Android
文章平均质量分 78
大江之舞
来自:2003年毕业于电子科技大学,
找我吧:txftxf@gmail.com
We dont get a chance to do that many things, and every one should be really excellent
展开
-
SEAndroid 策略文件 ping.te
最近在研究SEAndroid,略懂皮毛,发几篇帖子和大家交流下ping.tetype ping, domain;permissive ping;type ping_exec, file_type;domain_auto_trans(shell, ping_exec, ping)unconfined_domain(ping)原创 2014-01-06 15:19:38 · 4925 阅读 · 0 评论 -
SELinux: root 进程需要申请capability permissions吗?
结论先结论:Android中的root进程,在使用到capability时,也需要在sepolicy中定义 allow capability规则,以申请capability permissions。 备注:如果不引入SELinux,例如在Ubuntu环境下,capability的主要作用不是对root进程本身直接施加限制,而是:通过授予最小的capability,使需要特权操作的程序,可以在非r原创 2015-08-06 10:38:38 · 5293 阅读 · 1 评论 -
SELinux: capabilites{dac_override} 权限
Linux支持Capability的主要目的是细化root的特权,使一个进程能够以“最小权限原则”去执行任务。比如拿ping程序来说,它需要使用原始套接字(raw_sockets),如果没有Capability,那么它就需要使用root特权才能运行;如果有了Capability机制,由于该程序只需要一个CAP_NET_RAW的Capability即可运行,那么根据最小权限原则,该程序运行时可以丢弃所原创 2015-08-06 10:37:13 · 16267 阅读 · 0 评论 -
SELinux: 定向白名单机制使ioctl更安全
selinux: 定向白名单机制使ioctl更安全定向白名单:targeted Security动机ioctl为设备控制提供了必要的操作。典型的设备驱动支持由命令参数来区分的一套操作集,可以通过 ioctl系统调用来访问。SELinux为很多系统操作提供了一一对应的访问控制,例如chown,kill, setuid,ipc_lock等。另一方面,我们使用ioctl permission这一权限,翻译 2015-08-06 10:23:41 · 3771 阅读 · 0 评论