SELinux: root 进程需要申请capability permissions吗?

最新推荐文章于 2023-02-04 04:07:26 发布
最新推荐文章于 2023-02-04 04:07:26 发布
阅读量5.2k 收藏 3
点赞数
分类专栏: Android SELinux 文章标签: selinux security android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bhghost/article/details/47312891
版权

结论

先结论:Android中的root进程,在使用到capability时,也需要在sepolicy中定义 allow capability规则,以申请capability permissions。

备注:如果不引入SELinux,例如在Ubuntu环境下,capability的主要作用不是对root进程本身直接施加限制,而是:通过授予最小的capability,使需要特权操作的程序,可以在非root状态下完成工作。

背景

在分析AndroidL的sepolicy规则时,我们发现,即使有效集和许可集满装的root进程,也仍需要在规则定义 allow capability权限。

以capability:dac_overrride为例,具有dac_override权限的系统服务主要包括:

ueventd.te(7):allow ueventd self:capability { chown mknod net_admin setgid fsetid sys_rawio dac_override fowner };
zygote.te(7):allow zygote self:capability { dac_override setgid setuid fowner c
最低0.47元/天 解锁文章
大江之舞
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SELinux: capabilites{dac_override} 权限
黑山老妖
08-06 1万+
Linux支持Capability的主要目的是细化root的特权,使一个进程能够以“最小权限原则”去执行任务。比如拿ping程序来说,它需要使用原始套接字(raw_sockets),如果没有Capability,那么它就需要使用root特权才能运行;如果有了Capability机制,由于该程序只需要一个CAP_NET_RAW的Capability即可运行,那么根据最小权限原则,该程序运行时可以丢弃所
使用capability加强Linux系统的安全(转)
08-11 69
使用capability加强Linux系统的安全(转)[@more@]1.简介    UNIX是一种安全操作系统,它给普通用户尽可能低的权限,而把全部的系统权限赋予一个单一的帐户--rootroot帐户用来管理系统、安装软件、...
Android(selinux权限)(capabillty权限)(节点权限)等权限处理
u010997852的博客
09-04 2020
文章目录@[toc]selinux处理思路判定方案解决方法驱动节点权限判定方案解决方法capabillty权限判定方法解决方法 首先确定权限类型详见各个判定方法 selinux 驱动节点权限 linux capabillty权限 selinux处理思路 判定方案 查询tag:avc或者selinux的报错信息 譬如: [com][2021/08/06][17:43:55-557]01-01 08:00:19.616 3244 3244 D MTK_KL : 38,3858,35335082,-;t
【Linux】Linux中的特权 | SUID | Linux Capabilities
Juruo@Security
02-04 1561
【Linux】Linux中的特权 | SUID | Linux Capabilities linux capabilities
使用capability 实现non root用户下占用80端口
weixin_40455124的博客
12-26 211
capability原理不多说,使用cap_net_bind_service就可以80端口占用,测试结果如下 [xiehq@140 nginx]$ ps -ef|grep nginx;getcap sbin/nginx xiehq 59599 59325 0 01:32 pts/1 00:00:00 grep --color=auto nginx sbin/nginx = cap_net_bind_service+eip [xiehq@140 nginx]$ sbin/nginx -p /
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2708
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
selinux:用于 virtualenvs 的纯 python selinux shim 模块
05-31
linux系统用于 virtualenvs 的纯 python selinux shim模块,以避免在 Ansible 模块中加载 selinux 失败。 您仍然需要在您的系统上安装 libselinux python 绑定包才能使其工作,但您不再遇到无法从隔离(默认)...
selinux:库食谱来管理SELinux策略执行状态
05-16
SELinux食谱 SELinux(安全性增强Linux)食谱提供了操作SELinux策略实施状态的方法。 SELinux可以具有以下三种设置之一: Enforcing 监视所有系统访问检查,停止所有“拒绝访问” RHEL系统上的默认模式 ...
SELinux中保护进程间通信
最新发布
07-09
通过结合SELinux策略和传统的Linux IPC机制来实现的,并且提供了最好的SELinux中可用的安全性和吞吐量的组合
SELinux:为任何Linux环境带来世界级的安全性! SELinux为Linux/UNIX集成商、管理员和开发人员提供了最
01-16
SELinux:为任何Linux环境带来世界级的安全性! SELinux为Linux/UNIX集成商、管理员和开发人员提供了最先进的平台,用于构建和维护高度安全的解决方案。既然SELinux已经包含在Linux 2.6内核中,并且默认情况下在...
selinux:PKGBUILD为Arch Linux构建启用SELinux的软件包
03-17
在Arch Linux中支持SELinux的PKGBUILD 完整的文档很快将在以下位置提供: : 作者 每个软件包的作者都记在PKGBUILD文件中。 二进制存储库 发布页面用作pacman存储库。 当使用base-selinux -package而不是plain base...
linux capability 权限控制
xuguokun1986的博客
02-24 2924
http://www.ibm.com/developerworks/library/l-posixcap.html Some programs need to perform privileged operations on behalf of an unprivileged user. For instance, the passwd program writes to the ver
DB2 提示 root capability required SQLSTATE= 08001
Ta曰丿、她活的博客
10-20 479
今天使用客户端连接数据的时候提示:root capability required SQLSTATE= 08001。 解决办法如下:/home/db2inst1/sqllib/security目录下,db2chpw、db2ckpw两个文件的所属用户修改为root。权限修改为:4511。 [1]使用root用户,切换到/home/db2inst1/sqllib/security目录下 [2]...
Linux capability详解
weixin_39219503的博客
06-21 8707
linux capabilities 在Linux内核2.2之前,为了检查进程权限,将进程区分为两类:特权进程(euid=0)和非特权进程。特权进程(通常为带有suid的程序)可以获取完整的root权限来对系统进行操作。 在linux内核2.2之后引入了capabilities机制,来对root权限进行更加细粒度的划分。如果进程不是特权进程,而且也没有root的有效id,系统就会去检查进程的capabilities,来确认该进程是否有执行特权操作的的权限。 可以通过man capabilities来查看具体
Linux Capabilities 入门:让普通进程获得 root 的洪荒之力
云原生实验室
10-28 2583
点击 "阅读原文" 可以获得更好的阅读体验。Linux 是一种安全的操作系统,它把所有的系统权限都赋予了一个单一的 root 用户,只给普通用户保留有限的权限。root 用户拥有超级管理员权限,可以安装软件、允许某些服务、管理用户等。作为普通用户,如果想执行某些只有管理员才有权限的操作,以前只有两种办法:一是通过 sudo 提升权限,如果用户很多,配置管理和权限控制会很麻烦;二是通过 SUID(S...
Android Selinux权限问题
qq_40721728的博客
05-08 2158
1.1:log提示: type=1400 audit(1262304982.420:57113): avc: denied { sys_ptrace } for pid=1 comm=“init” capability=19 scontext=u:r:init:s0 tcontext=u:r:init:s0 tclass=capability permissive=0 1.2:log格式: avc: denied { 操作权限 } for pid=1 comm=“进程名” scontext=u:r:源
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
android 8.0 添加开机服务
csh86277516的博客
03-16 5046
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
Android P SElinux权限调试
Android 系统开发
08-27 786
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控制“data”分区文件和“sys”文件节点状态。 因此该功能涉及到selinux权限有两部分,一部分是sy
深入理解SELinux:谷歌文档版
"这是一份关于SELinux的第四版笔记,由Richard Haines创作并受版权保护。笔记的内容可以按照GNU Free Documentation License的条款进行复制、分发和修改。此外,书中包含的脚本和源代码遵循GNU General Public ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值