注入自定义so时SELinux安全限制

1.什么是SELInux

我的理解是你这个人，这个程序到底有没有资格做这件事，即使你是root我也能拦你

通常情况下：应用程序----> 用户/组权限（能不能读）-----> Linux安全模块（LSM）--这里多了一道超级检查---> VFS/驱动/ 内核 ----> 硬件 安全模块就是在权限和内核之间，加了一道关卡

2.它在干嘛？

1.普通权限不够用

rwx，用户组只能管“读/写/执行”， 管不了底层行为

2.安全模块管得是行为

·能不能加载驱动

·能不能挂载

·能不能访问串口

·能不能改内核

3.具体看一个实例

### 日志内容

2026-03-21 17:49:28.470 478-478/? I/SELinux: SELinux: Loaded service_contexts from:
2026-03-21 17:49:28.470 478-478/? I/SELinux: /system/etc/selinux/plat_service_contexts
2026-03-21 17:49:28.472 478-478/? I/SELinux: avc: received setenforce notice (enforcing=1)

488 进程名 478 线程名 I是info ， SELInux： 具体的组件或模块名称

• SELinux: 系统的安全扩展，处理访问控制。
• Loaded service_contexts: 表示已经加载了服务上下文的情况。
• /system/etc/selinux/plat_service_contexts: 指定加载 SELinux 服务上下文的路径。

• avc: 表示访问控制反馈（Access Vector Cache），表示 SELinux 正在处理访问控制规则。
• received setenforce notice (enforcing=1): SELinux 处于强制模式，表示它正在强制执行其安全策略。

其实这里给出了路径，也给我们修改aosp源码提供了思路，如何才能让系统始终处于宽容模式

```
W/re-initialized>: type=1400 audit(0.0:389): avc: denied { open } for path="/data/data/com.cjwtdccj.wtcj/cache/lib10072.so" dev="sda35" ino=1188547 scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:app_data_file:s0 tclass=file permissive=0
```

W/re-initialized>: type=1400 audit(0.0:389): avc: denied { open } for path="/data/data/com.cjwtdccj.wtcj/cache/lib10072.so" dev="sda35" ino=1188547 scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:app_data_file:s0 tclass=file permissive=0

这条日志信息是 Android 系统中的 SELinux (Security-Enhanced Linux) 安全审计日志，具体的内容表示发生了一次访问控制（Access Control）拒绝事件。下面是逐项解析这条日志中各个参数的含义。

### 参数解析

1. **W/re-initialized**:
- 表示这是一个警告信息（Warning），日志前缀通常指示日志创建的上下文或来源，比如某个组件或进程。这里的 `re-initialized` 可能表示应用特定的状态。

2. **type=1400**:
- 日志事件的类型代码。`1400` 是一个常见的 SELinux 拒绝事件的类型，代表有安全规则被违反。

3. **audit(0.0:389)**:
- 这是一个时间戳或者其他审计信息，格式一般是 `(时间戳: 事件编号)`。在此例中时间戳为 `0.0`，事件编号为 `389`。

4. **avc: denied**:
- `avc` 指 Access Vector Cache，表示 SELinux 的访问控制缓存。`denied` 表示访问被拒绝。

5. **{ open }**:
- 被拒绝的操作类型，这里表示尝试打开（`open`）一个文件。

6. **for path="/data/data/com.cjwtdccj.wtcj/cache/lib10072.so"**:
- 被尝试访问的文件路径。

7. **dev="sda35"**:
- 表示文件所在的设备。这是字母和数字表示的设备标识符，通常对应于系统中的某个物理存储设备（例如，分区）。

8. **ino=1188547**:
- `inode` 号，表示在文件系统中唯一标识该文件的数字。在 Linux 中，`inode` 是文件的元数据结构，包含文件的所有者、权限、类型、大小等信息。

9. **scontext=u:r:untrusted_app:s0:c512,c768**:
- **Source context**，即请求操作的进程的 SELinux 上下文：
- `u:r:untrusted_app:s0:c512,c768`：表示这是一个普通的应用程序（`untrusted_app`），权限受到限制。

10. **tcontext=u:object_r:app_data_file:s0**:
- **Target context**，即被访问对象（文件）的 SELinux 上下文：
- `u:object_r:app_data_file:s0`：表示该文件属于应用的数据文件类型。

11. **tclass=file**:
- 表示请求访问的对象类型是文件。`tclass` 通常指要操作的资源类。

12. **permissive=0**:
- 表示 SELinux 当前处于强制模式（enforcing mode），而不是宽松模式（permissive）。当处于强制模式时，拒绝事件将真正发生且不允许访问；在宽松模式下，事件会被记录但不会拒绝访问。

---

解决方案

使用setenforce 0 让系统selinux临时处于宽容模式，重启系统后又会恢复严格模式Enforcing

### 总结

这行日志表示你的应用包 尝试打开路径为 `/data/data/com.cjwtdccj.wtcj/cache/lib10072.so` 的文件，但被 SELinux 拒绝，因为当前的应用上下文（`untrusted_app`）没有足够的权限访问标记为 `app_data_file` 的目标文件， SELinux 拦的不是文件，是“谁以什么身份做什么操作”这套行为规则