SEAndroid策略分析(二):类和许可

最新推荐文章于 2022-10-31 23:15:00 发布
最新推荐文章于 2022-10-31 23:15:00 发布
阅读量570 收藏
点赞数
分类专栏: SEAndroid 文章标签: android seandroid selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chris_king_4/article/details/50238445
版权
  • 客体类别声明

文件名:security_classes

class filesystem

class file

class dir

class fd

class lnk_file

class chr_file

class blk_file

class sock_file

class fifo_file

.......

 

  • 声明许可

1.通用许可,它允许我们创建与客体类别一起作为一个组的许可,通用许可在类似的客体类别(如文件和符号连接)共享一套访问许可时很有用;

 文件名:access_vectors

通用许可集:

commonfile   (通用许可名)此处的file并不是类名,而是通用许可名,这一点要注意

{

      ioctl

      read

      write

      create

      getattr

      setattr

      lock

      relabelfrom

      relabelto

      append

      unlink

      link

      rename

      execute

      swapon

      quotaon

      mounton

}

2.特别类别许可

第二种方法叫做特定类别许可,它允许我们单独为客体类别声明特定的许可 

class filesystem

{

      mount

      remount

      unmount

      getattr

      relabelfrom

      relabelto

      transition

      associate

      quotamod

      quotaget

}

 

三种方法将客体类别和许可关联(访问向量)

1.        特别类别许可(看上面)

2.        使用通用许可

class socket

inherits socket

将通用许可集socket中的许可分配给类socket。

 

3.        联合许可

class dir

inherits file

{

      add_name

      remove_name

      reparent

      search

      rmdir

      open

      audit_access

      execmod

}

 

访问向量语法:class类别名[inherits通用许可集名][{许可集}]

参考文献:SELinux实例:使用安全增强的Linux:http://book.51cto.com/art/200810/94193.htm

kubisister
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SEAndroid策略分析(三):型强制和角色声明
苞谷猿的技术bug
12-09 1963
型强制 TE规则语法: 规则名称源型目标型:客体类别许可 规则名称    allow,dontaudit,auditallow和neverallow。 源型      授予访问的型,通常是进程尝试访问的域型。 目标型    客体型,它被授权可以访问源型。 客体类别    客体类别许可        表示主体对客体访问时允许的操作型(也叫做访问向量)。  
关于Selinux详解
段小苏的学习之路
04-03 4441
目 录 前绪    2 一、Selinux基础概述    2 、什么是Selinux?    2 三、SELinux Policy语言  ...
SELinux策略语言--客体类别许可
MyArrow的专栏
08-19 1万+
1. 简介     SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 客体类别许可
Android 安全攻防(一):SEAndroid的编译
nayao-net
12-19 330
SEAndroid的编译 SEAndroid概述 SEAndroidSecurity-Enhanced Android),是将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。可以用来强化Android操作系统对App的存取控管,建立似沙箱的执行隔离效果,来确保每一个App之间的独立运作,也因此可以阻止恶意App对系统或其它应用程序的攻击。 S...
SEAndroid策略分析(一):概述SEAndroid
苞谷猿的技术bug
12-09 747
本系列乃本猿当年刚学习SEAndroid时,学到的知识和得到的经验,一己之见,不敢保证完全正确,如果在学习中发现错误,再回来修改。 SEAndroid继承于SELinux,将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。可以用来强化Android操作系统对App的存取控管,建立似沙箱的执行隔离效果,来确保每一个App之间的独立运作
智能终端信息安全概念(十一):内核安全(3)SElinux应用分析——SEAndroid
最新发布
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-31 647
为允许的Intent分发。
Android-SEAndroid权限问题指南
热门推荐
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
linux内核安全策略,SELinux 安全策略解析
weixin_30045055的博客
05-02 303
1、简介SELinuxSecurity-Enhanced Linux 的简称,是美国国家安全局(NSA=The National Security Agency) 和 SCC(Secure Computing Corporation)开发的基于 Linux 的一个强制访问控制安全模块扩展。原先是在 Fluke 上开发的,2000 年以 GNU GPL 协议发布。对于目前可用的 Linux 安...
Selinux SeAndroid理解
sam0535的专栏
12-06 278
SELinuxSecurity-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation (SCC) 和 MITRE直接参与开发,以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制,该系统最初是作为一款通用访问软件,发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后,有直接整合
SEAndroid安全机制简要介绍和学习计划
03-03
接下来我们就对SEAndroid进行简要介绍和制定学习计划。在介绍SEAndroid安全机制之前,我们要先了解一下Android当前所采用的安全机制是什么。实际上,在前面从NDK在非Root手机上的调试原理探讨Android的安全机制一文...
SEAndroid问题快速分析
12-17
快速定位、分析和解决Android系统SELinux相关的权限问题。
进程的安全上下文----SEAndroid in android 5.x
苞谷猿的技术bug
12-02 1914
SEAndroid使用两种方式为进程设置安全上下文 1.为独立进程静态的设置安全上下文        这和传统的LInux系统很像。android系统中的每个独立进程都对应着一个可执行文件。        以init为例,查看init进程的启动脚本system/core/rootdir/init.rc,部分内容如下: on early-init     ...........     # Set
文件的安全上下文 ---- SEAndroid in Android 5.x
苞谷猿的技术bug
12-02 1636
Android系统中的文件生成方式有两种: 1.ROM里面预设的。对于ROM里面预设的文件,我们使用预先定义的方式来确定他们的安全上下文。 2.动态生成的。对于动态生成的文件,原则上继承父目录的安全上下文。但有一些特别的情况下,我们会遵循预先设定的规则来设置他们的安全上下文。 在SEAndroid使用三种方式来设置文件的安全上下文。 1.设置打包在ROM里面的文件的安全上下文        e
设置文件安全上下文的代码实现 ---- SEAndroid in android 5.x
苞谷猿的技术bug
12-09 1548
一.设置ROM中的文件的安全上下文        以system.img为例,生成system.img的命令在build/core/Makefile文件中: BUILT_SYSTEMIMAGE := $(systemimage_intermediates)/system.img .......... $(BUILT_SYSTEMIMAGE): $(FULL_SYSTEMIMAGE_DEP
安全策略的生成----SEAndroid in Android 5.x
苞谷猿的技术bug
12-09 981
android系统中第一个启动的进程是init进程,这个进程会执行系统初始化,其中就包括加载SEAndroid安全策略,查看文件system/core/init/init.c的main函数,其中有:   unionselinux_callback cb; cb.func_log= log_callback; selinux_set_callback(SELINUX_CB_L
概述----SEAndroid in Android 5.x
苞谷猿的技术bug
12-02 770
SEAndroid,源自SELinuxSELinux最大的作用就是让人在网上发贴问如何关闭它(误。。!)。因为它太难搞了,普通linux系统里,su一下,大概一切都搞定了,但是开启 了SELinux的系统里。。。它不让我们做什么事,我们也只能不做了。于是,被剥夺了上帝视角的猴子们愤怒了。我们要杀掉这个奇怪的selinux。回 正题,su之后依然会受到限制,这就是SELinuxSEAndroi
对属性的保护---- SEAndroid in Android5.x
苞谷猿的技术bug
12-16 743
一. 属性内存区域的创建和初始化        属性内存区域是由init进程在启动的过程中创建和初始化。创建和初始化完成之后,其它进程可以将这块属性内存区域以只读的方式映射到自己的地址空间去,这样其它进程就可以直接从自己的地址空间读出属性值。另一方面,如果其它进程需要增加或者修改属性的值,那么就必须要通过init进程来进行。Init进程在启动的时候,会创建一个属性管理服务。这个属性管理服务会创
SEAndroidAndroid安全进阶之钥
Android 4.4及后续版本中,了解并掌握SEAndroid的工作原理和配置方法对于高级开发者来说是至关重要的,这可以帮助他们优化应用程序的安全性,提高系统的整体安全性。 学习关于SELinux的背景知识,包括DAC和MAC的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值