【SELinux】通过neverallow语句来认知“属性”的意义

最新推荐文章于 2024-07-05 18:41:42 发布
最新推荐文章于 2024-07-05 18:41:42 发布
阅读量6.1k 收藏 3
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaajj/article/details/87924936
版权

关于neverallow

 

对于类型为system_server_service 的服务,由于设置了

add_service(system_server, system_server_service);

 

里面调用了neverallow,

add_service是个宏,定义在

system/sepolicy/public/te_macros

 

556###########################################
557# add_service(domain, service)
558# Ability for domain to add a service to service_manager
559# and find it. It also creates a neverallow preventing
560# others from adding it.
561define(`add_service', `
562  allow $1 $2:service_manager { add find };
563  neverallow { domain -$1 } $2:service_manager add;
564')

 

neverallow { domain -$1 } $2:service_manager add;

 

 

只允许system_server域来对其进行add操作

 

我们观察到,

type package_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;

比如

type slam_service,  app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;

 

里面有多个属性,由于每个type会有子属性的特性,是否可以在其他属性中去增加add权限,来达到让该type有add权限,

 

allow shell ephemeral_app_api_service:service_manager add;

 

尝试让shell有对ephemeral_app_api_service的add权限,来达到shell对slam_service有add权限

结果,编译报错

 

libsepol.report_failure: neverallow on line 558 of system/sepolicy/private/system_server.te (or line 30393 of policy.conf) violated by allow shell device_identifiers_service:service_manager { add };

libsepol.report_failure: neverallow on line 558 of system/sepolicy/private/system_server.te (or line 30393 of policy.conf) violated by allow shell registry_service:service_manager { add };

libsepol.report_failure: neverallow on line 558 of system/sepolicy/private/system_server.te (or line 30393 of policy.conf) violated by allow shell appwidget_service:service_manager { add };

libsepol.report_failure: neverallow on line 558 of system/sepolicy/private/system_server.te (or line 30393 of policy.conf) violated by allow shell launcherapps_service:service_manager { add };

。。。

libsepol.report_failure: neverallow on line 558 of system/sepolicy/private/system_server.te (or line 30393 of policy.conf) violated by allow shell power_service:service_manager { add };

 

 

device_identifiers_service的定义为

 type device_identifiers_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;

也就是说,在解析

allow shell ephemeral_app_api_service:service_manager add;

的时候,把所有定义了

ephemeral_app_api_service属性的type比如device_identifiers_service都代入到这个语句中,

allow shell device_identifiers_service:service_manager { add };

 

这里和system_server.te中的neverallow发生了冲突。

可以这么理解,进行赋权的时候,对属性会进行关联分析

 

 

属性值具有张力,会扩充到其主type中,对属性的操作权限会扩展到对应的主type中,

当两种张力冲突时,就会出错

 

比如

allow ephemeral_app ephemeral_app_api_service:service_manager find;

 

ephemeral_app有对ephemeral_app_api_service的find权限,

由于

type account_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;

 

ephemeral_app有对account_service的find权限

 

aaajj
关注
专栏目录
SELinux手册 电子书 pdf 英文
01-12
1. 访问控制机制:SELinux 通过访问控制列表(Access Control List,ACL)来控制进程和文件之间的交互。 2. 安全上下文:SELinux 使用安全上下文来标识进程和文件的安全级别和权限。 3. 策略语言:SELinux 使用策略...
selinux:库食谱来管理SELinux策略执行状态
05-16
SELinux食谱 SELinux(安全性增强Linux)食谱提供了操作SELinux策略实施状态的方法。 SELinux可以具有以下三种设置之一: Enforcing 监视所有系统访问检查,停止所有“拒绝访问” RHEL系统上的默认模式 ...
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 2261
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
selinux常见neverallow项解决方法与常用命令
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
selinux解决sysfs neverallow问题
最新发布
Rainman博的专栏
07-05 368
执行 restorcon -R /devices/platform/aaa/bbb/ccc 来重新加载selinux上下文,发现已经变成。system/etc/selinux下的所以文件push到设备相应目录下, 具体看修改的selinux编译在哪里。将vendor/etc/selinux下的所以文件push到设备相应目录下,或者将。在aosp源码/system/policy/下grep system_app就会发发现。system app需要访问/sys下设备节点信息。my_sysfs了。
android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules**
Uses_Permission的博客
11-26 3976
[DESCRIPTION]若有自行修改Sepolicy导致违反Google的Neverallow rule,CTS 将fail。比如:android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules110 FAIL junit.framework.AssertionFailedError: The following errors
selinux权限neverallow解决
qq_36975610的博客
03-07 1832
selinux权限neverallow解决
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 2031
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
如何处理selinux的 neverallow 冲突
03-31
要解决selinux的neverallow冲突,需要进行以下步骤: 1. 确定哪些进程或文件系统存在neverallow冲突。 2. 确定哪些selinux策略模块与冲突相关。 3. 通过修改selinux策略模块,允许相关的进程或文件系统访问被拒绝...
使用 sestatus命令来查看 SELinux 的当前状态.doc
04-26
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)的安全模块,它增强了Linux内核的安全性。`sestatus`命令是管理SELinux状态的关键工具,它提供了关于SELinux的详细信息,包括当前配置、策略类型、模式...
mtk android 编译常见错误
05-04
编译mtk android源码,几个常见的编译错误,环境配置相关
详解Android Selinux 权限及问题
01-20
由于现做的是MTK平台,源码路径基于MTK, 不过高通大同小异 说明 Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,4.4 会有些许差异。 SELinux Mode SELinux 分为两种模式,Android 5.0 后所有进程都使用 enforcing mode。 enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 SELin
selinux-example_SELinux_
09-28
理解和掌握SELinux对于系统管理员和开发者来说至关重要,尤其在今天这个高度网络化的时代,安全已经成为系统设计的首要考虑因素。通过阅读"selinux-example.pdf"这份文档,你将进一步深入了解SELinux的实际应用和...
SELinux用audio2allow生成添加权限的格式及neverallow解决方法
qq_25815655的博客
05-20 4681
首先我们都知道,添加SELinux方法都是按这种格式来添加的语句格式为:allow scontex tcontex:class action,但是类型比较多,有时间添加到那个文件还是不够清晰啊,能不能有工具来告诉我们 把avc报错生成对应的权限格式添加到对应的文件呢?这里还真有,有了这个工具,我们再遇到AVC报错就不用愁了,废话不多说 (一)我们还是先介绍下确定是否是SELinux的原因导致的问题,虽然网上很多,当你怀疑是SELinux原因导致的问题,用userdebug版本或者eng版...
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 1563
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限。
Android O selinux违反Neverallow解决办法
热门推荐
yxw0609131056的博客
04-02 3万+
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:1、Android O selinux相关配置文件所在路径      system/sepolicy/*                      AOSP device和APPS相关selinux配置      device/qcom/sepolicy/*            平台和板卡...
selinux 语法
颇锐克
01-17 1226
1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 2. 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。 在an
修改sepolicy后编译出现‘Error while expanding policy’
Do Better Every Day
07-21 8815
在系统中添加某个“*.te”后,可能会出现下面的错误: libsepol.report_failure: neverallow on line 263 of system/sepolicy/domain.te (or line 9133 of policy.conf) violated by allow xx device:chr_file { read write open }; libsep
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值