(4.3+)SwitchScript-SElinux Status per Script ändern

[-CALIBAN666- 52]

So hier meine scriptbasierte Lösung zum wechseln des SElinux Status ab Android 4.3 mit Root+SElinux Unterstützung(logisch).Einfacher gehts kaum,aber nun erstmal zur Erklärung:

-------

Was ist SElinux?

SELinux ist ein Security-Framework auf Basis der Mandatory Access Control, das Framework basiert auf dem Flask-Forschungsprojekt der amerikanischen NSA-Behörde [1]. Im Standardkernel ist es über das Linux-Security-Module-API (LSM) integriert. Alle Interaktionen zwischen so genannten Subjekten und Objekten sind durch eine gesonderte Security-Policy zu autorisieren.

Die Anweisungen enthalten dabei jedoch keine Datei-, Prozess- oder Benutzernamen, stattdessen kommt ein abstrahiertes Model mit Security-Labels zum Einsatz. Prozesse und Benutzer bekommen diese dynamisch zugewiesen, Dateien speichern das Label in den erweiterten Attributen. Es ist möglich, diese Policy zur Laufzeit des Systems zu ändern. Hierbei findet aber eine strikte Trennung von Policy und deren Durchsetzung statt.

Für das Enforcement sind diverse Hooks im Linux-Kernel zuständig. Sie erweitern die klassischen Zugriffsrechte der Discretionary Access Control (DAC) um die entsprechende MAC-Funktionalität. Über eine binäre Policy-Datei gelangen die eigentlichen Regelwerke in den Security-Server des Linux-Kernels.

SELinux kennt drei Modi: Im Enforcing-Mode ist jeder einzelne Zugriff einer Kontrolle durch die SELinux-Policy ausgesetzt. Jeder Zugriff wird ausgewertet und gegebenenfalls untersagt, wenn es keine Regel gibt, die diesen Zugriff erlaubt. Im Permissive Mode wird ebenfalls jeder Zugriff überwacht, allerdings kommt es nicht zur Durchsetzung der Regeln. Das bedeutet, dass ein Zugriff selbst dann stattfindet, wenn keine Regel den Zugriff explizit erlaubt.

SELinux schreibt für jeden nicht durch eine Regel erlaubten Zugriff einen Logeintrag, allerdings nur beim ersten Mal. Alle weiteren Zugriffe unterdrückt das System stillschweigend. Im Disabled Mode ist SELinux überhaupt nicht aktiv. Es kommen nur Zugriffsentscheidungen auf Basis der DAC zum Einsatz. Dabei muss der Administrator daran denken, dass Dateien, die im Disabled-Modus erzeugt wurden, auch kein Security-Label bekommen.

--------

Wie nutze ich das Script?

Ist simpel ohne Ende,einfach meine Zip über das CWM flashen und rebooten.

Wollt ihr nun SElinux ausschalten oder eher gesagt gnädiger machen öffnet ihr einfach den Terminal Emulator und tippt folgendes ein:

su (enter)

selinux_off (enter)

nun ist es Moderat/Permissive,siehe unten.

------

Wollt ihr SElinux wieder einschalten oder eher gesagt strenger machen tippt folgendes im Terminal Emulator ein:

su (enter)

selinux_on (enter)

nun ist es Strikt/Enforced,siehe unten.

------

Die jeweilige Einstellung bleibt auch nach einem Reboot bestehen,ist also so lange IHR wollt vorhanden bis IHR sie ändert.Es wird keine App oder ähnliches benötigt,nur dieses Miniscript!!!!!

------

VIEL SPASS UND IMMER DRAN DENKEN,SElinux IST KEIN SPIELZEUG,GREEEETZ!

SELinux_SWITCH-SCRIPT.zip