本篇內(nèi)容介紹了“SElinux是什么”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細閱讀，能夠?qū)W有所成！

為瓦房店等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及瓦房店網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站制作、成都網(wǎng)站制作、瓦房店網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

背景

SELinux(Security-Enhanced Linux) 是美國國家安全局（NSA）對于強制訪問控制的實現(xiàn)，是 Linux歷史上最杰出的新安全子系統(tǒng)。NSA是在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在他的任務(wù)中所需要文件

在 SELinux 出現(xiàn)之前，Linux 上的安全模型叫 DAC，全稱是 Discretionary Access Control，翻譯為自主訪問控制。 DAC 的核心思想很簡單，就是：進程理論上所擁有的權(quán)限與執(zhí)行它的用戶的權(quán)限相同。比如，以 root 用戶啟動 Browser，那么 Browser 就有 root 用戶的權(quán)限，DAC 管理太過寬松，不夠靈活所以有了SELinux。

作用

在這種訪問控制體系的限制下，進程只能訪問那些在他的任務(wù)中所需要文件。

SELinux使用類型強制來改進強制訪問控制。所有的主體（程序進程）對客體（文件/socket等資源）的訪問都有一條TE規(guī)則來許可。當(dāng)程序訪問一個資源的時候，系統(tǒng)會搜索所有的TE規(guī)則集，并根據(jù)結(jié)果進行處理。這個規(guī)則集是由訪問向量規(guī)則（AV， Access Vector）來描述的。

內(nèi)核向外部暴露允許訪問的資源權(quán)限，由TE來描述主體擁有什么樣的訪問權(quán)。SELinux定義了30個不同的客體類別：

security process system capability filesystem file dir fd lnk_file chr_file blk_file socket_file ...

每個客體類別都定義了操作許可，比如針對file有19個操作許可：

`ioctl read write create getattr setattr lock relablefrom relableto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint

查看進程的SElinux權(quán)限

在 SELinux 中，每種東西都會被賦予一個安全屬性，官方說法叫做 Security Context，Security Context 是一個字符串，主要由三個部分組成，例如 SEAndroid 中，進程的 Security Context 可通過 ps -Z 命令查看：

rk3288:/ $ ps -AZ
u:r:hal_wifi_supplicant_default:s0 wifi      1816     1   11388   6972 0                   0 S wpa_supplicant
u:r:platform_app:s0:c512,c768  u0_a14        1388   228 1612844  57396 0                   0 S android.ext.services
u:r:system_app:s0              system        1531   228 1669680 119364 0                   0 S com.android.gallery3d
u:r:kernel:s0                  root           582     2       0      0 0                   0 S [kworker/1:2]
u:r:radio:s0                   radio          594   228 1634876  89296 0                   0 S com.android.phone
u:r:system_app:s0              system         672   228 1686204 141716 0                   0 S com.android.settings
u:r:platform_app:s0:c512,c768  u0_a18         522   223 1721656 152116 0                   0 S com.android.systemui

上面的最左邊的一列就是進程的 Security Context，以第一個進程 wpa_supplicant 為例

u:r:hal_wifi_supplicant_default:s0

• u 為 user 的意思，SEAndroid 中定義了一個 SELinux 用戶，值為 u

• r 為 role 的意思，role 是角色之意，它是 SELinux 中一個比較高層次，更方便的權(quán)限管理思路。簡單點說，一個 u 可以屬于多個 role，不同的 role 具有不同的權(quán)限。

• hal_wifi_supplicant_default 代表該進程所屬的 Domain 為 hal_wifi_supplicant_default。MAC（Mandatory Access Control）強制訪問控制 的基礎(chǔ)管理思路其實是 Type Enforcement Access Control（簡稱TEAC，一般用TE表示），對進程來說，Type 就是 Domain，比如 hal_wifi_supplicant_default 需要什么權(quán)限，都需要通過 allow 語句在 te 文件中進行說明。

• s0 是 SELinux 為了滿足軍用和教育行業(yè)而設(shè)計的 Multi-Level Security（MLS）機制有關(guān)。簡單點說，MLS 將系統(tǒng)的進程和文件進行了分級，不同級別的資源需要對應(yīng)級別的進程才能訪問

訪問規(guī)則

AV用來描述主體對客體的訪問許可。通常有四類AV規(guī)則：

• allow：表示允許主體對客體執(zhí)行許可的操作.

• neverallow：表示不允許主體對客體執(zhí)行制定的操作。

• auditallow： 表示允許操作并記錄訪問決策信息。

• dontaudit：表示不記錄違反規(guī)則的決策信息，切違反規(guī)則不影響運行`

通用的類型規(guī)則語法位：

1 allow platform_app debugfs:file { read ioctl };

表示類別為platform_app的程序進程，對debugfs類型的文件執(zhí)行read和ioctl操作。

模式切換

SELINUX有「disabled」「permissive」，「enforcing」3種選擇。

Disabled就不用說了。

permissive就是Selinux有效，但是即使你違反了策略的話它讓你繼續(xù)操作，但是把你的違反的內(nèi)容記錄下來。在我們開發(fā)策略的時候非常的有用，是UserDebug的默認模式。

Enforcing就是你違反了策略，你就無法繼續(xù)操作下去。

通過以下命令可以切換系統(tǒng)的SElinux模式 adb shell setenforce 0

0--代表Permissive

1--代表Enforcing

adb shell getenforce---查看狀態(tài)

Android系統(tǒng)上遇到SElinux如何調(diào)試

在android系統(tǒng)開發(fā)中，因為selinux權(quán)限問題一般會在user版本出現(xiàn)，但我們在userdebug版本通過以下方式可以驗證

１、第一步先確定問題是否由selinux權(quán)限問題引起

通過命令： adb shell getenforce //查看當(dāng)前SePolicy權(quán)限狀態(tài)（Enforcing　表示打開　Permissive表示關(guān)閉）

userdebug版本處于permissive關(guān)閉狀態(tài) 　　settenforce 1 //更改狀態(tài)到Enforcing，０表示Permissive 　　進行測試，如果此時問題會出現(xiàn)，那么就是selinux權(quán)限問題

2、解決方法

1.adb shell dmesg----抓kernel log

(特別說明：adb shell "cat /proc/kmsg | grep avc" > avc_log.txt  可以直接提出avc的log)

2.adb logcat –b events

關(guān)鍵字：

avc: denied

如圖：

這是一個selinux權(quán)限問題，我們只關(guān)注denied{} 、scontext 、tcontext 和 tclass 四個關(guān)鍵字就可以

• denied{}括號內(nèi)的內(nèi)容表示被拒的權(quán)限動作

• scontext的值表示需要在哪個te文件添加

• tcontext 表示需要賦予權(quán)限的目標

• tclass 表示權(quán)限問題的類型

這個問題的修改方式是在system_app.te文件添加如下代碼： allow system_app sysfs_thermal:dir search;

注意：有時在Enforcing模式時不能看到所有缺少的權(quán)限日志，例如：

這個日志由于FileNotFoundException問題導(dǎo)致程序不會繼續(xù)執(zhí)行到代碼終點，所以沒有執(zhí)行的代碼所缺少的權(quán)限日志就不能得到，但是在Permissive模式所有權(quán)限問題會打印出來，所以建議抓log在Permissive模式下或者兩種模式都抓

“SElinux是什么”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！

新聞標題：SElinux是什么
當(dāng)前URL：http://jinyejixie.com/article42/gdpiec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、營銷型網(wǎng)站建設(shè)、App開發(fā)、外貿(mào)網(wǎng)站建設(shè)、用戶體驗、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)