selinux contexts 安全上下文的临时更改

Androiod 安全上下文的临时更改，命令：

chcon       安全上下文  文件
chcon  -R   安全上下文   目录    （-R是递归更改）

 

举例：

原始信息：

xxx:/system/app # ls -lZ
total 199
......
drwxr-xr-x 4 root root u:object_r:system_file:s0 4096 2009-01-01 08:00 Bluetooth drwxr-xr-x 1 root root u:object_r:system_file:s0 3488 2021-07-06 04:11 Stk
drwxr-xr-x 3 root root u:object_r:system_file:s0 4096 2009-01-01 08:00 Traceur
.....

运行命令：chcon -R u:object_r:vendor_app_file:s0 Stk/

运行后结果：

130|xxx:/system/app # chcon -R u:object_r:vendor_app_file:s0 Stk/
E6A:/system/app # ls -lZ
total 199......
drwxr-xr-x 3 root root u:object_r:system_file:s0     4096 2009-01-01 08:00 SoterService
drwxr-xr-x 1 root root u:object_r:vendor_app_file:s0 3488 2021-07-06 04:11 Stk
drwxr-xr-x 3 root root u:object_r:system_file:s0     4096 2009-01-01 08:00 Traceur
......

130|xxx:/system/app/Stk # ls -lZ
total 275
-rw-r--r-- 1 root root u:object_r:vendor_app_file:s0 277735 2009-01-01 08:00 Stk.apk drwxr-xr-x 1 root root u:object_r:vendor_app_file:s0 3488 2021-07-06 04:11 oat

恢复命令： restorecon -R Stk/   若不生效则重启手机

 

 

 

 

 

https://www.jianshu.com/p/d10a132df49a

SELinux增强了Linux系统的安全，但是对于初学者来说很容易造成各种各样的错误，经常被搞的莫名其妙不知所措，最后只能祭出大招把SELinux一关了之。笔者也是初学者，也没有搞清楚其中的道理，只是了解点皮毛而已。本文只从chcon命令的使用结合几个例子简单回顾一下，更加深入的知识有待继续学习。

使用selinux contexts

SELinux增强了Linux系统的安全，但是对于初学者来说很容易造成各种各样的错误，经常被搞的莫名其妙不知所措，最后只能祭出大招把SELinux一关了之。笔者也是初学者，也没有搞清楚其中的道理，只是了解点皮毛而已。本文只从chcon命令的使用结合几个例子简单回顾一下，更加深入的知识有待继续学习。

chcon man page

NAME chcon - change security context SYNOPSIS chcon [OPTION]... CONTEXT FILE... chcon [OPTION]... --reference=RFILE FILE... DESCRIPTION Change the security context of each FILE to CONTEXT. -c, --changes like verbose but report only when a change is made -h, --no-dereference affect symbolic links instead of any referenced file (available only on systems with lchown system call) -f, --silent, --quiet suppress most error messages -l, --range set range RANGE in the target security context --reference=RFILE use RFILE’s context instead of using a CONTEXT value -R, --recursive change files and directories recursively  -r, --role set role ROLE in the target security context -t, --type set type TYPE in the target security context -u, --user set user USER in the target security context -v, --verbose output a diagnostic for every file processed --help display this help and exit --version output version information and exit REPORTING BUGS Report bugs to <email@host.com>. SEE ALSO The full documentation for chcon is maintained as a Texinfo manual. If the info and chcon programs are properly installed at your site, the command info chcon should give you access to the complete manual. 

SELinux 上下文 简介

在运行这SELinux的系统上，所有的进程和文件都以标记着一种安全相关的信息，这种信息就是SELinux Context（上下文）。可以使用下面的命令查看文件的上下文：

ls -Z file1
-rw-rw-r-- user1 group1 unconfined_u:object_r:user_home_t:s0 file1 

在这个例子里面，SELinux提供了一个user (unconfined_u), 一个role (object_r), 一个type (user_home_t), 以及一个level (s0)。这个信息用来进行控制访问。SELinux实现了强制访问控制（MAC）的安全模式。在标准的Linux环境中开启了自由访问控制（Discretionary Access Control，DAC）后，这一机制就会在Linux内核中对所有操作的安全性进行检查。在DAC体系中，访问通过Linux用户ID和组ID进行控制，SELinux策略规则会在DAC规则之后进行检查。也就是说，如果DAC规则已经拒绝访问了，那么SELinux策略规则就不使用了。

有许多命令可以管理文件的SELnux上下文，例如chcon，semanage fcontext和restorecon。

chcon临时的改变

chcon命令可以临时的改变文件的上下文，也就是说如果文件系统relabel一下或者执行一下restorecon命令，上下文的改变就实效了。SELinux策略控制着用户能否修改一个文件的上下文。在适用chcon命令的时候用户要指定所有的或者部分的要改变的SELinux上下文。

改变一个文件或者文件夹的类型

下面这段只说明一下如何改变SELinux中的类型。这个我们假设file1是一个文件。当然，如果file1是一个文件夹的话也是适用的。

查看文件的上下文
~]# ls -Z file1
-rw-rw-r-- user1 group1 unconfined_u:object_r:user_home_t:s0 file1 改变文件的上下文 ~]# chcon -t samba_share_t file1 ~]# ls -Z file1 -rw-rw-r-- user1 group1 unconfined_u:object_r:samba_share_t:s0 file1 恢复文件的上下文 ~]# restorecon -v file1 restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0 

在使用RHEL6中默认的SELinux策略的时候，restore命令会读取/etc/selinux/targeted/contexts/files/文件夹中的文件，来查看文件应该拥有哪个SELinux上下文。

改变一个文件夹及其内容的类型

下面这个例子说明了如何把一个文件夹及其内容的类型改成Apache HTTP服务器使用的类型。当你想让Apache HTTP服务器使用一个不同的root文件夹的时候（默认的是/var/www/html/），这个配置就有派上用场了。

新建文件夹/web，并在其中新建三个文件file{1,2,3}： ~]# mkdir /web ~]# cd /web ~]# touch file{1,2,3} /web/文件夹和里面的文件都具有default_t类型的标签： ~]# ls -dZ /web drwxr-xr-x root root unconfined_u:object_r:default_t:s0 /web ~]# ls -lZ /web -rw-r--r-- root root unconfined_u:object_r:default_t:s0 file1 -rw-r--r-- root root unconfined_u:object_r:default_t:s0 file2 -rw-r--r-- root root unconfined_u:object_r:default_t:s0 file3 使用chcon命令把/web/文件夹及其内容的类型改成httpd_sys_content_t： ~]# chcon -R -t httpd_sys_content_t /web/ 使用restorecon命令来恢复默认的上下文： ~]# restorecon -R -v /web/ restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0 restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0 restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0 restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0 

参考其他的文件来创建上下文

使用参数--reference来指定其他的文件
chcon -R --reference=RFILE FILE

参考文献

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html
http://wiki.centos.org/HowTos/SELinux
http://www.searchsv.com.cn/showcontent_44629.htm