Selinux权限配置详解

最新推荐文章于 2024-04-20 18:57:00 发布
最新推荐文章于 2024-04-20 18:57:00 发布
阅读量1.5k 收藏 6
点赞数
分类专栏: 安卓基础篇 文章标签: Selinux
原文链接:https://blog.csdn.net/shell812/article/details/58596377
版权

扩展:

        在传统的 Linux 系统中,每一个应用程序都对应有一个可执行文件。在这种情况下,我们就可以在安全策略中设定一个规则:当一个可执行文件加载到一个进程中执行时,该进程的安全上下文就设置为指定值。

详细介绍:SEAndroid安全机制中的进程安全上下文关联分析

        基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。

        对于 /extern/sepolicy 的修改如下方法编译:

1. mmm external/sepolicy

2. make bootimg

        不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。

一、添加一个系统服务的权限声明

        情景:定义一个 init 启动的 service --- demo_service,对应的执行文件是 /system/bin/demo。

1、创建一个 demo.te 在 /device/mediatke/common/sepolicy 目录下

        如果是 Android4.4 的源码,在 /device/mediatke/common/BoardConfig.mk 的 BOARD_SEPOLICY_UNION 宏中新增 demo.te。

        如果是 Android5.0 以上的编译会自动包好了整个文件夹里的文件,则不用在 BoardConfig.mk 中添加文件声明。

2、在 demo.te 中添加:demo 的域(domain)类型定义

        type demo, domain

3、在 demo.te 中添加:demo 的可执行文件(客体)的类型定义

        type demo_exec,  exec_type

4、在 demo.te 中添加:init 启动 service 时类型转换声明,直接用一个宏,主要是用于把 demo_exec(客体)转换成 demo(进程域)

        init_daemon_domain(demo)

5、绑定执行档 file_contexts 类型(安全上下文),由这个可执行文件启动起来的进程都是 demo 域里的

        /system/bin/demo        u:object_r:demo_exec:s0

6、根据 demo 需要访问的文件以及设备,定义其它的权限在 demo.te 中

        上面的例子最大的疑点就是 init_daemon_domain 这个宏,我们来看看。

        下面所有的宏都在 /external/sepolicy/te_macros 文件里定义,具体的定义,请自行查看。

         init_daemon_domain:

init_daemon_domain 宏的作用是:设置 init 转换到 daemon 域,可执行文件是 xxx_exec

上面的例子是这样子使用的:init_daemon_domain(demo)

把 $1 = demo 代换进去,相当于执行下面两条语句:

        domain_auto_trans(init, demo_exec, demo)

        声明 tmpfs 的读写和转换权限,tmpfs 是一些内存临时文件

        tmpfs_domain(demo)

        domain_auto_trans:

domain_auto_trans 的作用是:定义旧的域转换成新的域的声明,直接把上面的参数代入到 domain_auto_trans 里相当于执行:

        # 这个宏应该就是上一篇文章里提到的域转换的权限声明

        domain_trans(init, demo_exec, demo)

        # 声明 init 域执行 demo_exec 可执行文件,新的域转换成 demo 域

        type_transition  init  demo_exec:process  demo;

        已经大致完成了一个服务的权限声明,但是还有第 6 点没有完成,如果该服务需要对底层设备文件的读写,该如何声明权限?

二、添加一个进程服务对内核文件节点的读写权限

        直接上例程:

情景:一个域(服务或者进程)需要访问一个专属的 char device /dev/demo

(1)定义 deivce 类型,创建一个 device.te 文件

        type demo_device device_type;

(2)绑定 demo device 的上下文,在 file_contexts

        /dev/demo    u:object_r:demo_device:s0

(3)声明 demo 进行 (使用 demo device 的权限) 在 demo.te

        allow  demo  demo_device:chr_file  rw_file_perms;

        rw_file_perms 是一个集合的宏定义:

define ( 'r_file_perms' , '{ getattr open read ioctl lock }' )

define ( 'w_file_perms' , '{ open append write }' )

define ( 'rw_file_perms' , '{ r_file_perms w_file_perms }' )

三、添加一个 Socket 访问权限

        这个类似于文件的权限声明。

        情景:一个 native service 通过 init 创建一个 socket 并绑定在 /dev/socket/demo,并且允许某些 process 访问。

(1)定义 socket 类型 file.te

        type demo_socket , file_type

(2)绑定 socket 的类型 file_contexts

        /dev/socket/demo_socket    u:objcet_r:demo_socket:s0

(3)允许所有的 process 访问

        # allow app connnectto & write

        unix_socket_connect(appdomain, demo, demo)

四、添加一个进程服务对一个属性的访问权限

情景:允许一个进程域对一个属性 sys.poerctl 进行设置

# 声明一个 property_type 类型 powerctl_prop

        type powerctl_prop,property_type

# 设置属性的上下文,把属性 sys.powerctl 的上下文设置成 powerctl_prop 类型

        sys.powerctl    u:object_r:powerctl_prop:s0

# 允许 adbd 进程对 powerctl_prop 上下文的属性进行设置

        # set_prop 里面做了两个动作,允许进行对 property 的 socket 进行连接和写入,允许进程设置属性

        set_prop(adbd, powerctl_prop)

五、添加一个服务的 binder,对外提供服务

type surfaceflinger_service,        service_manager_type;

type surfaceflinger,    domain;

surfaceflinger    u:object_r:surfaceflinger_service:s0

type surfaceflinger_exec,    exec_type,  file_type;

/system/bin/surfaceflinger    u:object_r:surfaceflinger_exec:s0

# 允许 surfaceflinger 读,写,调用 Binder IPC

binder_use(surfaceflinger)

# 允许 surfaceflinger 访问,调用 binderservicedomain 的 Binder IPC

binder_call(surfaceflinger, binderservicedomain)

binder_call(surfaceflinger, appdomain)

binder_call(surfaceflinger, bootdomain)

# 将 surfaceflinger 与 binder service 的属性域 binderservicedomain 相连

binder_service(surfaceflinger)

六、添加一个 APP 的节点访问权限

        (有助于理解 SELinux/SEAndroid)

定义节点类型

        device/mediatek/common/sepolicy/file.te

        type demo_file, fs_type, sysfs_type;

定义文件上下文

        device/mediatek/common/sepolicy/file_contexts

        /dev/demo_file    u:object_r:demo_file:s0

定义 App 权限

        ps  -Z 查看应用权限上下文,如 Setting 是 u:r:system_app:s0

        rw_file_perms 是一组权限的集合,包含读与写权限

        device/mediatek/common/sepolicy/system_app.te

        allow  system_app  demo_file:file  rw_file_perms;

定义服务权限,rw_file_perms 是权限集,包含读写权限

        device/mediatek/common/sepolicy/system_server.te

        allow  system_server  demo_file:file  rw_file_perms;

七、添加一个 APP 的节点访问权限2

定义文件类型

        device/mediatek/common/sepolicy/file.te

        type  proc_mtk_demo,  fs_type;

定义虚拟文件系统的文件安全上下文

        device/mediatek/common/sepolicy/genfs_contexts

        genfscon  proc  /mtk_demo/current_demo  u:object_r:proc_mtk_demo:s0

给予 shell 的进程读写权限, 由 /system/bin/sh 启动的命令会与 shell 有同样地进程权限域

        device/mediatek/common/sepolicy/shell.te

        allow  shell  proc_mtk_demo:file  { open read write getattr };

APP 的读写权限

        device/mediatek/common/sepolicy/system_app.te

        allow  system_app  proc_mtk_demo:file  rw_file_perms;

        使用方法

App 使用方法之一:

string[ ]  cmd = {

        "/system/bin/sh",  "-c",  "echo"  +  st  +  " > "  +  "/proc/mtk_demo/current_demo",

};

Runtime.getRuntime().exec(cmd);

App 使用方法之二,可以直接使用 Jvav File 来读写该文件:

Mrsongs的心情杂货铺
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SELINUX工作原理详解
09-14
**SELinux工作原理详解** **一、SELinux简介** SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,并由SELinux社区持续维护。它通过Linux Security Modules(LSM)...
SElinux 基础配置 基础语法
03-11 7225
这个真的是网络好好多文章了, 我也很多都是四处转载总结的,然后就是自己再添加和修改了一些。 http://blog.csdn.net/myarrow/article/details/10105961 这个也就很详细KK Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: “avc: den
Android-SeLinux安全策略
最新发布
qq_46422460的博客
04-20 1004
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制)MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限
SELinux权限问题解决
aylr2015的博客
06-27 925
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8835
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
selinux权限添加总结
风和先行的专栏
10-20 334
selinux修改方案总结
Selinux权限介绍
littleyards的博客
03-26 457
可以看出,这里对主体(platform_app )访问客体(system_file)的子项(比如文件夹)的某项权限都进行了精确的规定。一个文件可以规定为:拥有它的用户具有什么权限,和它同组的用户具有什么权限以及其它的用户具有什么权限。这里说的是用户空间,是因为Seliunx的权限检查还是由内核完成的。load_policy : 加载二进制策略文件,临时性的操作,重启无效, 一般用于调试,如重新编译了策略文件, 替换新的策略二进制文件, 可以重新让系统加载策略文件。五,Seliunx 常见的命令。
Android中 在目录下创建文件涉及到的权限问题分析
weixin_41028555的博客
03-05 1408
Android中读写目录涉及到的权限一般有三个,一个是selinux, 另一个是用户组, 还有一个是目录本身权限问题,本文章针对这三点做详细解析。
SELinux 入门详解
09-14
不过,长期设置SELinux模式应修改配置文件`/etc/selinux/config`。值得注意的是,关闭SELinux并不推荐,因为这可能使系统更容易受到攻击,同时,关闭后再开启可能导致文件权限标签混乱。 SELinux的标签系统是其核心...
selinux_详解.zip
08-09
SELinux的目标是防止恶意攻击者即使获得了系统权限也无法任意操作系统资源,从而保护系统免受未经授权的访问和潜在的危害。 **核心概念** 1. **策略(Policy)**:SELinux的核心是其策略,它定义了系统中的各种...
SELinux安全工具使用详解
10-21
**SELinux(Security-Enhanced Linux)安全工具使用详解** SELinux,全称为安全增强型Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)机制,旨在提高Linux操作系统的安全性。它通过细粒度的权限...
Selinux机制介绍与添加流程
hjlgs的博客
08-09 2815
Selinux机制介绍与添加流程 一.Selinux机制介绍 二.Selinux问题分析步骤 三.Selinux添加步骤; 3.1 添加/dev/ttyHSL1 串口字符设备selinux权限; 3.2 添加/sys/class 虚拟设备文件selinux权限; 3.3 添加proc/class 文件selinux权限; 3.4 添加开机脚本的selinux权限; 四.Selinux编译及验证; ...
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 1371
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 7966
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9273
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
android设置selinux权限
LXJSWD的博客
02-08 1535
selinux权限配置
selinux详解配置文件
co1590的博客
06-26 2536
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ; 如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。 DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制。Root有最高权限无法限制。r,w,x权限划分太粗糙。无法针对不同的进程实现限制。 Selinux
selinux权限配置指南.pdf
06-24
### 回答1: selinux是一种安全增强的Linux系统内核安全模块,被广泛用于企业级Linux发行版中。为了保证系统安全,selinux采用了强制访问控制(MAC)机制,即所有的访问请求都需要经过授权才能被允许,而不是像传统UNIX系统那样采用自主访问控制(DAC)机制,在权限上更加严格。 selinux权限配置指南.pdf是一份针对selinux权限配置指南,旨在帮助用户正确配置selinux权限,以保证系统安全。该指南主要包含以下内容: 1. selinux基本概念:介绍了selinux的基本概念和机制,包括属性、标签、策略等。 2. selinux权限设置:详细介绍了如何为用户、文件、进程、服务等设置selinux权限,以及如何对不同类型的进程进行授权等。 3. selinux策略编写:介绍了如何编写自定义的selinux策略,以满足特定的安全需求。 4. selinux日志分析:介绍了如何对selinux日志进行分析,以便检测系统中可能存在的安全问题。 总而言之,该指南提供了一个全面的selinux权限配置指南,通过详细介绍selinux机制和权限设置,帮助用户正确地配置selinux权限,以保证系统的安全性和稳定性,是一份非常实用的文档。 ### 回答2: selinux权限配置指南.pdf是一份关于安全强制访问控制(SELinux)的手册,它主要介绍了如何配置SELinux权限以控制应用程序能够访问的资源。 SELinux是一种Linux内核的安全模块,它可以限制应用程序的权限,从而减轻系统被黑客攻击的风险。SELinux通过为每个进程和文件分配一个类型来实现这一点,类型不同的进程和文件之间彼此隔离,从而保证了系统的安全性。 在SELinux权限配置指南.pdf中,作者详细介绍了SELinux的基本概念、如何配置SELinux规则和策略、如何诊断SELinux故障等内容。通过阅读这份手册,用户可以了解到SELinux的原理和工作方式,掌握SELinux的命令和工具,并学会如何通过SELinux限制应用程序的访问权限。 总之,selinux权限配置指南.pdf是一份非常实用的手册,对于想要了解SELinux的工作原理以及如何正确配置SELinux的用户来说,是一份非常有价值的参考资料。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值