android永久关闭linux,Android临时和永久关闭selinux
當我們想要臨時關閉selinux時,如果可以獲得root權限,通過adb如下指令可以臨時關閉selinux:
setenforce 0
如果需要長期關閉,則需要用其他方法,先看slinue啟動的位置:
Android啟selinux從init開始。在init.cpp中有:
static void selinux_initialize(bool in_kernel_domain) {
Timer t;
selinux_callback cb;
cb.func_log = selinux_klog_callback;
selinux_set_callback(SELINUX_CB_LOG, cb);
cb.func_audit = audit_callback;
selinux_set_callback(SELINUX_CB_AUDIT, cb);
if (in_kernel_domain) {
INFO("Loading SELinux policy...\n");
if (selinux_android_load_policy() < 0) {
ERROR("failed to load policy: %s\n", strerror(errno));
security_failure();
}
bool kernel_enforcing = (security_getenforce() == 1);
bool is_enforcing = selinux_is_enforcing();
if (kernel_enforcing != is_enforcing) {
if (security_setenforce(is_enforcing)) {
ERROR("security_setenforce(%s) failed: %s\n",
is_enforcing ? "true" : "false", strerror(errno));
security_failure();
}
}
if (write_file("/sys/fs/selinux/checkreqprot", "0") == -1) {
security_failure();
}
NOTICE("(Initializing SELinux %s took %.2fs.)\n",
is_enforcing ? "enforcing" : "non-enforcing", t.duration());
} else {
selinux_init_all_handles();
}
}
這里通過security_setenforce函數去設置是否啟動selinux,啟動的條件是kernel_enforcing和is_enforcing如果不一致,則設置selinux啟動選項為is_enforcing。
我們看security_getenforce實現,在/external/selinux/libselinux/src/getenforce.c目錄下:
int security_getenforce(void)
{
int fd, ret, enforce = 0;
char path[PATH_MAX];
snprintf(path, sizeof path, "%s/enforce", selinux_mnt);
fd = open(path, O_RDONLY);
memset(buf, 0, sizeof buf);
ret = read(fd, buf, sizeof buf - 1);
close(fd);
if (sscanf(buf, "%d", &enforce) != 1)
return -1;
return enforce;
}
所以首先獲取一個節點數值,Android改節點路徑為/sys/fs/selinux/enforce,這個值表示是否開啟selinux。
另一個判定條件是selinux_is_enforcing()函數。其定義如下:
enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING };
static selinux_enforcing_status selinux_status_from_cmdline() {
selinux_enforcing_status status = SELINUX_ENFORCING;
import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) {
if (key == "androidboot.selinux" && value == "permissive") {
status = SELINUX_PERMISSIVE;
}
});
return status;
}
此處從cmdline中獲取androidboot.selinux的值,如果是permissive,則返回SELINUX_PERMISSIVE,即0,否則返回SELINUX_ENFORCING。
如果enforce節點和cmdline設置不一致,則調用security_setenforce重新設置selinux的enforce節點值。
因此想要關閉selinux,我們只需要在cmdline中設置一組參數:
androidboot.selinux=permissive
對于Android7.1, 設置位置可以是平臺的BoardConfig.mk:
BOARD_KERNEL_CMDLINE := console=ttyHSL0,115200,n8 androidboot.console=ttyHSL0 androidboot.hardware=qcom msm_rtb.filter=0x237 ehci-hcd.park=3 androidboot.bootdevice=7824900.sdhci lpm_levels.sleep_disabled=1 earlyprintk androidboot.selinux=permissive
內核啟動時會有如下打印:
<6>[ 0.001053] Security Framework initialized
<6>[ 0.001091] SELinux: Initializing.
<7>[ 0.001185] SELinux: Starting in permissive mode
<5>[ 9.117477] audit: type=1400 audit(1489810287.106:3): avc: denied { net_raw } for pid=368 comm="pm-service" capability=13 scontext=u:r:per_mgr:s0 tcontext=u:r:per_mgr:s0 tclass=capability permissive=1
可以看到selinue運行在permissive模式,即不會限制domain/type存取,僅僅打印log,log中也顯示permissive=1。
總結
以上是生活随笔為你收集整理的android永久关闭linux,Android临时和永久关闭selinux的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: (二)html
- 下一篇: linux 其他常用命令