android apk的sepolicy domain是如何指定的呢

最新推荐文章于 2024-03-28 11:18:45 发布
最新推荐文章于 2024-03-28 11:18:45 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bruce_zhang123/article/details/122210861
版权

1 ps -AZ

可以看到对应进程的sepolicy domain信息

如下面的 platform_app gmscore_app priv_app mediashell_app

u:r:platform_app:s0:c512,c768  u0_a66         954   383 1109868  51060 do_epoll_wait       0 S com.android.systemui

u:r:gmscore_app:s0:c512,c768   u0_a41        1260   383 1251484 106244 do_epoll_wait       0 S com.google.android.gms.persistent

u:r:priv_app:s0:c512,c768      u0_a39        1698   383 1331920  51540 do_epoll_wait       0 S com.google.android.katniss:search

u:r:mediashell_app:s0:c34,c256,c512,c768 u0_a34 2308 383 1220064 50232 do_epoll_wait       0 S com.google.android.apps.mediashell

2 哪里指定这些进程的sepolicy domain信息呢

是android aosp code中的有指定:

system/sepolicy/private/seapp_contexts

user=system seinfo=platform domain=system_app type=system_app_data_file

user=_app seinfo=app_zygote domain=app_zygote levelFrom=user
user=_app seinfo=media domain=mediaprovider type=app_data_file levelFrom=user
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
user=_app isEphemeralApp=true domain=ephemeral_app type=app_data_file levelFrom=all
user=_app isPrivApp=true domain=priv_app type=privapp_data_file levelFrom=user
user=_app isPrivApp=true name=com.google.android.permissioncontroller domain=permissioncontroller_app type=privapp_data_file levelFrom=all
user=_app seinfo=media isPrivApp=true name=com.android.providers.media.module domain=mediaprovider_app type=privapp_data_file levelFrom=all
user=_app isPrivApp=true name=com.google.android.providers.media.module domain=mediaprovider_app type=privapp_data_file levelFrom=all
user=_app seinfo=platform isPrivApp=true name=com.android.permissioncontroller domain=permissioncontroller_app type=privapp_data_file levelFrom=all
user=_app isPrivApp=true name=com.android.vzwomatrigger domain=vzwomatrigger_app type=privapp_data_file levelFrom=all
user=_app isPrivApp=true name=com.google.android.gms domain=gmscore_app type=privapp_data_file levelFrom=user
user=_app isPrivApp=true name=com.google.android.gms.* domain=gmscore_app type=privapp_data_file levelFrom=user
user=_app isPrivApp=true name=com.google.android.gms:* domain=gmscore_app type=privapp_data_file levelFrom=user
user=_app isPrivApp=true name=com.google.android.gsf domain=gmscore_app type=privapp_data_file levelFrom=user
user=_app minTargetSdkVersion=30 domain=untrusted_app type=app_data_file levelFrom=all
user=_app minTargetSdkVersion=29 domain=untrusted_app_29 type=app_data_file levelFrom=all
user=_app minTargetSdkVersion=28 domain=untrusted_app_27 type=app_data_file levelFrom=all
user=_app minTargetSdkVersion=26 domain=untrusted_app_27 type=app_data_file levelFrom=user
user=_app domain=untrusted_app_25 type=app_data_file levelFrom=user
user=_app minTargetSdkVersion=28 fromRunAs=true domain=runas_app levelFrom=all
user=_app fromRunAs=true domain=runas_app levelFrom=user

user:指apk process的userid,如system app等, ps -AZ的第二列可以看出来

seinfo 可能与apk签名有关系(certificate),如 platform、media 等

isPrivApp: 是指apk存放的路径,是否在priv-app下,android.bp中指定

domain: 分配给apk process的selinux domain信息

type:是该apk process 创建的文件的selinux 信息

具体几个常见的domain:

system_app: userid是system,且是platform签名

        正常apk可以在androidManifest.xml中指定sharedUserId

platform_app :非system userid,正常apk userid, 具有platform签名

priv_app : 非system userid,正常apk userid, 无platform签名,在priv-app下

上述domain信息都有自己对应的sepolicy权限设置,可以具体参考source code中定义

system/sepolicy/private/gmscore_app.te

system/sepolicy/public/gmscore_app.te

system/sepolicy/private/priv_app.te

system/sepolicy/public/priv_app.te

system/sepolicy/private/platform_app.te

system/sepolicy/public/platform_app.te

system/sepolicy/private/system_app.te

system/sepolicy/public/system_app.te

入琞
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
android sepolicyselinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
Androidapk动态加载机制的研究
03-04
问题是这样的:我们知道,apk必须安装才能运行,如果不安装要是也能运行该多好啊,事实上,这不是完全不可能的,尽管它比较难实现。在理论层面上,我们可以通过一个宿主程序来运行一些未安装的apk,当然,实践层面上...
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1051
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android Selinux详解[八]--常用sepolicy函数和权限组说明
最新发布
weixin_41028555的博客
03-28 1059
Selinux中有很多函数,比如domain_auto_trans, r_dir_file等等,可以见源码中定义的地方举例一两个看一下。
Android自定义domain设置SeAndroid权限
x2017x的博客
09-19 4399
Domain简介  在adbshell中输入命令ps-Z可查看到类似如下形式的信息,其中,第一栏第二个冒号后的内容(如system_app)即为domain,这些domain可用于通过定义.te文件中的权限控制属于该domain的应用的权限(如/external/sepolicy/system_app.te中的allowsystem_app system_data_file:dir crea
Android R(11)HIDL服务的sepolicy(五)
flagstaff's blogs
01-03 2350
  在Android安全组件中,除了使用传统DAC(Discretionary Access Control)的方式来保护系统文件。但在版本4.4及以后还引入并开启了MAC(Mandatory Access Control)安全框架,使用DAC+MAC组合的方式来保护系统文件及可执行程序的安全。其中被Android所采用的MAC保护框架为SELinux(Security-Enhanced Linux)。 1.Security-Enhanced Linux in Android   开启了MAC框架后,即使是
Android的权限说明(apk的运行权限和sepolicy
niotong2014的博客
05-17 2438
参考链接地址 Android sepolicy知识链接 APK如何获取System权限 Android 7.0 SEAndroid app权限配置 1.首先了解一个基础知识ps -Z 和ls -Z,这两个命令分别查看进程和文件的sepolicy属性 下面是apk拥有system权限 u:r:system_app:s0 system 30098 1653 ...
Android 应用(1)——安全策略sepolicy
横山郡守的博客
04-22 2287
https://blog.csdn.net/weixin_38148680/article/details/80257685 http://www.voidcn.com/article/p-stzeacwv-xe.html https://blog.csdn.net/keheinash/article/details/101108686 https://blog.csdn.net/rikeyone/article/details/84337115 https://blog.csdn.net/u0112164
Android Apk去掉签名以及重新签名的方法
01-05
Android Apk去掉签名以及重新签名的方法 Android开发中很重要的一部就是用自己的密钥给Apk文件签名,不经过签名的Apk文件一般是无法安装的,就算装了最后也是失败。 网上流传的“勾选允许安装未知来源的应用”其实跟...
apk.rar_.apk_android_android apk_apk
09-14
如果你在寻找android上面的apk,这就是你最好的选择
Android4.4下MediaProvider无法向外置SD卡中文件写数据的解决方法
09-03
主要介绍了Android4.4下MediaProvider无法向外置SD卡中文件写数据的解决方法,实例分析了Android4.4下针对读写限制的修改技巧,具有一定参考借鉴价值,需要的朋友可以参考下
Android Apk包解析SDK
04-23
解析Android apk包,解析出包名、应用名称、图标等信息,同时支持vector xml格式定义的图标,会将其转换为svg,最后再将svg转换为png,难点主要时针对不同类型的图标进行解析
Windows版本 Android Apk签名工具
12-01
Windows版本 Android Apk签名工具
selinux相关学习笔记-简单selinux部分的解决
liaosongmao1的专栏
02-17 59
avc: denied { 操作 } for name=“leds” dev=“sysfs” ino=26711 scontext=u:r:主体type:s0:c512,c768 tcontext=u:object_r:客体type:s0 tclass=客体类别 permissive=1。./prebuilts/api/33.0/private/platform_app.te //33代表当前系统sdk版本。上面有#============= platform_app ==============提示。
Android selinux权限设置
cuitianxiang的专栏
03-02 1997
背景 在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限。 selinux权限设置 案例一 db访问不了了 背景 有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。 解决方案及过程 最终解决方案 在系统fingerprint.te里添加权限 allow fingerprintserver apk_d
androidAPK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 2803
当APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9223
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
SEAndroid 问题解决
03-30 5338
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
Android指定名称和路径打包apk
06-09
Android Studio 中,你可以通过 Gradle 配置指定 APK 的名称和路径。下面是一些简单的步骤: 1. 打开 app/build.gradle 文件。 2. 在 android 标签下添加以下代码: ```groovy android { ... defaultConfig ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值