Android系统app的domain(安全上下文)设定方法

置顶 已于 2024-03-11 10:34:34 修改
阅读量3.9k 收藏 19
点赞数 2
分类专栏: Android SELinux 安全 文章标签: SEAndroid
于 2019-09-21 16:54:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keheinash/article/details/101108686
版权

背景

在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程的安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。

在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下文的方法对于java应用不再适用,其设定安全上下文的方法要复杂一些,关系到apk本身的签名证书,本文将讲述如何设定Android O中java应用的安全上下文。

java app安全上下文的设定原理

apk的签名

签名的类型

Android上的apk都是经过签名的,原生代码中提供了4种key用于build阶段为应用进行签名:

*Media
*Platform
*Shared
*Testkey

在Android源码的build/target/product/security目录下,存放着这四种类型对应的私钥和x509格式的证书:
在这里插入图片描述

指定apk使用哪种签名

在每个apk的Android.mk文件中,有一个LOCAL_CERTIFICATE字段,由它指定用哪个key签名,如未通过这个字段进行指定,则默认用testkey。
在这里插入图片描述

指定apk的seinfo的值

在Android源码的system/sepolicy/private/mac_permissions.xml文件中,可以根据apk的签名类型,来指定apk的seinfo的值。以下图为例,当apk的签名是Platform类型时,其对应的seinfo的值是platform。如果没有指定签名类型对应的seinfo的值,则seinfo的值默认使用default。
这个seinfo的值对apk的安全上下文的值十分重要,下面会详细描述,我们先记住是在mac_permissions.xml这个文件通过signature的类型设定apk的seinfo值。
在这里插入图片描述

指定app的安全上下文

最低0.47元/天 解锁文章
铁桶小分队
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
应用程序域(App Domain
02-23 2492
应用程序域, 机器与程序集、线程、进程的关系
Android应用分类和安全Domain
legenddcr的专栏
04-25 2096
Android系统应用System APP vs. (Non-system) Ordinary APPAndroid系统中,应用可以分为系统应用(安装在/system/app分区上的)和非系统应用(安装在/data/app分区上的)。由于没有root权限的话/system分区是只读的,因此普通用户无法卸载系统应用。注意系统应用和是否用ROM platform key签名没有关系,一个用platfo
Android自定义domain设置SeAndroid权限
x2017x的博客
09-19 4426
Domain简介  在adbshell中输入命令ps-Z可查看到类似如下形式的信息,其中,第一栏第二个冒号后的内容(如system_app)即为domain,这些domain可用于通过定义.te文件中的权限控制属于该domain的应用的权限(如/external/sepolicy/system_app.te中的allowsystem_app system_data_file:dir crea
Android下使用chcon修改文件的安全上下文(file_contexts)
Android开发
01-01 1万+
在init.rc中运行某一可执行程序时,需要修改selinux规则,否则会提示要为该服务添加selinux角色。其中的一步是在file_contexts添加节点或文件的安全 安全上下文,如device/qcom/sepolicy/common/file_contexts /dev/coresight-tmc-etr-stream u:object_r:q
[Android]设置进程的安全上下文
aaajj的专栏
12-31 1259
为了能够清楚的理解进程的上下文,我们来做一个试验, 通过在rc文件中进行注册启动一个进程,即让init进程来fork出一个进程。 以/system/bin/service程序为例,我们在里面增加一个长时间的sleep,以便于我们观察。 增加service.te #service.te typemTestService, domain, domain_deprecated, m
设置文件安全上下文的代码实现 ---- SEAndroid in android 5.x
苞谷猿的技术bug
12-09 1548
一.设置ROM中的文件的安全上下文        以system.img为例,生成system.img的命令在build/core/Makefile文件中: BUILT_SYSTEMIMAGE := $(systemimage_intermediates)/system.img .......... $(BUILT_SYSTEMIMAGE): $(FULL_SYSTEMIMAGE_DEP
Android订餐系统app
07-15
“基于Android的在线订餐系统的研究与实现”项目由三个模块组成:WEB服务器,Android用户客户端和Android管理员客户端。 WEB服务器 “OrderServer”的部署有两种方法: 1、通过MyEclipse或者Eclipse直接部署,服务器...
Android宠物管理系统APP源码
01-04
Android宠物管理系统APP源码】是一款专为学习和实践Android编程设计的应用程序,它以宠物管理为主题,提供了简单易懂的界面和功能,适合初学者快速掌握Android开发的基础知识。这款APP不仅能够帮助用户了解Android...
Android 7.0 SEAndroid app权限配置方法
01-20
SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app 第三方app,没有Android平台签名,没有system权限 2)platform_appAndroid平台签名,没有system权限 3)...
基于Android系统的儿童安全APP.pdf
08-26
"基于Android系统的儿童安全APP" 本文档主要介绍了一款基于Android系统的儿童安全APP的设计和实现。该APP能够实时监控儿童的位置,提供超出安全范围的报警功能,实现远程环境监测等。下面是该APP的相关知识点: 1....
Android本科期末作业仓库管理系统APP源码.zip
05-29
Android本科期末作业仓库管理系统APP源码。安卓期末作业,包含用户权限管理和商品管理的仓库管理系统APP源码。Android本科期末作业仓库管理系统APP源码。安卓期末作业,包含用户权限管理和商品管理的仓库管理系统APP...
Android设置应用进程的安全上下文
u013234805的专栏
04-30 3498
理解了守护进程的安全上下文的创建过程后,我们再看看应用进程的安全上下文是如何创建的。应用进程是通过Zygote进程fork出来的,但是不会调用exec。在前面介绍Zygote进程时我们已经知道了创建应用进程时会调用函数ForkAndSpecializeCommon(),这个函数则通过调用selinux_android_setcontext()函数来设置应用进程的安全上下文,如下所示: rc =
[免费专栏] Android安全Android工程模式
橙留香Park的博客
08-08 2725
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
也许你还不知道的一些关于App Domain的事
weixin_30378311的博客
09-22 232
今天翻阅msdn时看到一个概念Domain Neutral Assemblies,虽然这个咚咚的名字字面意思挺清楚,但是之前从未接触过,于是特意搜索了一番,东拉西扯之下,也学到了一些关于App Domain的有趣的东西,在这里总结记录一下。 首先,App Domain是什么?MSDN里给出了一堆文字来说明。其实简单的说,App Domain就是是一个轻量级的进程。 Doma...
Android 及时通信(环信)
会飞的蜗牛
10-22 1717
Android集成环信即时通信下载SDK新建工程导入SDK添加权限和配置初始化基础功能注册登录 如果自己来写一个类似微信的音视频聊天软件虽然能实现功能,但是实现过程还是比较麻烦,周期也比较长,可能最后出来漏洞也比较多,直接引入第三方的就省事很多,本文简单描述一下将环信SDK继承在Android应用中。 下载SDK 进入到官网: 下载完成后解压出来有如下文件夹: doc:SDK 相关 API 文档 examples:ChatDemoUI3.0(Demo,依赖 EaseUI 库)、EaseUI libs
android 8.1 安全机制 — SEAndroid & SELinux
热门推荐
岁月斑驳7的博客
07-27 2万+
1. SELinux 背景知识 详细了解 Android 8.0 SELinux,可以参阅 Google 官方文档 1.1 DAC 与 MAC 在 SELinux 出现之前,Linux 上的安全模型叫 DAC, 全称是 Discretionary Access Control,翻译为自主访问控制。 DAC 的核心思想很简单,就是:进程理论上所拥有的权限与执行它的用户的权限相同。比如,...
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 1831
接第二部分的内容 深入理解SELinuxSEAndroid(结局) 二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 2923
APP需要做一些系统系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9387
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
聊天APP Android系统安全分析
最新发布
05-23
聊天APP安全问题主要分为以下几个方面: 1. 数据传输安全:聊天APP需要保证数据在传输过程中不被窃听、篡改或者伪造。一般来说,聊天APP会采用SSL/TLS等加密协议确保数据的传输安全。 2. 用户隐私保护:聊天APP需要保护用户的隐私信息,包括用户的个人信息、聊天记录等。聊天APP需要采取措施防止用户隐私信息泄露,比如采用数据加密和访问控制等技术。 3. 恶意软件防护:聊天APP需要保护用户免受恶意软件的攻击。聊天APP需要采用反病毒软件和入侵检测等技术来检测和清除恶意软件,同时还需要定期更新和修补软件漏洞。 4. 安全设置管理:聊天APP需要提供安全设置管理功能,让用户可以设置自己的隐私安全选项,比如是否开启防火墙、是否允许远程访问、是否允许自动登录等。 5. 安全认证管理:聊天APP需要进行用户身份认证,以保证只有合法用户才能使用聊天服务。聊天APP需要采用安全认证技术,比如用户名和密码、生物识别等方式进行身份认证。 在Android系统上,聊天APP需要注意以下几个问题: 1. 权限管理:聊天APP需要请求合适的权限,以便能够正常的运行。但是,需要注意不要请求过多的权限,避免权限滥用。 2. 数据存储安全:聊天APP需要使用安全的存储方式,以保障用户的数据安全。比如,可以使用加密存储方式,或者采用数据隔离技术,将用户数据隔离在独立的存储空间中。 3. 加密通信:聊天APP需要采用SSL/TLS等加密协议,确保数据在传输过程中不被窃听、篡改或者伪造。 4. 安全更新:聊天APP需要定期进行安全更新,修复软件漏洞和增强安全功能,以提高软件的安全性。 5. 防止反编译和代码注入:聊天APP需要采用代码混淆技术,以防止反编译和代码注入攻击。 总之,聊天APP安全问题需要综合考虑各个方面,采取不同的措施进行保护,以保障用户的隐私和数据安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值