进程的安全上下文----SEAndroid in android 5.x

最新推荐文章于 2023-04-14 21:00:00 发布
VIP文章 最新推荐文章于 2023-04-14 21:00:00 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: SEAndroid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chris_king_4/article/details/50148845
版权
SEAndroid使用两种方式为进程设置安全上下文
1.为独立进程静态的设置安全上下文
            这和传统的LInux系统很像。android系统中的每个独立进程都对应着一个可执行文件。

            以init为例,查看init进程的启动脚本system/core/rootdir/init.rc,部分内容如下:
on early-init
      ...........
      # Set thesecurity context for the init process.
      # Thisshould occur before anything else (e.g. ueventd) is started.
      setconu:r:init:s0
这一行的作用是让init进程将自己的安全上下文设为u:r:init:s0。
查看external/sepolicy/init.te中,init这个domain的规则:
# init switches to init domain (via init.rc).
type init, domain;
# init is unconfined.
unconfined_domain(init)
tmpfs_domain(init)

allow init self:capability { sys_rawio mknod };
.........
domain_trans(init, rootfs, adbd)
.........
neverallow { domain -kernel} init:process dyntransition;
..........
首先(除注释以外)第一行,type init, domain;声明init具有domain的属性。这样它就可以和u,r一起,组成合法的安全上下文。
第二行unconfined_domain(init)  unconfined_domain是一个宏,定义在external/sepolicy/te_macros文件中,声明init是一个不受限制的domain,它可以访问系统中的大部分资源。宏定义如下:
#####################################
# unconfined_domain(domain)
# Allow the specified domain to perform more privilegedoperations
# than would be typically allowed. Please see the comments atthe
# top of unconfined.te.
#
define(`unconfined_domain', `
typeattribute $1 mlstrustedsubject;
typeattribute $1 unconfineddomain;
')
第三行tmpfs_domain(
最低0.47元/天 解锁文章
kubisister
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云计算-面向上下文感知计算的反射技术研究.pdf
07-03
云计算-面向上下文感知计算的反射技术研究.pdf
商业编程-源码-定制编辑框的上下文菜单.zip
06-22
商业编程-源码-定制编辑框的上下文菜单.zip
详解bootstrap用dropdown-menu实现上下文菜单
08-29
主要介绍了详解bootstrap用dropdown-menu实现上下文菜单的相关资料,希望通过本文能帮助到大家,需要的朋友可以参考下
SEAndroid安全机制中的进程安全上下文关联分析
810364804
07-28 444
前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中,除了要给文件关联安全上下文外,还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。本文就详细分析SEAndroid进程安全上下文的关联过程...
AndroidP SEAndroid 项目实战
android
09-08 1075
SEAndroid 项目实战1、介绍2、如何配置2.1、sepolicy的来源 1、介绍 首先什么是 SEAndroid,我们都知道 Android 是基于 linux系统搭建的,而 SELinux(Security-EnhancedLinux) 是美国国家安全局(NSA)对于强 制访问控制的实现,是 Linux 历史上最杰出的新安全子系统,SEAndroid 也是基于 SELinux 从 Android 4.4平台之后加入到 Android 系统的, SEAndroidSELinux的基础上添加了
深入理解SELinux SEAndroid(第一部分)
热门推荐
Innost的专栏
02-16 13万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
指定域转换规则
大雄不爱吃肉
08-18 1782
http://book.51cto.com/art/200902/108616.htm 11.2.2.2.指定域转换规则 现在看第8和第9行,这里出现了两次调用domain_auto_trans()宏,这个宏可能是strict示例策略中最常用的一个宏了,因为它定义了我们在第2章"概念"中讨论到的允许域转换的标准规则,你可以在./macros/core_macros.te文件找到这个
selinux常见neverallow项解决方法与常用命令
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 1819
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
cytoscape.js-cxtmenu:Cytoscape.js的上下文菜单
05-11
此扩展创建了一个小部件,使用户可以在Cytoscape.js中的节点上操作圆形上下文菜单。 用户沿圆形菜单滑动以选择菜单项,然后在节点,边或图形背景上执行命令。 依存关系 Cytoscape.js ^ 3.2.0 使用说明 下载库: ...
云计算-普适计算环境中上下文信息服务系统研究与实现.pdf
07-04
云计算-普适计算环境中上下文信息服务系统研究与实现.pdf
浅谈SEAndroid安全机制及应用方法
阿路
04-05 906
浅谈SEAndroid安全机制及应用方法 内容提纲: ➢SEAndroid/SELinux简介 ➢SEAndroid/SELinux框架 ➢SELinux Policy介绍 ➢安全策略文件(TE文件) ➢SELinux安全问题分析 ​ ➢SELinux设备文件权限解决办法 ​ ➢SELinux服务权限解决办法 ​ ➢SELinux可执行权限解决办法 ➢补充 ​ ➢客体类型添加 一.SEAn...
SELinux for Android的基本知识和实战
qq_40731414的博客
09-18 2015
了解selinux基本概念,解决常见的问题
SEAndroid流程分析
Venus 的博客
04-14 427
init会解析/file_context文件的内容,将相关信息填充到入参rec的data成员中。与设置app文件安全上下文selinux_android_setfilecon不同的是,设置app进程安全上下文的函数selinux_android_setcontext会根据符合的规则的domain去设置进程的domain,而selinux_android_setfilecon会根据符合的规则的type去设置文件的type,安全上下文其他部分user,role,level的设置差别不大。
SEAndroid 解决案例
03-18 2784
都是从网络上摘抄的总结下来备用,有些链接丢失了通过system server service 或者 init 启动的service 读写, 然后app 通过binder/socket 等方式连接APP 访问. 此类安全可靠, 并且可以在service 中做相关的安全审查, 推崇这种方法.自Android L版本,Google对源码环境普遍启用SELinux安全访问机制,APP及framework层默
Android进阶-SELinux
王涛的博客
06-28 4349
前一篇文章已经介绍了SELinux相关知识, https://blog.csdn.net/qq_33750826/article/details/80743035 基于 Android 4.3(宽容模式)和 Android 4.4(部分强制模式)的 Android 5.0 版本,开始全面强制执行 SELinux。 一、政策格式 政策规则采用以下形式: allow domain...
android 8.0 添加开机服务
csh86277516的博客
03-16 4973
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
SEAndroid策略分析(三):类型强制和角色声明
苞谷猿的技术bug
12-09 1946
类型强制 TE规则语法: 规则名称源类型目标类型:客体类别许可 规则名称    allow,dontaudit,auditallow和neverallow。 源类型      授予访问的类型,通常是进程尝试访问的域类型。 目标类型    客体的类型,它被授权可以访问源类型。 客体类别    客体的类别。 许可        表示主体对客体访问时允许的操作类型(也叫做访问向量)。  
..-./.-../.-/--./----.--/-../...--/..-./-.-./-.../..-./.----/--.../..-./----./...--/----./----./...../-----/....-/-----.-
最新发布
08-09
回答: 根据提供的引用内容,我看到以下内容: 1. 加:${19+1}=20 2. 减:${66-30}=36 3. 乘:${52.1*10}=521.0 4. 除:${5/2}或${5 div 2}=2.5 ...请提供更多的上下文或者问题的详细信息,以便我能够为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值