selinux 记录

最新推荐文章于 2024-05-15 15:00:32 发布
最新推荐文章于 2024-05-15 15:00:32 发布
阅读量437 收藏 3
点赞数
分类专栏: Android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lf12345678910/article/details/102497268
版权

SEPolicy 语言:
    Linux中有两种东西,一种死的(Inactive),一种活的(Active)。死的东西就是文件(Linux哲学,万物皆文件。注意,万不可狭义解释为File),而活的东西就是进程。此处的 死 和 活 是一种比喻,映射到软件层面的意思是:进程能发起动作,例如它能打开文件并操作它。而文件只能被进程操作。

    根据 SELinux 规范,完整的 Secure Context 字符串为:user:role:type[:range]

进程的 Secure Context:
    在 SELinux 中,每种东西都会被赋予一个安全属性,官方说法叫做 Security Context,Security Context是一个字符串,主要由三个部分组成,例如 SEAndroid 中,进程的 Security Context 可通过 ps -Z 命令查看:

    上面的最左边的一列就是进程的 Security Context,以第一个进程 wpa_supplicant 为例
        u:r:hal_wifi_supplicant_default:s0
    其中 
    - u 为 user 的意思,SEAndroid 中定义了一个 SELinux 用户,值为 u 
    - r 为 role 的意思,role 是角色之意,它是 SELinux 中一个比较高层次,更方便的权限管理思路。简单点说,一个 u 可以属于多个 role,不同的 role 具有不同的权限。 
    - hal_wifi_supplicant_default 代表该进程所属的 Domain 为 hal_wifi_supplicant_default。MAC(Mandatory Access Control)强制访问控制 的基础管理思路其实是 Type Enforcement Access Control(简称TEAC,一般用TE表示),对进程来说,Type 就是 Domain,比如 hal_wifi_supplicant_default 需要什么权限,都需要通过 allow 语句在 te 文件中进行说明。 
    - s0 是 SELinux 为了满足军用和教育行业而设计的 Multi-Level Security(MLS)机制有关。简单点说,MLS 将系统的进程和文件进行了分级,不同级别的资源需要对应级别的进程才能访问

文件的 Se

最低0.47元/天 解锁文章
lf12345678910
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
selinux的日志找回
weixin_34096182的博客
04-12 335
在RHEL6环境下,有时候selinux 在enforce状态下,用sealert -a /var/log/audit/audit.log那里却找不到denials 。原来selinux有一个默认拒绝记录模块加载了,如果要有更全面的log,那必须加载一个新的模块semodule --disable_dontaudit --build或者semodule -DB资料来源于htt...
Android SELinux
tengfeidx的博客
06-29 1643
ls -Z 查看selinux的服务
汽车EE架构
最新发布
汽车以太网和SOA
05-15 9533
汽车EE架构
android7禁用selinux,Android7关闭selinux(设置为Permissive模式)
n_fly的博客
02-12 539
Android7关闭selinux(设置为Permissive模式)
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android P SELinux (三) 权限检查原理与调试
headwind的博客
08-15 3829
目录引子一、权限检测原理1、拥有的权限2、需要的权限3、裁决4、其他二、avc denied信息分析三、调试1、快速编译和替换1.1 编译和替换1.2 load_policy2、尽量使用宏3、使用属性4、setools工具四、参考文章 引子 我们在处理SELinux权限问题的时候,avc denied信息是最关键的,那么avc denied 的打印信息要怎么看、里面的内容每一个字段是什么意思?kernel log的avc denied信息是哪里打印出来的? 以前有个想法,我们系统的操作、命令都是有限的,那其
SELinux 入门详解
01-09
当主体尝试访问目标时,SELinux安全服务器会根据当前的策略和模式决定是否允许访问,如果拒绝,会在系统日志中记录相关信息。 SELinux有三种操作模式: 1. **Enforcing**(强制):这是默认模式,强制执行策略,不...
SELinux.zip
05-25
1. **设置模式**:SELinux有三种运行模式:Enforcing(强制执行)、Permissive(宽容模式,只记录不阻止)和Disabled(禁用)。默认推荐使用Enforcing。 2. **策略定制**:通过`semanage`工具可以定制策略,例如...
selinux-example_SELinux_
09-28
3. **审计日志**:SELinux的审计子系统记录所有违反策略的尝试,方便分析和调试。 4. **工具集**:包括`semanage`用于管理策略,`audit2why`和`audit2allow`帮助分析审计日志并创建修复策略,以及`chcon`和`...
SELINUX工作原理详解
09-14
如果访问被拒绝,相关日志会被记录在/var/log/messages中。 2. **类型强制(Type Enforcement)**:这是SELinux的核心机制,它为每个进程分配一个特定的安全上下文(security context),这个上下文定义了进程可以...
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
Linux服务.NO1——SElinux安全上下文组件
For_1ove的博客
08-08 536
1.SELinux 1.1.SELinux概念 SELinux带给Linux的主要价值是提供了一个灵活、可配置的MAC系统,SELinux(Security-Enhanced Linux)主要由Kernel SELinux模块和用户态工具组成。 SELinux是一个安全体系结构,它提供了一种灵活的强制访问控制(MAC)系统。SELinux定义了系统中,每个用户、进程、应用和文件的访问和转变的权限,...
Selinux type 编写示例
Android 系统开发
02-23 3328
以下是从aosp 中,分析如何定义的type 和allow 规则 1.定义type (domain) hal_light 这个type的定义 type hal_light_default, domain; hal_server_domain(hal_light_default, hal_light) aosp/system/sepolicy/vendor/qcom/common/hal_li...
关于9.0系统Selinux权限问题报错的分析和处理
RenoY3的博客
05-17 1968
Selinux简介 SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关
八、AOSP-selinux永久关闭+默认开启开发者
qq23001186的博客
01-23 1442
一、selinux永久关闭 关于selinux的资料可以查阅:http://blog.csdn.net/innost/article/details/19299937 1、源码路径 system/core/init/init.cpp 方法名 -> selinux_is_enforcing 2、源码 static bool selinux_is_enforcing(void) { if (ALLOW_PERMISSIVE_SELINUX) { return selinux
SELinux权限问题解决方法
w2064004678的博客
04-14 2920
前言 之前做系统应用操作设备节点的时候,出现SELinux权限的问题,即SELinux Policy Exception,查看log可以看到诸如此类的提示 avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=11725 scontext=u:r:untrusted_app:s0:c512,c7...
Android P SELinux权限获取
arrol1786936883的博客
04-26 2126
Android SELinux权限问题
android 系统(13)---Android O treble 新增hal hwservice selinux policy
zhangbijun1230的专栏
04-05 6278
 EX: vendor.mediatek.hardware.xxxxxx 1.hwservice.tetype mtk_hal_xxx_hwservice, hwservice_manager_type;2-1.hwservice_contextsvendor.mediatek.hardware.xxx::IXXX u:object_r:mtk_hal_xxx_hwservice:s02-2.fi...
Android P 中selinux
cassie_huang的博客
09-19 6898
说在前面,文章大部分参考https://source.android.com/security/selinux/。 1.一些基本概念 SELinux 运行的原则是:所有没有明确指定为allow的操作都会被拒绝。 两种模式: Permissive mode, 会有denials的log,但是不会强制执行。在前期porting的时候可以使用这种mode。 Enforcing mode, 会有...
selinux chon
07-06
SELinux 还可以提供更加详细的日志记录,并在系统发生安全事件时提供重要的信息和提示。这使得管理员能够更好地了解系统的安全状况,并对需要进行改进的地方进行调整。 虽然 SELinux 功能强大,但也可能对系统管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值