SELinux: root 进程需要申请capability permissions吗?

最新推荐文章于 2024-06-08 10:15:00 发布
最新推荐文章于 2024-06-08 10:15:00 发布
阅读量5.3k 收藏 3
点赞数
分类专栏: Android SELinux 文章标签: selinux security android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bhghost/article/details/47312891
版权
在Android系统中,即使是拥有所有权限的root进程,依然需要在sepolicy中定义allow capability规则来申请capability权限,如dac_override。这是因为SELinux的存在使得进程权限管理更加精细化。举例来说,root进程pMonitor尝试访问/sys/power/state时,由于系统安全策略,即使pMonitor拥有root权限,仍会被拒绝 dac_override 能力,除非将其uid和gid“去特权化”或者修改安全策略。通过这样的设计,SELinux能够更严格地控制系统的安全访问。
摘要由CSDN通过智能技术生成

结论

先结论:Android中的root进程,在使用到capability时,也需要在sepolicy中定义 allow capability规则,以申请capability permissions。

备注:如果不引入SELinux,例如在Ubuntu环境下,capability的主要作用不是对root进程本身直接施加限制,而是:通过授予最小的capability,使需要特权操作的程序,可以在非root状态下完成工作。

背景

在分析AndroidL的sepolicy规则时,我们发现,即使有效集和许可集满装的root进程,也仍需要在规则定义 allow capability权限。

以capability:dac_overrride为例,具有dac_override权限的系统服务主要包括:

ueventd.te(7):allow ueventd self:capability { chown mknod net_admin setgid fsetid sys_rawio dac_override fowner };
zygote.te(7):allow zygote self:capability { dac_override setgid setuid fowner c
最低0.47元/天 解锁文章
大江之舞
关注
专栏目录
Container Runtime Interface Specification by Linux Foundation
程序员光剑
08-02 1114
2017年9月,Linux基金会(LF)发布了Containerd项目。作为其主要容器运行时引擎之一,containerd提供了可移植、轻量级的容器运行时接口(CRI),使得不同Linux系统间可以实现容器的一致性运行。Docker、RKT等知名容器平台均已经支持CRI接口。随后,Linux基金会将CRI规范以CCv0版本向社区征集意见。此次征集的结果证明,CRI的目标明确,具有良好的扩展性和稳定性,而且提供了高度抽象的接口规范,对于统一容器管理以及跨平台协作均非常重要。
SELinux: capabilites{dac_override} 权限
热门推荐
黑山老妖
08-06 1万+
Linux支持Capability的主要目的是细化root的特权,使一个进程能够以“最小权限原则”去执行任务。比如拿ping程序来说,它需要使用原始套接字(raw_sockets),如果没有Capability,那么它就需要使用root特权才能运行;如果有了Capability机制,由于该程序只需要一个CAP_NET_RAW的Capability即可运行,那么根据最小权限原则,该程序运行时可以丢弃所
Androidselinux权限)(capabillty权限)(节点权限)等权限处理
u010997852的博客
09-04 2160
文章目录@[toc]selinux处理思路判定方案解决方法驱动节点权限判定方案解决方法capabillty权限判定方法解决方法 首先确定权限类型详见各个判定方法 selinux 驱动节点权限 linux capabillty权限 selinux处理思路 判定方案 查询tag:avc或者selinux的报错信息 譬如: [com][2021/08/06][17:43:55-557]01-01 08:00:19.616 3244 3244 D MTK_KL : 38,3858,35335082,-;t
SeLinux语法规则
kc58236582的博客
07-02 3354
 1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 2. 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。
Selinux 权限解决记录
storm_peng的专栏
11-01 1775
再ls -z /sys/devices/platform/soc/fe08c000.mmc/mmc_host/mmc0/mmc0:0001/life_time 名字就变过来了。setenforce 0 之后,操作正常的,就可以确认为selinux权限问题了,下面记录曾经遇到过的权限问题。wakelock 的owner 为radio, group 为wake_lock,而tvhalserver属于root 的。场景:客户的app 应用需要在他的APP 里,读取系统文件节点,但运行的时候,获取不到需要的值。
SELinux策略配置语言
miroku_it的专栏
01-02 7503
http://book.csdn.net/bookfiles/574/10057418866.shtml3.2  SELinux策略配置语言策略是一套指导SELinux安全引擎计算安全决策的规则,它定义了文件客体的类型、进程的域、使用限制进入域的角色及访问许可的规则表达式等。策略的源代码用SELinux配置语言进行描述。3.2.1  基本概念1.主体和客体主体(subject)
Selinux机制简介
最新发布
我的博客
06-08 877
Selinux机制简介
Android avc: denied 深入沟兑02(dac_read_search)
小猪六月的博客
04-09 1869
dac_read_search与规避neverallow The dac_override denial issue means that the offending process is trying to access a file with the wrong user/group permissions.The correct solution almost never grants dac_override policy, becasue if this process is not in "
【Linux】Linux中的特权 | SUID | Linux Capabilities
Juruo@Security
02-04 1670
【Linux】Linux中的特权 | SUID | Linux Capabilities linux capabilities
root安全selinux
02-03
selinux 安全设置详解,及相关应用时的处理
SeLinux 权限配置技巧
xiaowang_lj的博客
08-22 1611
需要在 system\sepolicy\public\ioctl_defines 下查找 ioctcmd 对应的类型 ,先声明ioctl再声明ioctl的子类型。配置格式:allow scontext tcontext。tclass {缺少的权限};
【Docker】Docker逃逸小结
woodwhale的博客
03-28 1833
docker逃逸小结
Linux capability详解
weixin_39219503的博客
06-21 8812
linux capabilities 在Linux内核2.2之前,为了检查进程权限,将进程区分为两类:特权进程(euid=0)和非特权进程。特权进程(通常为带有suid的程序)可以获取完整的root权限来对系统进行操作。 在linux内核2.2之后引入了capabilities机制,来对root权限进行更加细粒度的划分。如果进程不是特权进程,而且也没有root的有效id,系统就会去检查进程capabilities,来确认该进程是否有执行特权操作的的权限。 可以通过man capabilities来查看具体
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2741
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
linux capability 权限控制
xuguokun1986的博客
02-24 2940
http://www.ibm.com/developerworks/library/l-posixcap.html Some programs need to perform privileged operations on behalf of an unprivileged user. For instance, the passwd program writes to the ver
selinux dac
xiaowang_lj的博客
10-09 477
通过ps命令,我们可以看到3685进程AAAA_Callback是kthreaddd产生的kernel线程,是root user,结合2)中权限管控,root属于others,因而出现dac_override问题,无法访问。文件对应的访问者是init.rc启动的一个服务,从1可以看出文件的drmrpc group有读写权限,因此我们可以通过给对应服务加权限组,即可使之正常访问文件,即如下group的配置中,添加drmpc权限组即可。因此,修正如上问题的解法就是让进程以正确的身份通过正确的权限访问文件。
MTK AB OTA升级代码及修改
xuyewen288的博客
09-15 880
MTK AB OTA升级代码及修改
SELinux策略语言--客体类别和许可
MyArrow的专栏
08-19 1万+
1. 简介     SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 客体类别和许可
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值