Что произойдет, если мы изменим SE Linux на Permissive mode

Question

Я хочу создать новый сервис, для которого зарегистрирован сервис в SEpolicy.

Мой сервис не работает во время загрузки устройства, потому что устройство SELinux = принудительный режим.

I получил некоторую информацию, например, если мы установим режим androidboot.selinux = permissive , то я смогу запустить новый сервис.

Здесь у меня есть некоторые сомнения, если мы установим selinux = permissive. Мы потеряем безопасность или Android проверенные загрузки или обхода любых связанных с безопасностью вещей.

Заранее спасибо.

Answer 1

Вы правы. Если вы установите SE Linux на permissive, вы отключите важную функцию безопасности Android. Вот почему вы используете этот режим только для разработки. Режим permissive сделает для вас трассировку всех правил разрешения, которые отсутствуют в вашей службе.

Обычно вы будете действовать следующим образом:

1. Реализация службы.
2. Включите режим SE Linux permissive (см. здесь ).
3. Запустите службу и проверьте вывод avc на наличие пропущенных allow правил или нарушенных neverallow правил вашего сервиса (см. здесь ).
4. Тщательно продумайте последствия для безопасности и добавьте в систему необходимые правила contexts и allow (см. здесь ) .
5. Включите режим SE Linux enforcing.
6. Убедитесь, что ваш сервис работает и avc больше не жалуется.