SELinux: capabilites{dac_override} 权限

最新推荐文章于 2024-04-20 18:57:00 发布
最新推荐文章于 2024-04-20 18:57:00 发布
阅读量1.6w 收藏 13
点赞数 1
分类专栏: SELinux Android 文章标签: selinux security android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bhghost/article/details/47312861
版权

Linux支持Capability的主要目的是细化root的特权,使一个进程能够以“最小权限原则”去执行任务。比如拿ping程序来说,它需要使用原始套接字(raw_sockets),如果没有Capability,那么它就需要使用root特权才能运行;如果有了Capability机制,由于该程序只需要一个CAP_NET_RAW的Capability即可运行,那么根据最小权限原则,该程序运行时可以丢弃所有多余的Capability,以防止被误用或被攻击。所以,Capability机制可以将root特权进行很好的细分,当前kernel(2.6.18)已支持30多种不同的Capability。注意在之前的kernel实现中,Capability只能由root进程持有,非root进程是不能保持任何Capability的。但是在2.6.24及以上的kernel版本中一个普通用户进程也将可以持有capability。

capabilities安全模型用来管理 root进程的权限集,防止root用户的任意妄为。而现在的capabilities 实际上是基于selinux LSM。因此,selinux 中class capability对应于Linux中的capabilities。

而dac_override ,则用来容许进程旁路的所有DAC权限:uid,gid,ACL 等等。

注意:capabilities 和 ACL (access control lists) 实际上是非常对称的两种权限控制模型:在capabilities,授权信息 绑定到主体,基于行(row);在ACL中,授权信息绑定到客体,基于列(column)。

定义

#Used to manage the Linux capabilities granted to root processes. 
#Taken from the header file: /usr/include/linux/capability.h
class capability
{
...
#Overrides all DAC including ACL execute access.
dac_override
...
}

在man capabilities中,该权限的对应描述是:

CAP_DAC_OVERRIDE:Bypass file read, write, and execute permission checks. (DAC is an abbreviation of “discretionary access control”.)

HOOK函数

//kernel/fs/namei
/**
 * generic_permission -  check for access rights on a Posix-like filesystem
 * @inode:      inode to check access rights for
 * @mask:       right to check
最低0.47元/天 解锁文章
大江之舞
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android P SElinux权限调试
Kian_G 的博客
04-21 6601
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
selinux dac_override/dac_read_search问题处理思路
Step By Step
09-25 8272
dac_overridedac_read_search是我们偶尔会遇到的一个selinux warning,不同于其他大部分denied可以直接加对应权限修正,这两个warning都是需要改code或者修改文件权限来处理,本文通过三个例子简单介绍这类selinux warning的处理方式,供debug参考。
Android-SeLinux安全策略
最新发布
qq_46422460的博客
04-20 1048
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制)MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限
selinux dac
xiaowang_lj的博客
10-09 435
通过ps命令,我们可以看到3685进程AAAA_Callback是kthreaddd产生的kernel线程,是root user,结合2)中权限管控,root属于others,因而出现dac_override问题,无法访问。文件对应的访问者是init.rc启动的一个服务,从1可以看出文件的drmrpc group有读写权限,因此我们可以通过给对应服务加权限组,即可使之正常访问文件,即如下group的配置中,添加drmpc权限组即可。因此,修正如上问题的解法就是让进程以正确的身份通过正确的权限访问文件。
Capability CAP_DAC_OVERRIDE
SHELLCODE_8BIT的博客
08-31 126
linux - CAP_DAC_OVERRIDE and other permisions - Unix & Linux Stack Exchange
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux_internal.rar_SELinux_The First
09-14
SELinuxSecurity-Enhanced Linux)是Linux操作系统中的一种安全模块,它为系统提供了一种强制访问控制(MAC)机制,增强了系统的安全性。"SELinux_The First" 指的可能是对SELinux的初步理解和应用,特别是针对...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如...
selinux:用于 virtualenvs 的纯 python selinux shim 模块
05-31
linux系统用于 virtualenvs 的纯 python selinux shim模块,以避免在 Ansible 模块中加载 selinux 失败。 您仍然需要在您的系统上安装 libselinux python 绑定包才能使其工作,但您不再遇到无法从隔离(默认)...
selinux:库食谱来管理SELinux策略执行状态
05-16
SELinux食谱 SELinux(安全性增强Linux)食谱提供了操作SELinux策略实施状态的方法。 SELinux可以具有以下三种设置之一: Enforcing 监视所有系统访问检查,停止所有“拒绝访问” RHEL系统上的默认模式 ...
linux dac权限,Samba CAP_DAC_OVERRIDE文件权限绕过安全限制漏洞
weixin_39673303的博客
05-07 605
发布日期:2010-03-09更新日期:2010-03-11受影响系统:Samba Samba 3.5.0Samba Samba 3.4.6Samba Samba 3.3.11不受影响系统:Samba Samba 3.5.1Samba Samba 3.4.7Samba Samba 3.3.12描述:--------------------------------------------------...
dac_override denied android sepolicy问题处理
Summer Breeze 夏日微风
11-18 2344
0. Log: 11-17 20:56:59.504 687 687 W XXX_service: type=1400 audit(0.0:489): avc: denied { dac_override } for capability=1 scontext=u:r:XXX_service:s0 tcontext=u:r:XXX_service:s0 tclass=capability permissive=0 dac_override【自主访问控制(DAC,Discretionary Acc..
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2704
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
linux setcap命令详解(包括各个cap的使用举例)
xdy762024688的博客
08-11 1923
1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作.Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作。
Linux Cap 分类
xdy762024688的博客
08-15 192
CAP_DAC_READ_SEARCH - 忽略文件读/搜寻权限CAP_SYS_CHROOT - 使用chroot限制根目录。CAP_DAC_OVERRIDE - 忽略DAC权限CAP_SYS_ADMIN - 执行许多系统管理操作。CAP_SYS_RESOURCE - 修改资源限制。CAP_SYS_PTRACE - 跟踪其他进程。CAP_SYS_NICE - 修改进程优先级。CAP_SYS_BOOT - 重新引导系统。CAP_SYS_TIME - 修改系统时间。CAP_CHOWN - 改变文件所有权。
android 11添加property遇到的selinux问题
weixin_32104133的博客
12-18 8070
android 11 项目中添加新的property启动sh脚本,遇到如下几个问题。 问题1 :coredomaim编译报错 The following domain(s) must be associated with the "coredomain" attribute because they are executed off of /system: addnewservice 此处log 提示 addnewservice必须是coredomain类型的,为此我们在system/seploicy/p
selinux dac_override
10-18
SELinux是一种安全增强的Linux内核模块,它可以限制进程的访问权限,包括文件、网络、进程等。而dac_overrideSELinux中的一个安全策略,它可以允许进程绕过文件权限检查,即使进程没有文件的读写权限,也可以读写该文件。这个安全策略通常只在特定的情况下使用,比如在进行系统调试或者进行特殊操作时。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值