Vadí na Androidu vypnutý SELinux?

Vadí na Androidu vypnutý SELinux?
« kdy: 03. 04. 2021, 14:11:15 »
Nevíte jak velké nebezpečí nebo co reálně pro mě znamená, že mi android v notifikaci hlásí neustále, že SeLinux je Disabled?

Případně mohu si ho zapnout sám a jak, když mám root? (V tomhle se nevyznám, možná je to hloupý dotaz a třeba je to neměnná vlastnost binárky kernelu)

Kuriózní je, tohle se mi děje na mobilu, kde je "další fork" LineageOS. Je tam jádro asi s 200 znakovým popisem "Predator-Stormbreaker"  4.19.2 (Android 11)
Na nastavení "Systém- Soukromí - Trust"

ale mobilu, kde je čistý LineageOS (3.4 , Android 10) "3.4-lineageos-blabla #SMP PREEMPT <datum>" Je selinux zapnutý (Enforced)

A k čemu vlastně ten "Trust" na LineageOS slouží? Je to jen SeLinux s pár věci navíc (security patch, šifrování, omezení usb, limit SMS + SeLinux jako takový) a nebo je to něco "vlastního"?
« Poslední změna: 03. 04. 2021, 21:37:33 od Petr Krčmář »


Re:vadí něčemu že na androidu SeLinux je Disabled(permissive)
« Odpověď #1 kdy: 03. 04. 2021, 14:55:01 »
Ocividne vubec nevis co delas.. zacal bych tim, ze si sam zjistis co to vlastne je ten SELinux a co znamena 'Trust'.

Re:vadí něčemu že na androidu SeLinux je Disabled(permissive)
« Odpověď #2 kdy: 03. 04. 2021, 17:43:12 »
Myslím, že řádově větší nebezpečí je, že tam máte roota a že nepoužíváte Android od výrobce telefonu. Obecně platí, že čím víc zabezpečení je ponecháno na volbě uživatele, tím větší znalosti musí uživatel mít, aby to dokázal zabezpečit.

jouda2

Re:vadí něčemu že na androidu SeLinux je Disabled(permissive)
« Odpověď #3 kdy: 03. 04. 2021, 19:32:52 »
Myslím, že řádově větší nebezpečí je, že tam máte roota a že nepoužíváte Android od výrobce telefonu. Obecně platí, že čím víc zabezpečení je ponecháno na volbě uživatele, tím větší znalosti musí uživatel mít, aby to dokázal zabezpečit.
Zvláště číňané jsou světovou špičkou v bezpečnosti, že ano. :-)

ad SELinux - na první pohled to není dobrý nápad (pokud se nepletu, tak SELinux se v Androidu používá více než málo), na pohled druhý bych si nastudoval přesně jak je v Androidu používaný (nechci kázat o něčem co znám jen z doslechu takže nejspíš dost zkresleně, ale pravděpodobně tím efektivně vyřadíte izolaci mezi aplikacemi)
Pevně doufám že mě opraví někdo kdo Android zná.

jouda2



Re:vadí něčemu že na androidu SeLinux je Disabled(permissive)
« Odpověď #5 kdy: 03. 04. 2021, 20:10:07 »
SELinux hlavně musí být v tom systému správně nakonfigurovaný, to nestačí jen zapnout.
Zapnutí by tedy způsobilo s největší pravděpodobností nefunkční systém.
Vývojář pravděpodobně nechtěl ztrácet čas a nedořešil to, proto to nechal deaktivované.

Ano zařízení s vypnutým SELinuxem bude hůře zabezpečené, ale nemusí to být nutně velká tragédie.
root přístup může být fatálnější problém.

Nevíte jak velké nebezpečí nebo co reálně pro mě znamená, že mi android v notifikaci hlásí neustále, že SeLinux je Disabled?

Případně mohu si ho zapnout sám a jak, když mám root? (V tomhle se nevyznám, možná je to hloupý dotaz a třeba je to neměnná vlastnost binárky kernelu)

Kuriózní je, tohle se mi děje na mobilu, kde je "další fork" LineageOS. Je tam jádro asi s 200 znakovým popisem "Predator-Stormbreaker"  4.19.2 (Android 11)
Na nastavení "Systém- Soukromí - Trust"

ale mobilu, kde je čistý LineageOS (3.4 , Android 10) "3.4-lineageos-blabla #SMP PREEMPT <datum>" Je selinux zapnutý (Enforced)

A k čemu vlastně ten "Trust" na LineageOS slouží? Je to jen SeLinux s pár věci navíc (security patch, šifrování, omezení usb, limit SMS + SeLinux jako takový) a nebo je to něco "vlastního"?
„Řemeslo se naučí každý. Umění nikdo.“
„Jednoduchost je nejvyšší úroveň sofistikovanosti.“
- Leonardo Da Vinci

Re:vadí něčemu že na androidu SeLinux je Disabled(permissive)
« Odpověď #6 kdy: 09. 04. 2021, 11:51:07 »
Myslím, že řádově větší nebezpečí je, že tam máte roota a že nepoužíváte Android od výrobce telefonu. Obecně platí, že čím víc zabezpečení je ponecháno na volbě uživatele, tím větší znalosti musí uživatel mít, aby to dokázal zabezpečit.

Já bych v záležitostech bezpečnosti věřil více Lineage než Androidu od výrobce.

Re:vadí něčemu že na androidu SeLinux je Disabled(permissive)
« Odpověď #7 kdy: 09. 04. 2021, 12:55:09 »

Já bych v záležitostech bezpečnosti věřil více Lineage než Androidu od výrobce.

Naprosto souhlasím, a zejména u šaomi a jiných čínských výrobců.

Ale rozhodně bych si instaloval portnutý Lineage a nikoliv nějaký klon s naprosto přesvědčivým a bezpečnost budícím názvem.

Spíš mi to připadá spíš jako nějaký předpřipravený a už hacknutý systém pro hejly co si tam hned nasypou kreditky a bankovnictví.
Gréta je nejlepší.

K tomu směřuje má další otázka. Vybírám si ROM. Možnost č.1 je čistý oficiální lineageOS. Pozoruji, že svižněji nastartuje, pak už rozdíli ve svižnosti nevidím. Ale LineageOS zabírá po startu nejmíň RAM. Někde je to třeba jen 100MB rozdíl, ale u pár distribucích je i rozdíl 450MB .

Co třeba u Lineage vidím jako výhodu je kontinuita a nějaká záruka vývoje do daleké budoucnosti. Jeden 7 let starý mobil, původně s Nougatem rozchodí i desítku (L17). (L18.1 = A11) už oficiálně ne. možná custom rom, ale nepátral jsem potom. Doslova to vdechlo tomu přístroji nový život (a díky tomu že to byl high end) dnes je se směle může měřit se střední třídou, v pár věcech má i navrch. Bohužel 2GB a 16GB jsou projevem toho stáří.

U custom rom hledám konkrétní funkce navíc. Zkoušel jsem crDdroid, AOKP, AOSIP, RevengeOS, Pixelexpreience, EvolutionX, POSP,Corvus - všechny zmiňované patří k těm top. Ne všechny jso u Lineage.

Hledám spíš funkční věci (Cast Display, exfat, kodeky, funkčnost sluchátek, maximální možnosti kamery-240fps, 4K-30 ) než designové.  Spousta těchto ROM má svoji sekci s nastavením Customizace, kde si mohu měnit ikonky, gesta, animace, položky menu. To jako fakt nemusím (s vyjímkou indikátoru sítě, indikátoru nabíjení v V,W,A a šipek u textu, vhodné aplikace foťáku, zoomování selfí kamerou)

Re:Vadí na Androidu vypnutý SELinux?
« Odpověď #9 kdy: 16. 04. 2021, 12:26:08 »
A na co se vlastne tedka ptas?

Jak LOS, tak vsechny dalsi custom ROM jsou prace dobrovolniku = maintenerovi se rozbije telefon a podpora proste skonci (v LOS typicky dobehne s auto commitama, ale dalsi verze uz nebude). Z tohoto pohledu bych hledal ROM, kterou udrzuje vic lidi. LOS bere min pameti hlavne z duvodu, ze nema kdovijaky customizace, to uz je pak na kazdym, co hleda.