SEAndroid策略分析(三):类型强制和角色声明

最新推荐文章于 2024-04-01 17:42:03 发布
最新推荐文章于 2024-04-01 17:42:03 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: SEAndroid 文章标签: android seandroid selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chris_king_4/article/details/50238473
版权

类型强制

TE规则语法: 规则名称源类型目标类型:客体类别许可

规则名称    allow,dontaudit,auditallow和neverallow。
源类型      授予访问的类型,通常是进程尝试访问的域类型。
目标类型    客体的类型,它被授权可以访问源类型。
客体类别    客体的类别。
许可        表示主体对客体访问时允许的操作类型(也叫做访问向量)。

 

规则名称

1允许规则:allow

allow 源类型 目标类型:客体类别许可

allow domain device:fileread;(来自domain.te45)

这个allow规则的源类型为domain,目标类型为device,客体类别file,许可read,这个规则可以解读为"允许domain读取类型为device的文件"。

2审核规则:audit

默认情况下,SELinux不会记录任何允许的访问检查,只会记录被拒绝的访问检查。

dontaudit规则,它指出哪一个访问尝试被拒绝时不审核,这样就覆盖了SELinux默认的审核所有拒绝的访问尝试的行为。

SEAndroid策略分析(三):类型强制和角色声明

auditallow规则

记录允许的访问

暂时没发现SEAndroid中有这种规则

Neverallow规则

指定永远不会被allow规则执行的访问,主要是以防万一的作用。因为在载入规则时,neverallow规则会先于allow规则载入,所以,当规则冲突时(同时存在neverallow禁止规则和allow允许规则),会产生编译错误。

SEAndroid策略分析(三):类型强制和角色声明

源类型与目的类型

类型声明

使用type语句进行声明:type类型名称[,属性集];

type adbd, domain,mlstrustedsubject;来自adbd.te3

seandroid的20个attributes在 文件:attributes 中定义

源类型和目标类型都可以是attribute,并且没有数量限制,可以在源和目标字段处列出多个类型和属性,如果有多个类型或属性时,它们之间使用空格进行分隔,并使用大括号将它们括起来,如:

allow bluetooth { tun_device uhid_device hci_attach_dev}:chr_filerw_file_perms;  来自bluetooth

最低0.47元/天 解锁文章
kubisister
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux零知识学习十五、SELinux策略语言之客体类别和许可(9)
phmatthaus的专栏
11-17 297
SELinux零知识学习十五、SELinux策略语言之客体类别和许可(9)
SEAndroid安全机制简要介绍和学习计划
03-03
接下来我们就对SEAndroid进行简要介绍和制定学习计划。在介绍SEAndroid安全机制之前,我们要先了解一下Android当前所采用的安全机制是什么。实际上,在前面从NDK在非Root手机上的调试原理探讨Android的安全机制一文...
SEAndroid策略
移动编程
05-21 588
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
SEAndroid使用
WEINILUO的博客
12-15 1247
SEAndroid
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7021
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
【SELinux】总结之策略规则&语法&报错解决
Philister的博客
09-27 5057
SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥(哈希key)4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别和许可相关写法5.1 类别
SEAndroid问题快速分析
12-17
快速定位、分析和解决Android系统SELinux相关的权限问题。
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 1293
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法
ldswfun的专栏
06-01 2453
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件中有非常多的语句, 我们需要基本掌握和理解其中的语法和语义,这样才能有利于我们进行开发。上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。Te文件中一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件中
SeLinux 常见的宏
最新发布
littleyards的博客
04-01 469
意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限。
Selinux篇3 -TE规则
xieyinsen的专栏
11-25 1301
allow vold device:dir write 这句的意思是:允许 type 为 vold 的主体 对 type 为 device的客体 拥有 客体类别为 dir 的write 权限。根据 SELinux 规范,规则定义的格式为: rule_name source_type target_type : class perm_set; 可以看到规则中只用到了主体和客体的 type,而动作是以操作类别与具体操作的组合体现的。 所有 rule_name 如下: allow 表示允许主体对客体执行
方案笔记一
qq_25815655的博客
03-16 371
1.修改手机插入电脑显示内存,文件路径frameworks/av/media/mtp/MtpStorage.cpp uint64_t MtpStorage::getMaxCapacity() { if (mMaxCapacity == 0) { struct statfs stat; if (statfs(getPath(), &stat))...
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9349
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
android se,SEAndroid 问题解决
weixin_32058931的博客
05-27 510
终于把2个月纠结的功能做完了。 完成功能特地也总结一下一些常用的命令1.1 adb shell getenforce (查看selinux 当前的状态)Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2设置selinux 的状态 adb ...
SEAndroid 问题解决
03-30 5368
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
对Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
热门推荐
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解Android 下SELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
Android 5.x 权限问题解决方法
u013952558的专栏
03-16 1万+
Android 5.x 权限问题解决方法               一、  android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。   本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。  遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值