Android系统app的domain(安全上下文)设定方法

置顶 已于 2024-03-11 10:34:34 修改
阅读量4k 收藏 19
点赞数 2
分类专栏: Android SELinux 安全 文章标签: SEAndroid
于 2019-09-21 16:54:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keheinash/article/details/101108686
版权
本文详细介绍了在Android系统中设定Java应用程序的安全上下文,涉及apk签名、seinfo值、安全上下文和user字段等内容。通过修改mac_permissions.xml和seapp_contexts文件,结合SELinux策略,可以为已签名的app定制安全上下文。
摘要由CSDN通过智能技术生成

背景

在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程的安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。

在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下文的方法对于java应用不再适用,其设定安全上下文的方法要复杂一些,关系到apk本身的签名证书,本文将讲述如何设定Android O中java应用的安全上下文。

java app安全上下文的设定原理

apk的签名

签名的类型

Android上的apk都是经过签名的,原生代码中提供了4种key用于build阶段为应用进行签名:

*Media
*Platform
*Shared
*Testkey

在Android源码的build/target/product/security目录下,存放着这四种类型对应的私钥和x509格式的证书:
在这里插入图片描述

指定apk使用哪种签名

在每个apk的Android.mk文件中,有一个LOCAL_CERTIFICATE字段,由它指定用哪个key签名,如未通过这个字段进行指定,则默认用testkey。
在这里插入图片描述

指定apk的seinfo的值

在Android源码的system/sepolicy/private/mac_permissions.xml文件中,可以根据apk的签名类型,来指定apk的seinfo的值。以下图为例,当apk的签名是Platform类型时,其对应的seinfo的值是platform。如果没有指定签名类型对应的seinfo的值,则seinfo的值默认使用default。
这个seinfo的值对apk的安全上下文的值十分重要,下面会详细描述,我们先记住是在mac_permissions.xml这个文件通过signature的类型设定apk的seinfo值。
在这里插入图片描述

指定app的安全上下文

最低0.47元/天 解锁文章
铁桶小分队
关注
专栏目录
应用程序域(App Domain
02-23 2529
应用程序域, 机器与程序集、线程、进程的关系
Android设置应用进程的安全上下文
u013234805的专栏
04-30 3556
理解了守护进程的安全上下文的创建过程后,我们再看看应用进程的安全上下文是如何创建的。应用进程是通过Zygote进程fork出来的,但是不会调用exec。在前面介绍Zygote进程时我们已经知道了创建应用进程时会调用函数ForkAndSpecializeCommon(),这个函数则通过调用selinux_android_setcontext()函数来设置应用进程的安全上下文,如下所示: rc =
Android自定义domain设置SeAndroid权限
x2017x的博客
09-19 4466
Domain简介  在adbshell中输入命令ps-Z可查看到类似如下形式的信息,其中,第一栏第二个冒号后的内容(如system_app)即为domain,这些domain可用于通过定义.te文件中的权限控制属于该domain的应用的权限(如/external/sepolicy/system_app.te中的allowsystem_app system_data_file:dir crea
TypeScript中类型转换(Type Transformation)
最新发布
极客神殿
06-26 787
在TypeScript中,类型转换(Type Transformation)是一个强大的功能,可以通过不同的方法将一种类型转换成另一种类型。
Android应用分类和安全Domain
legenddcr的专栏
04-25 2109
Android系统应用System APP vs. (Non-system) Ordinary APPAndroid系统中,应用可以分为系统应用(安装在/system/app分区上的)和非系统应用(安装在/data/app分区上的)。由于没有root权限的话/system分区是只读的,因此普通用户无法卸载系统应用。注意系统应用和是否用ROM platform key签名没有关系,一个用platfo
C#强化系列文章六:应用程序域(AppDomain)浅析
weixin_34351321的博客
03-14 370
在以前传统的开发中我们都知道,一个应用程序对应一个进程,并为该进程指定虚拟内存,由操作系统来映射实际的物理内存,有效的维护了进程之间的安全性。但另一方面,每一个进程都会消耗一定的系统资源,降低了性能,并且进程间的通信也比较麻烦。 在.Net中推出了一个新的概念:应用程序域(AppDomain)。可以理解成很多应用程序域都可以运行在同一个.NET的进程中,可以降低系统消耗,同时不同的域之间互相隔离...
也许你还不知道的一些关于App Domain的事
weixin_30378311的博客
09-22 246
今天翻阅msdn时看到一个概念Domain Neutral Assemblies,虽然这个咚咚的名字字面意思挺清楚,但是之前从未接触过,于是特意搜索了一番,东拉西扯之下,也学到了一些关于App Domain的有趣的东西,在这里总结记录一下。 首先,App Domain是什么?MSDN里给出了一堆文字来说明。其实简单的说,App Domain就是是一个轻量级的进程。 Doma...
Android下使用chcon修改文件的安全上下文(file_contexts)
热门推荐
Android开发
01-01 1万+
在init.rc中运行某一可执行程序时,需要修改selinux规则,否则会提示要为该服务添加selinux角色。其中的一步是在file_contexts添加节点或文件的安全 安全上下文,如device/qcom/sepolicy/common/file_contexts /dev/coresight-tmc-etr-stream u:object_r:q
Android系统10 RK3399 init进程启动(二十五) SeAndroid 安全上下文文件
ldswfun的专栏
06-01 768
安卓系列教程之ROM系统开发-百问100ask系统Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)本章节介绍SeAndroid中常见的几个安全上下文文件。在Android源码中会存在几个重要的上下文文件, 用来描述系统和属性,服务等的上下文信息, 路径在system/sepolicyfile_contexts根系统中所有文件的安全上下文, 如/system/bin, /system/etc等文件,源码路径如: system/sepolicy/privat
Android 7.0 SEAndroid app权限配置方法
08-27
SEAndroid通过seapp_contexts文件来定义不同应用的上下文信息,这包括应用的domain和type,这些都是由user和seinfo两个参数决定的。在定义中,不同的user标识和seinfo值对应不同的应用类型。例如,一个应用如果user...
文件的安全上下文 ---- SEAndroid in Android 5.x
苞谷猿的技术bug
12-02 1646
Android系统中的文件生成方式有两种: 1.ROM里面预设的。对于ROM里面预设的文件,我们使用预先定义的方式来确定他们的安全上下文。 2.动态生成的。对于动态生成的文件,原则上继承父目录的安全上下文。但有一些特别的情况下,我们会遵循预先设定的规则来设置他们的安全上下文。 在SEAndroid使用三种方式来设置文件的安全上下文。 1.设置打包在ROM里面的文件的安全上下文        e
国产平台之T507 开发板Android 安全策略漫谈 -飞凌嵌入式
key_qt1的博客
12-03 1841
国产平台之T507 开发板Android 安全策略漫谈,飞凌嵌入式 T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。本文主要讲解Android 安全策略的脉络,以及飞凌嵌入式 T507 开发板 Android系统下自定义安全策略。
[Android]设置进程的安全上下文
aaajj的专栏
12-31 1278
为了能够清楚的理解进程的上下文,我们来做一个试验, 通过在rc文件中进行注册启动一个进程,即让init进程来fork出一个进程。 以/system/bin/service程序为例,我们在里面增加一个长时间的sleep,以便于我们观察。 增加service.te #service.te typemTestService, domain, domain_deprecated, m
设置文件安全上下文的代码实现 ---- SEAndroid in android 5.x
苞谷猿的技术bug
12-09 1621
一.设置ROM中的文件的安全上下文        以system.img为例,生成system.img的命令在build/core/Makefile文件中: BUILT_SYSTEMIMAGE := $(systemimage_intermediates)/system.img .......... $(BUILT_SYSTEMIMAGE): $(FULL_SYSTEMIMAGE_DEP
[免费专栏] Android安全Android工程模式
橙留香Park的博客
08-08 2903
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
如何在当前过程中枚举AppDomains
IT与开发人员的地盘
05-22 133
这是我在“如何在当前进程中枚举应用程序域”上找到的代码。 原始代码由Thomas Scheidegger发布 将以下内容添加为COM参考-〜\ WINDOWS \ Microsoft.NET \ Framework \ v2.0.50727 \ mscor ee.tlb usingmscoree; usingSystem.Runtime.InteropServices; publi...
Android 及时通信(环信)
会飞的蜗牛
10-22 1809
Android集成环信即时通信下载SDK新建工程导入SDK添加权限和配置初始化基础功能注册登录 如果自己来写一个类似微信的音视频聊天软件虽然能实现功能,但是实现过程还是比较麻烦,周期也比较长,可能最后出来漏洞也比较多,直接引入第三方的就省事很多,本文简单描述一下将环信SDK继承在Android应用中。 下载SDK 进入到官网: 下载完成后解压出来有如下文件夹: doc:SDK 相关 API 文档 examples:ChatDemoUI3.0(Demo,依赖 EaseUI 库)、EaseUI libs
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9788
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值