SEAndroid kernel 源码解析2--策略执行

最新推荐文章于 2024-06-22 21:54:07 发布
最新推荐文章于 2024-06-22 21:54:07 发布
阅读量954 收藏 2
点赞数
分类专栏: android 文章标签: SEAndroid kernel Android 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrHare/article/details/71405139
版权
本文深入讲解SEAndroid kernel的策略执行过程,特别是avc_node和list_head的使用。在权限检查中,通过avc_has_perm_noaudit进行策略查找。avc_node存储策略,其list_head链表用于缓存。当策略未在AVC缓存中找到时,会进行策略计算。文章还介绍了avc_search_node函数如何通过avc_hash将avc_node分散到链表中,并通过宏定义遍历链表查找匹配的策略。
摘要由CSDN通过智能技术生成

SEAndroid kernel 源码解析1–从hook点到策略点
http://blog.csdn.net/mrhare/article/details/71215391

从hook 点重定向到策略执行函数后,执行avc_has_perm 进行权限检查(还是以socket_create为例
*/goldfish/security/selinux/avc.c

int avc_has_perm(u32 ssid, u32 tsid, u16 tclass,
                 u32 requested, struct avc_audit_data *auditdata)
{
    struct av_decision avd;
    int rc;
    //进行策略检查,检查结果写入到avd中
    rc = avc_has_perm_noaudit(ssid, tsid, tclass, requested, 0, &avd);
    //audit
    avc_audit(ssid, tsid, tclass, requested, &avd, rc, auditdata);
    return rc;
}

这里先讲一下avc及其相关的结构体

avc_node

avc(Access Vector Cache),用来缓存MAC访问控制策略,在进行策略检查的时候,先到avc中进行检查,如果没有找到,则进行根据安全上下文进行计算,将结果缓存到AVC中,关于安全上下文和策略计算,会在后续下一篇中讲到,这里先主要讲AVC。
/goldfish/security/selinux/avc.c

#define AVC_CACHE_SLOTS         512
...
struct avc_entry {
    u32         ssid;
    u32         tsid;
    u16         tclass;
    struct av_decision  avd;
    atomic_t        used;   /* used recently */
};

struct avc_node {
    struct avc_entry    ae;
    struct list_head    li
最低0.47元/天 解锁文章
MrHare
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SEAndroid kernel源码解析1——从hook点到策略
MrHare的博客
05-05 1303
SEAndroid 利用LSM模块实施MAC访问控制,LSM模块在内核中设置很多的hook点,对资源的访问会重定向到SElinux的函数策略执行函数,以create_socket为例,利用源码,分析从hook点到策略点的流程
深入理解SELinux/SEAndroid
Fybon的专栏
07-15 2471
SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。   1. 编译sepolicy Android平台中: external/sepolicy:提供了Androi
SElinux内核态的实现-avc、avd的设计篇
最新发布
m0_37923396的博客
06-22 932
本文描述了AVD如何缓存查询结果,深入了解了AVC缓存机制如何支撑这种高效权限检查,包括AVC的初始化、插入、查找和回收的整个生命周期管理。
深入理解SEAndroid.pdf
09-28
SEAndroid 是 Google 在 Android 4.4 上正式推出的一套以 SELinux 为基础于核心的系统 安全机制。而 SELinux 则是由美国 NSA(国安局)和一些公司(RedHat、Tresys)设计的一 个针对 Linux 的安全加强系统。
SEAndroid源码下载与编译
苞谷猿的技术bug
03-10 526
源码下载 根据http://selinuxproject.org/page/SEAndroid 的指示。。。 git clone -b seandroid-4.2 https://bitbucket.org/seandroid/manifests.git  mkdir seandroid-4.2  cd seandroid-4.2  repo init -u https://and
SEAndroid基本实现
joy
01-21 1094
“即使root权限被篡夺,只要阻止应用的恶意行为即可”。   SEAndroid是将selinux移植到android操作系统,并根据android特性进行改进的操作系统。 Seandroid中加入了selinux如下访问控制,也开发了android特有的中间件层访问控制   SE Linux通过事先定义每个进程的允许操作,禁止其进行越轨的操作(图A-1)。SEAndroid沿袭了这
api-ms-win-downlevel-kernel32-l2-1-0.dll
03-13
将下载完的System32/api-ms-win-downlevel-kernel32-l2-1-0.dll 以及SysWOW64/api-ms-win-downlevel-kernel32-l2-1-0.dll解压到c:/Windows下
kernel-3.10.0-957.27.2.el7.x86-64.rpm
07-12
内核3.10.0-957.27.2.el7.x86_64版本三件套 kernel-3.10.0-957.27.2.el7.x86_64.rpm kernel-headers-3.10.0-957.27.2.el7.x86_64.rpm kernel-devel-3.10.0-957.27.2.el7.x86_64.rpm
kernel-devel-3.10.0-1160.el7.x86-64.rpm 及其他版本下载地址信息
03-21
kernel-devel-3.10.0-1160.el7.x86_64.rpm及其他版本:深入了解内核开发环境》 在Linux世界中,内核是操作系统的核心部分,负责管理硬件资源,提供系统调用接口供应用程序使用。`kernel-devel`包对于Linux开发者...
kernel-devel-4.18.0-193.el8.x86-64
06-06
在centos8上可以使用的版本,可以通过rpm命令安装,解决部分依赖内核版本...rpm -ivh kernel-devel-4.18.0-193.el8.x86_64.rpm 如果安装失败,可以先卸载本地的高版本,再来安装此版本: yum remove -y kernel-devel.
官方文件 api-ms-win-downlevel-kernel32-l2-1-0.dll
03-28
主要用于windows系统提示没有对应的api-ms-win-downlevel-kernel32-l2-1-0.dll动态库时导致的一系列报错问题。下载解压后,放到对应目录下:C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\api-ms-win-...
Android 5.1 SEAndroid分析之启动篇
u010134087的专栏
02-27 880
转自:http://www.iloveandroid.net/2015/09/28/Android_SEAndroid_1/ 前面介绍了init进程中启动的核心服务中的zygote和property,接下来就介绍下SEAndroid.init进程中加载了SEAndroid策略文件,开启了SEAndroid.SEAndroid主要用来提升Android系统的安全体验,基于SElinux实现.
SEAndroid 介绍及其基本实现原理
万能的终端和网络
05-08 1910
SEAndroidSecurity-Enhanced Android),是将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。可以用来强化Android操作系统对App的存取控管,建立类似沙箱的执行隔离效果,来确保每一个App之间的独立运作,也因此可以阻止恶意App对系统或其它应用程序的攻击。 SEAndroid的中心理念是,即使root权限被篡
Kernel启动流程源码解析 12 总结
Android 6.0 源码学习
10-30 1135
kernel链接脚本vmlinux.lds 在arm64芯片架构上是以arch/arm64/kernel/vmlinux.lds.S编译生成的。 从中可以看到kernel的入口点是stext,这是一个汇编函数。 从stext开始kernel将会完成一系列通过汇编语言实现芯片级的初始化工作,并以静态定义的方式创建kernel的第一个kernel进程init_task,即0号
selinux源码分析
bruk_spp的博客
07-11 4685
首先来一幅lsm的逻辑图: 上幅图来至:Linux Security Module Framework一文,很清晰的描述了LSM的逻辑,从用户空间到系统调用再到selinux模块接口。 selinux驱动模块位置: \linux-4.5-rc1\security 1.selinux核心驱动的加载 1)selinux文件节点的创建: 在selinuxfs.c文件中,__initcall(init_sel_fs)驱动模块的加载,会注册文件节点。这些节点作为内核与用户空间通信的接口。其核心API调用
策略中学习【LSM】编写规则
Live_Today的专栏
08-26 1411
最近涉及到了LSM的编写,在网上基本上搜不到关于LSM的编写规则和使用方法,LSM是我觉得菜鸟非常适合的一种访问控制策略编写,所以今天从SELinux的LSM代码学习。 在内核源码/security/SELinux中hook.c中定义了LSM模块的hook机制。hook主要根据的是struct security_operations结构体,里面提供了各种函数的回调机制。
linux下查看 SELinux状态及关闭SELinux
sunliusen的博客
01-01 38
SELinux全称为安全增强式 Security-Enhanced Linux(SELinux),是一个在内核中实践的强制存取控制(MAC)安全性机制。SELinux 首先在 CentOS 4 出现,并在其后的 CentOS 发行版本获得重大改善。这些改善代表用 SELinux 解决问题的方法亦随著时间而改变。 SELinux的原理与架构 SELinux的整体架构和原理都比较简单,使用也不复杂。...
linux 对象管理器,Linux多安全策略和动态安全策略框架模块详细分析之函数实现机制中文件对象管理器分析(3)...
weixin_36327991的博客
05-12 464
3.决策的实施当主体对客体进行访问时,客体管理器会收集主体和客体的SID,并根据此SID对在AVC中进行查找:如果找到,则根据相应的安全决策进行处理;反之客体管理器会将主体的SID、客体的SID以及客体的类型传递给安全服务器,安全服务器会根据这些数据及相应的安全策略来计算访问向量,并将计算结果返回给客体管理器,同时将该结果存放到AVC。本节主要以文件系统为例说明文件访问时决策的检索过程,文件操作分...
selinux在android中用法以及内核中代码实现
u014089131的博客
06-09 2161
selinux(security enhance linux)是由美国国家安全局开发的, 用来进行强制访问控制,增强linux系统安全性。 传统的linux访问控制采用的是DAC(Discretionary Access Control)模型, 这里面主要用的是uid控制。 在linux系统里,对于文件的操作,只有「所有者」,「所有组」,「其他」这3类的划分。 文件所有者对文件有所有
T-Kernel 源码说明书 Rev.1.02.04
在spec文档中,会详细阐述T-Kernel源码结构,这包括了各个源码文件的组织方式,以及如何构建和配置T-Kernel以适应不同的硬件平台。源码说明书的修订版1.02.04对特定的源码版本1.02.04进行了详细的解释。 文档的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值