OpenHarmony开发者论坛

标题: OH4.0 Selinux问题 [打印本页]

作者: pidan_2023 时间: 2024-2-23 17:43
标题: OH4.0 Selinux问题
当前OH4.0如果开启Selinux，rk3568设备启动不了。

把Selinux关闭，能启动。
但查看日志，有很多关于limit_domain主体的deny信息。
而且看策略文件，也是不允许limit_domain访问任何客体文件。
# Please set secon field service's cfg file, don't use limit_domain!
neverallow limit_domain *:file *;
neverallow domain limit_domain:binder *;

请问这个limit_domain是干什么用的，如果把限制打开，对系统会有什么影响。

作者: 深开鸿_王石 时间: 2024-2-26 10:26
selinux是linux的安全模块，对进程和进程访问的资源进行范围控制，domain就是域管理，理论上就是你是谁的管理集合，所以你可以根据自己需要修改，别关了就好，关了也就意味着你系统上的进程可以访问任何东西，不安全

作者: pidan_2023 时间: 2024-2-27 13:03
limit_domain具体是做什么用的？

作者: wind-valley 时间: 2024-4-29 10:01
请问楼主该问题解决了吗？我现在把neverallow limit_domain *:file *;注释掉，开放limit_domain权限，打开selinux也还是不能启动设备。

作者: _q_q_ 时间: 2024-5-11 17:11
回复 pidan_2023: limit_domain 在 SELinux（Security-Enhanced Linux）中通常是一个特殊的类型（domain），它用于限制或隔离某些进程或服务的访问权限。不过，具体的实现和用途可能会根据发行版或特定的 SELinux 策略文件而有所不同。

在你给出的例子中，策略文件中有如下规则：

selinux
neverallow limit_domain *:file *;
neverallow domain limit_domain:binder *;
这些规则明确禁止了 limit_domain 访问任何文件（file 类型）和任何 Binder IPC 调用（binder 类型）。这通常是为了确保 limit_domain 类型的进程或服务有非常严格的访问控制。

欢迎光临 OpenHarmony开发者论坛 (https://forums.openharmony.cn/)