
android11关闭selinux模式
IDEA通义灵码AI
02-25
### IntelliJ IDEA 中通义灵码 AI 功能介绍 IntelliJ IDEA 提供了一系列强大的工具来增强开发体验,其中包括与通义灵码 AI 相关的功能。这些功能可以帮助开发者更高效地编写代码并提高生产力。 #### 安装通义灵码插件 为了使用通义灵码的相关特性,在 IntelliJ IDEA 中需要先安装对应的插件: 1. 打开 **Settings/Preferences** 对话框 (Ctrl+Alt+S 或 Cmd+, on macOS)。 2. 导航到 `Plugins` 页面[^1]。 3. 在 Marketplace 中搜索 "通义灵码" 并点击安装按钮。 4. 完成安装后重启 IDE 使更改生效。 #### 配置通义灵码服务 成功安装插件之后,还需要配置通义灵码的服务连接信息以便正常使用其提供的各项能力: - 进入设置中的 `Tools | Qwen Coding Assistant` 菜单项[^2]。 - 填写 API Key 其他必要的认证参数。 - 测试连接以确认配置无误。 #### 使用通义灵码辅助编程 一旦完成上述准备工作,就可以利用通义灵码来进行智能编码支持了。具体操作如下所示: ##### 自动补全代码片段 当输入部分语句时,IDE 将自动提示可能的后续逻辑,并允许一键插入完整的实现方案[^3]。 ```java // 输入 while 循环条件前半部分... while (!list.isEmpty()) { // 激活建议列表选择合适的循环体内容 } ``` ##### 解释现有代码含义 选中某段复杂的表达式或函数调用,右键菜单里会有选项可以请求通义灵码解析这段代码的作用以及优化意见。 ##### 生产测试案例 对于已有的业务逻辑模块,借助于通义灵码能够快速生成单元测试框架及初始断言集,减少手动构建的成本。 ```python def test_addition(): result = add(2, 3) assert result == 5, f"Expected 5 but got {result}" ```
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值