SEandroid是如何使用max_permissions.xml seapp_contexts的?

最新推荐文章于 2024-04-01 15:08:16 发布
最新推荐文章于 2024-04-01 15:08:16 发布
阅读量2.6k 收藏
点赞数
分类专栏: SEandroid

external/sepolicy/mac_permissions.xml 是原始的文件,通过insertkeys.py  external/sepolicy/keys.conf    得到最终的mac_permissions.xml 。

out/host/linux-x86/bin/insertkeys.py -t eng -c /home/public/workspace/seandroid-4.2.1_r1/seandroid-4.2 out/target/product/generic/obj/ETC/mac_permissions.xml_intermediates/keys.tmp -o out/target/product/generic/obj/ETC/mac_permissions.xml_intermediates/mac_permissions.xml    external/sepolicy/mac_permissions.xml


在mac_permissions.xml 中,signer signature="@PLATFORM",是证书。不通的apk可以拥有相同的证书。

拥有相同证书的apk,就拥有了相同的权限和seinfo.apk不含有,任何selinux的安全信息,所以xml中的seinfo就相当于给apk打上标签,apk从mac_permission.xml得到自己seinfo只是一个标识,真正的安全信息在external/sepolicy/seapp_contexts,

通过seinfo和包名可以索引到这个apk的domain 和type。

seapp_contexts 如果有自己的apk,可以在seapp_contexts添加自己内容。


QQ 240136495

http://www.jsqj.cc 军事新闻 爱好者。

小明做IT
关注
专栏目录
Android 4.4.2 SELinux 与系统关系详解二: mac_permissions.xml 加载及seinfo 提取过程分析
万能的终端和网络
03-25 5365
PackageManager 调用mac_permissions.xml内容: mac_permissions.xml 加载文件位置:/frameworks/base/services/java/com/android/server/pm/SELinuxMMAC.java   执行加载的函数: private static boolean readInstallPolicy(File[]
SELinux app权限配置
热门推荐
zhudaozhuan的专栏
03-23 2万+
SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app  第三方app,没有android平台签名,没有system权限 2)platform_app    有android平台签名,没有system权限 3)system_app      有android平台签名和system权限 从上面划分,权
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 3153
APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
selinux android max_permissions.xml seapp_contexts 关系。
xiayu98020214的专栏
02-04 4146
external/sepolicy/mac_permissions.xml 是原始的文件,通过insertkeys.py  external/sepolicy/keys.conf    得到最终的mac_permissions.xml 。 out/host/linux-x86/bin/insertkeys.py -t eng -c /home/public/workspace/seandroid
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 1961
接第二部分的内容 深入理解SELinuxSEAndroid(结局) 二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
SEandroid 安全机制---文件安全上下文
Jack的博客
06-10 1132
2文件安全上下文 SEAndroid是一种基于安全策略的MAC安全机制。这种安全策略实施在主体和客体的安全上下文之上。 这意味着安全策略在实施之前,SEAndroid安全机制中的主休和客体是已经有安全上下文的。 在SEAndroid安全机制中,主体一般就是进程,而客体一般就是文件。文件的安全上下文的关联有不同的方式。 本文主要分析文件安全上下文的设置过程。 虽然android系统中有各种
客制化知识小结--device目录下的文件解析
淡淡的宁静的博客
06-12 3454
老罗的文章:http://blog.csdn.net/luoshengyang/article/details/18928789 http://0xcc0xcd.com/p/index.php(进击的程序员) vendorsetup.sh add_lunch_combo full_yyd8163_tb_m-eng add_lunch_combo ful...
Android设置应用进程的安全上下文
u013234805的专栏
04-30 3558
理解了守护进程的安全上下文的创建过程后,我们再看看应用进程的安全上下文是如何创建的。应用进程是通过Zygote进程fork出来的,但是不会调用exec。在前面介绍Zygote进程时我们已经知道了创建应用进程时会调用函数ForkAndSpecializeCommon(),这个函数则通过调用selinux_android_setcontext()函数来设置应用进程的安全上下文,如下所示: rc =
Spring Cloud 中间件在 Kubernetes 上的最佳实践
HongYu012的博客
03-18 3686
前提说明 业务程序使用 Spring Cloud 框架开发 如果采用离线部署的方式,所有相关镜像需要提前 push 到镜像仓库,本文略过 部署架构图 整体部署架构涉及的中间件包含以下组件 Nacos RocketMQ Redis xxl-job SkyWalking MySQL Nginx 部署架构说明 K8s 集群之外采用了 Nginx
Puppeteer开发过程中遇到的问题及解决方案
m0_54849806的博客
02-21 7258
工欲善其事必先利其器,请先检查本机是否安装NodeJS环境以及查阅API: Google官方文档:https://developers.google.com/web/tools/puppeteer API(v12.0.1)文档:https://pptr.dev/#?product=Puppeteer&version=v12.0.1&show=outline 问题:如何处理各种验证码? 解决方案:建议大家去搜索对应的解决方案,Puppeteer并无此类解决方案。 问题:某些网站做了JS防爬检测
Android 7.0 SEAndroid app权限配置方法
01-20
1.SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app 第三方app,没有Android平台签名,没有system权限 2)platform_appAndroid平台签名,没有system权限 3)system_appandroid平台签名和system权限 从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app 2.seapp_contexts定义 system/sepolicy/seapp_cont
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9800
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android-SEAndroid权限问题指南
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
Android 应用(1)——安全策略sepolicy
横山郡守的博客
04-22 2575
https://blog.csdn.net/weixin_38148680/article/details/80257685 http://www.voidcn.com/article/p-stzeacwv-xe.html https://blog.csdn.net/keheinash/article/details/101108686 https://blog.csdn.net/rikeyone/article/details/84337115 https://blog.csdn.net/u0112164
SeLinux安全上下文文件
最新发布
littleyards的博客
04-01 821
Android中,常见的安全上下文文件有file_contexts、genfs_contexts、service_contexts、mac_permissions.xmlseapp_contexts。seapp_contexts,app的安全上下文,用于描述apk 安装之后的目录文件和/data/data 目录分配标签。根系统中所有文件的安全上下文, 如/system/bin, /system/etc 等文件。系统binder服务的安全上下文,在启动过程中,servermanger会读取该配置。
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 1960
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
Android sepolicy简要记
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
SEandroid 安全机制---进程安全上下文
Jack的博客
06-10 1441
3进程安全上下文 前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中,除了要给文件关联安全上下文外, 还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。 也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。      在传统的Linux
Android SELinux 一个编译错误
犹犹豫豫太阳雨
12-30 2033
最近在做Android6.0项目,修改了SELinux的te文件, 单独编译这个模块没问题,后来make clean后编译不过了。报下面的错误. /bin/bash: out/host/linux-x86/bin/insertkeys.py: Permission denied make: *** [out/target/product/msm8909/obj/ETC/mac_permis
java.io.IOException: Could not find resource mybatis_config.xml
03-31
This exception is thrown when the Java program is unable to locate the mybatis_config.xml file. This file is typically used by the MyBatis framework for configuring database connections and mapping ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值