Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法

已于 2024-01-03 19:55:40 修改
阅读量2.4k 收藏 21
点赞数 4
分类专栏: Android系统工程师开发手册 文章标签: Android selinux SEAndroid Android底层 Android驱动
于 2022-06-01 20:51:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldswfun/article/details/125089519
版权

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件中有非常多的语句, 我们需要基本掌握和理解其中的语法和语义,这样才能有利于我们进行开发。

一, 框图

上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。

二,初识基本语法

Te文件中一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件中

# adb pull /data/anr/traces.txt

allow adbd anr_data_file:dir r_dir_perms;

allow adbd anr_data_file:file r_file_perms;

以上意思:

允许adbd域(domain), 对安全上下文为anr_data_file的目录(dir)有读目录权限

允许adbd域(domain), 对安全上下文为anr_data_file的文件(file)有读文件权限

完整的allow相关的语句格式为:

rule_name source_type target_type :object_class perm_set

描述:

rule_name:规则名,分别有allow,dontaudit,auditallow,neverallow等

source_type:源类型,主要作用是用来填写一个域(domain),一般都是一个进程, 也叫做scotonext

target_type:目标的类型,一般都是客体的上下文标签,当然进程也是可以做为客体,比如一个进程给另外一个进程发送信号,获取另外一个进程pid等,

object_class:类别,目标(客体)是哪种类别,主要有file,dir,socket, process, SEAndroid还有binder等,在这些基础上又细分出设备字符类型(chr_file),链接文件(lnk_file)等。

perm_set:权限集合, 如read, write等。

更加复杂的格式为:

rule_name {source_type1 source_type2 ...}  { target_type1 target_type2 ... } :object_class  {perm_set}

基本语法对应的文件结构如下:

三 ​​​​​​,rule_name 

rule_name 一般有以下四种:

allow

允许权限操作,必须显示说明

allowaudit

允许记录,重点是记录, 允许权限规则必须使用allow,此处允许记录是指允许对权限检查成功和失败的结果进行记录

dontaudit

对权限检查失败的操作不做记录

neverallow

此处不能简单理解为不允许,没有显示注明allow的策略默认就是不允许, 此处的意思是在生成安全策略文件时检查是否违背neverallow的要求。如:

neverallow logd dev_type:blk_file { read write };

此处意思是在其他策略文件中就不要出现allow logd dev_type:blk_file { read write }的语句,否则编译会报错。

类似于在考试出题时,上级要求作文中不允许写议论文, 而在下级自主出题时,就出现了允许写议论文的要求, 这样这个”允许”就明显不合规。

 四,object_class

object_class类别作用是用于描述目标(客体)的类别,如dir, file类别, 不同的文件都可以设置相同的上下文,加上object_class类别之后,可以更精准的去描述目标(客体), 比如/data/test/(目录)  和/data/testfile(普通文件),  都是可以设置安全上下文为u:object_r:test:s0, 假如allow语句只想给定访问testfile普通文件时权限,而不想放开目录的权限, 就可以在在allow语句中将object_class设置进来, 如:

allow myprocess test:file read;

一般object_class都需要在system/sepolicy/private/security_classes中声明, 而对应classs涉及到的具体权限项目是在system/sepolicy/private/access_vectors中文件中声明的,如:

# file-related classes

class filesystem

class file

class dir

class fd

class lnk_file

class chr_file

class blk_file

class sock_file

class fifo_file

# network-related classes

class socket

class tcp_socket

class udp_socket

class rawip_socket

class node

class netif

....

class binder

....

# Property service

class property_service          # userspace

# Service manager

class service_manager           # userspace

以上文件我们只需要基本了解即可, 基本不会改。

Object_class默认会有对应的权限,在system/sepolicy/private/access_vectors文件会声明,其格式基本有以下几种:

common common_name { permission_name ... }

通用的权限集合,可以被另外一个格式class继承,例子:

common file

{

    ioctl

    read

    write

create

....

}

class class_name [ inherits common_name ] { permission_name ... }

Class不能被继承,access_vectors声明的class样例如下所示:

class filesystem

{

    mount

    remount

    unmount

    getattr

    ...

}

class dir

inherits file

{

    add_name

    remove_name

    reparent

    search

    rmdir

    open

    ...

五,perm_set

Perm set表示操作权限集合,system/sepolicy/public/global_macros会定义权限集宏定义, 如例子:

#####################################

# Common groupings of permissions.

#

define(`x_file_perms', `{ getattr execute execute_no_trans map }')

define(`r_file_perms', `{ getattr open read ioctl lock map }')

define(`w_file_perms', `{ open append write lock map }')

define(`rx_file_perms', `{ r_file_perms x_file_perms }')

define(`ra_file_perms', `{ r_file_perms append }')

define(`rw_file_perms', `{ r_file_perms w_file_perms }')

define(`rwx_file_perms', `{ rw_file_perms x_file_perms }')

define(`create_file_perms', `{ create rename setattr unlink rw_file_perms }')

当然在perm_set 这个语法位置上也是可以使用上一节中的access_vectors文件中出现的权限字符串。

 六,例子

单个权限型

allow adbd tmpfs:dir search;
#允许adbd域对虚拟化文件系统tmfs中的目录进行搜索

集合权限型

allow adbd shell:unix_stream_socket { read write };

#允许adbd域对shell的流式套接字进行读和写

allow hal_bluetooth { uhid_device hci_attach_dev }:chr_file rw_file_perms;

#允许hal_bluetooth域对有上下文uhid_device,hci_attach_dev的字符设备,有读写文件权限

特殊限定权限型

allow init { file_type -system_file }:dir relabelto;

#允许init域的进程对file_type类型中除了system_file类型外的目录执行relabelto操作;

file_type类型是一个集合,当对这个集合进行特定权限放开后,可能这个集合中某个特定类型的权限你并不想放开, 那么可以加上-进行进一步排除, 可以证明理解: 允许美女参加选美, 但是40岁以上的除外。

其中:

1): ~号表示除了某项以外的权限

2):-号表示去除某项权限。

3):*号表示所有权限。

如下例子:

allow {

    domain

    -coredomain # access is explicitly granted to individual coredomains

} same_process_hal_file:file { execute read open getattr map };

表示允许domain( 需排除coredomain) ,对same_process_hal_file类型的普通文件(file), 拥有 execute read open getattr map权限.

self关键词

 allow system_server self:netlink_selinux_socket *;

允许system_server域的进程能够对system_server类型的netlink_selinux_socket套接字进行所有操作

self表示targettype与source type相同,这时就不用再重复写一遍sourcetype了,用self代替就可以了

旗浩QH
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
Android 系统 Linux系统 内核kernel启动流程 init 进程介绍
02-01
Android系统中,Linux...通过对`init`进程的管理和`init.rc`的解析,系统能够按照预设的配置启动必要的服务和进程,确保Android系统的正常运行。了解这个过程对于系统优化、故障排查以及安全配置都有极其重要的意义。
Android 6.0中SELinuxTE简介
DODO~下雨不打伞
09-07 9043
在开发中,偶尔会碰到一些TE后缀的文件的修改和查看。google借鉴了SELinux安全机制,在Android内包含了该机制,而TESELinux中描述程序访问资源的语言。本文的目的是让大家在Android开发中,碰到相关问题时能够看懂相关的TE文件。在下面的内容中将描述SELinux基本的TE编写规则和在Android中的应用。 SELinux资源访问基本概念SELinux使用类型强制来改进强制
Android 添加Te规则
qq_42989195的博客
08-06 1950
添加SeLinux Te规则
安卓SELinux策略
最新发布
似霰的博客
05-07 425
安卓SELinux策略
SELinux策略语言--编写TE规则
行知致简的专栏
02-02 1347
neverallow规则也支持通配符来代表所有的类型,求补算操作符(~)也表示所有的类型,除了明确列出的之外。这条规则是最常见的使用type_change规则的示例,它在用户登陆时重新标记终端设备,login程序会通过一个内核接口查询SELinux模块中的策略,传递类型sysadm_t和tty_device_t,接收sysadm_tty_device_t类型作为重新标记的类型,这个机制允许在一个新的登陆会话过程中,登陆进程以用户的名义标记tty设备,将特殊的类型封装到策略中,而不用硬编码到应用程序中。
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 3761
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
android security te总结
yong_xu的专栏
11-05 674
关于android security te文件书写总结 te文件的基本书写规范,就不赘叙了,这里说的是另一种情况下的关于te配置的情况 案例如下:在tp驱动中 实现文件读写操作具体操作/data 分区 在书写驱动后发现在anroid启动前 对该分区的操作应该是无效的,因为此时kernel 还没执行到init.c 即system 分区 等其他分区尚未建立 所以该读写操作只能在android 系统跑完开机动画后,可以响应 tp 触摸事件后。 通常会报如下错误: [ 37.573986] <0>.
简述AndroidSELinuxTE
08-27
Android系统中,SELinux扮演着重要的角色,本文将介绍AndroidSELinuxTE(Type Enforcement)相关知识。 一、SELinux资源访问基本概念 在SELinux中,所有的主体(程序进程)对客体(文件、socket等资源)的...
Rk3399 获取系统ROOT权限补丁7.1与8.1.rar
02-21
3.parameter.txt文件中加入androidboot.selinux=permissive (修改路径:source/device/rockchip/rk3399/rk3399_all/parameter.txt ) 4、此补丁运用于Android7.1版本,需要在补丁中把vendor目录都修改为system...
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程中涉及的Selinux权限问题在Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。SelinuxSecurity Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
SELinux权限学习笔记
javac_jj的博客
04-19 1919
转载:SELinux权限学习笔记 - Hello-World3 - 博客园 1. 权限修改 方法1: adb在线修改seLinux $ getenforce; //获取当前seLinux状态,Enforcing(表示已打开),Permissive(表示已关闭) $ setenforce 1; //打开seLinux $ setenforce 0; //关闭seLinux 方法2: 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/con
SElinux 读懂.te 定义自己的 .te
03-11 9817
后面会持续补充一、 .te 文件定义中的一些宏1.1 unix_socket_connect(1,1 ,2, $3 ) 这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: ##################################### android 系统 te_macros 文件中的定义
linux创建进程 权限,SELinux为已有进程添加权限
weixin_33836042的博客
04-30 776
产品,其te文件在\external\sepolicy路径下面。从这里面的te文件中,常看到的权限,对于dir与file,主要有下面这些: dir:create_dir_perms、search、r_dir_perms、rw_dir_perms、ra_dir_permsfile:create_file_perms、r_file_perms、rx_file_perms、x_file_perms、rw...
AndroidSeLinux权限 .te文件编写
热门推荐
x2017x的博客
09-05 2万+
  在android中添加一个LocalSocket通信,权限部分折腾了好几天,终于搞定了.   首先在root权限下使用setenforce 0命令放开selinux权限,看看需要的操作是否能成功.如果可以,证明是Selinux的设置问题.仅使用该命令,手机重启又会恢复为enforce为1的状态.为了长久更改此权限,需更改如下.   /device/qcom/sepolicy 目录下找到对应...
关于Selinux详解
段小苏的学习之路
04-03 4441
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言  ...
SELinux 权限添加
wangzhiruiyingmuxt的博客
05-22 554
通过adb shell getenforce 可以获取SELinux的工作模式,Enforcing表示打开,Permissive表示关闭。 当有权限未被允许时,kernel log 会提示,比如我遇到的是: type=1400 audit(1590114336.309:8): avc: denied { search } for pid=1582 comm="ip" name="net" dev="mmcblk1p16" ino=16 scontext=u:r:sysCfg:s0 tcontext=u:ob
android8 .te文件,te文件
weixin_42474537的博客
05-28 2226
模块中定义的sepolicy策略文件目录如下加入到系统编译中:在BoardConfig.mk中找BOARD_SEPOLICY_DIRS,将你的sepolicy目录加到这个变量中,如下所示:BOARD_SEPOLICY_DIRS := \device/fsl/imx8/sepolicy \packages/services/Car/evs/sepolicy \device/fsl/mek_8q/se...
selinux .if文件和.te文件的详细说明
05-30
.selinux文件和.te文件都是SELinux策略文件中的一部分。 .selinux文件是一个文本文件,它描述了一个程序或文件SELinux安全上下文。这个上下文是一个由多个字段组成的字符串,它定义了一个对象在SELinux策略中的...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值