[Android]设置进程的安全上下文

最新推荐文章于 2024-04-01 17:42:03 发布
最新推荐文章于 2024-04-01 17:42:03 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Android Linux/Unix
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaajj/article/details/78942296
版权


为了能够清楚的理解进程的上下文,我们来做一个试验,

通过在rc文件中进行注册启动一个进程,即让init进程来fork出一个进程。


以/system/bin/service程序为例,我们在里面增加一个长时间的sleep,以便于我们观察。

增加service.te

#service.te

typemTestService, domain, domain_deprecated, mlstrustedsubject;

typemTestService_exec, exec_type, file_type;

 

这里是关键操作,进行domain的转换

init_daemon_domain(mTestService)

init_daemon_domain(mTestService)

也可以使用

domain_auto_trans(init,mTestService _exec, mTestService)

domain_auto_trans可以设置3个参数,能力更强,如

domain_auto_trans(init, vold_exec, vold)

 

在rc文件中增加

servicetest /system/bin/service

    class main

    user system

    group system

    oneshot

 

file_contexts中增加

/system/bin/service                   u:object_r:mTestService_exec:s0

 

$ ps-Z|grep service

u:r:mTestService:s0         system    507  1     20944  2296 hrtimer_na 0000000000 S /system/bin/service



通过这样的例子,我们就可以理解进程的上下文是怎么设置的了。


另外,如果我们仅仅在rc中进行服务的启动设置,而不设置进程的context,如

typemTestService, domain, domain_deprecated, mlstrustedsubject;

typemTestService_exec, exec_type, file_type;


那么,服务会启动失败,在kernel log中可以看到

01-01 12:04:02.485116     1     1 I [   47.650641] (2)[1:init]: init: processing action
01-01 12:04:02.486634     1     1 I [   47.652159] (2)[1:init]: init: computing context for service 'servicetest'
01-01 12:04:02.487863     1     1 E [   47.653388] (2)[1:init]: init: service servicetest does not have a SELinux domain defined

 


 




aaajj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android设置守护进程安全上下文
u013234805的专栏
04-30 2599
前面我们已经介绍了客体的安全上下文是通过文件file_contexts来指定的。但是作为主体的进程,它的安全上下文又是在哪里指定的呢?我们知道,启动进程有两种方式,一种是通过init进程来启动守护进程,另一种是通过Zygote来启动应用进程。 在“7.1.2节 启动Service进程”中介绍service_star()t函数时有一段代码是关于获得守护进程安全上下文的,让我们一起来看看:
linux进程安全上下文,Selinux安全上下文详解
weixin_28894087的博客
04-29 1033
SELinux介绍DAC:自由访问控制MAC: 强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将被拒绝Selinux策略对象(object):所有可以读取的对象,包括文件、目录和进程、端口等主体:进程称为主体(subject)Selinux中所有的文件...
Android下使用chcon修改文件的安全上下文(file_contexts)
热门推荐
Android开发
01-01 1万+
在init.rc中运行某一可执行程序时,需要修改selinux规则,否则会提示要为该服务添加selinux角色。其中的一步是在file_contexts添加节点或文件的安全 安全上下文,如device/qcom/sepolicy/common/file_contexts /dev/coresight-tmc-etr-stream u:object_r:q
设置文件安全上下文的代码实现 ---- SEAndroid in android 5.x
苞谷猿的技术bug
12-09 1556
一.设置ROM中的文件的安全上下文        以system.img为例,生成system.img的命令在build/core/Makefile文件中: BUILT_SYSTEMIMAGE := $(systemimage_intermediates)/system.img .......... $(BUILT_SYSTEMIMAGE): $(FULL_SYSTEMIMAGE_DEP
Android系统app的domain(安全上下文)设定方法
code/decode的博客
09-21 3957
背景 在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。 在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下...
Android进程SharedPreferences异常详解
08-30
3. Context问题:在Android系统中,Context是应用程序的上下文环境。跨进程访问SharedPreferences文件需要使用Context对象,但是如果Context对象为空或无效,可能会导致SharedPreferences异常。 为了解决跨进程...
Android系统中如何获取系统进程信息
06-18
1. **初始化上下文**:通过构造函数传递`Context`对象。 2. **获取运行中的进程信息**: - 使用`ActivityManager`获取所有正在运行的进程。 - 遍历每个进程,提取所需的数据。 - 使用`PackageManager`获取应用...
Android 中的安全增强型 Linux(selinux)
10-03
3. 标签、规则和域:在 SELinux 中,每个对象(如进程、文件等)都有一个安全上下文标签,标签由一系列元组组成,包括用户、角色和类型。域是一组具有相同标签的进程集合,它们受到相同的策略规则约束。规则定义了...
android模拟进程调度
07-15
这种方法保证了每个进程都能得到一定的执行机会,提高了交互性,但可能导致频繁的上下文切换,增加了开销。 在Android系统中,虽然其主要基于Linux内核,但针对移动设备的特性,Android对原生的Linux调度器进行了...
android JNI进程守护service
12-25
进程继承了父进程的一些属性,但拥有独立的内存空间和执行上下文。 3. **管道通信**:为了实现主进程与子进程间的通信,可以使用管道(Pipe)或套接字(Socket)等机制。管道是一种半双工的通信方式,允许数据在...
chcon 更改安全上下文 临时更改,永久更改
dreamer_xixixi的博客
05-17 9248
 chcon 改变上下文#change context 1.如何更改安全上下文  1>临时更改  chcon -t 安全上下文  文件  chcon -t public_content_t /publicftp   -R   目录  实验1:  1.rm -fr /var/ftp/* 2.touch /mnt/westos  3.mv /mnt/westos /var/ftp/ ...
指定域转换规则
大雄不爱吃肉
08-18 1842
http://book.51cto.com/art/200902/108616.htm 11.2.2.2.指定域转换规则 现在看第8和第9行,这里出现了两次调用domain_auto_trans()宏,这个宏可能是strict示例策略中最常用的一个宏了,因为它定义了我们在第2章"概念"中讨论到的允许域转换的标准规则,你可以在./macros/core_macros.te文件找到这个
SeLinux 常见的宏
最新发布
littleyards的博客
04-01 505
意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限。
智能终端信息安全概念(十):内核安全(2)SElinux
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-30 1496
SELinux由NSA发布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究团队都为SELinux的发展做出了重要的贡献。,可在Linux系统中配置其状态。SELinux的状态分为3种,即disabled、permissive和enforcing。
SEAndroid流程分析
Venus 的博客
04-14 540
init会解析/file_context文件的内容,将相关信息填充到入参rec的data成员中。与设置app文件安全上下文的selinux_android_setfilecon不同的是,设置app进程安全上下文的函数selinux_android_setcontext会根据符合的规则的domain去设置进程的domain,而selinux_android_setfilecon会根据符合的规则的type去设置文件的type,安全上下文其他部分user,role,level的设置差别不大。
Android11编译第六弹:user版本增加su+内置root用户
joedan0104的专栏
11-14 3100
问题1:user版本默认不开放root,adb登录后默认采用system用户,收紧用户权限;问题2:因为有些功能需要用到root用户,例如设置网卡地址,网卡开启和关闭等,因为线上设备user版本没有root用户开放,很不方便。采用允许登录root用户的方式,登录时增加密码验证。
Android 5.x 权限问题解决方法
zhandoushi的专栏
04-29 2191
(0)关于selinux的基础知识,可以参见http://www.cnblogs.com/shell812/p/6379321.html;TE语言规则,参见http://www.cnblogs.com/shell812/p/6379370.html。ls -Z和ps -Z分别查看系统中object和subject的属性列表,id -Z查看用户信息 (1)android 5.x开始,引入了非常严...
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 1927
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
SEAndroid学习
woai110120130的专栏
11-27 969
selinux 学习
android 进程和线程
04-12
之间有什么区别?请简要解释。 Android进程和线程都是用于多任务处理的,但是它们有不同的职责和作用。进程是一个独立的资源分配单元,拥有自己的内存空间、上下文信息等,用来运行应用程序。而线程是进程内的执行单元,用来执行进程的某些操作,它们共享进程的内存空间和上下文信息。线程可以被视为轻量级的进程,可以快速创建和销毁,适合处理短且频繁的任务,如UI更新、I/O操作等。进程和线程之间的通信和同步操作是很重要的,需要开发者进行合理的管理和调度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值