Android 6.0中SELinux的TE简介

最新推荐文章于 2024-01-01 22:12:36 发布
最新推荐文章于 2024-01-01 22:12:36 发布
阅读量532 收藏 2
点赞数
分类专栏: 内核驱动

SELinux资源访问基本概念

SELinux使用类型强制来改进强制访问控制。所有的主体(程序进程)对客体(文件/socket等资源)的访问都有一条TE规则来许可。当程序访问一个资源的时候,系统会搜索所有的TE规则集,并根据结果进行处理。这个规则集是由访问向量规则(AV, Access Vector)来描述的。

内核向外部暴露允许访问的资源权限,由TE来描述主体拥有什么样的访问权。SELinux定义了30个不同的客体类别:
     

security process system capability filesystem file dir fd lnk_file chr_file blk_file socket_file ...

每个客体类别都定义了操作许可,比如针对file有19个操作许可:

 ioctl read write create getattr setattr lock relablefrom relableto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint
这两个内容在后面介绍常用语法的时候会涉及到。所以对于file的操作许可,我们可以看到基本上是对文件的操作方法,所以程序调用这些功能的时候,系统会检查是否有一个TE规则,授予了该程序权限来使用该功能。

Android中的SELinux

开启SELinux

首先必须先开启SELinux功能,google提供了开启该选项的开关。在BoardConfig.mk里面会定义如下变量:

BOARD_SEPOLICY_DIRS += build/target/board/generic/sepolicy

 对应路径下面就会有很多TE文件来描述进程对资源的访问许可。

常用语法

类型和属性

在TE中,所有的东西都被抽象成类型。进程,抽象成类型;资源,抽象成类型。属性,是类型的集合。所以,TE规则中的最小单位就是类型。

声明类型

type 类型名称

type system_app;

 

关联类型和属性

有两种方法可以将某个类型跟某个属性关联起来。

一,在声明类型的时候就关联已经定义的属性。

type system_app, domain;

 这个就在定义system_app的时候就将它跟已经定义的domain属性关联起来了。

typeattribute platform_app mlstrustedsubject;

如果已经定义了类型platform_app,可以用typeattribute将它和已经定义的mIstrustedsubject关联起来。 

 注意:所有的属性和类型都共用一个命名空间,所以命名的时候不要出现同名的属性和类型哦。

访问向量(AV)规则

AV用来描述主体对客体的访问许可。通常有四类AV规则:

    allow:表示允许主体对客体执行许可的操作。

    neverallow:表示不允许主体对客体执行制定的操作。

    auditallow: 表示允许操作并记录访问决策信息。

    dontaudit:表示不记录违反规则的决策信息,切违反规则不影响运行。

通用的类型规则语法位:

allow platform_app debugfs:file { read ioctl };

 

表示类别为platform_app的程序进程,对debugfs类型的文件执行read和ioctl操作。
一些特殊的配置文件:

a. external/sepolicy/attributes -> 所有定义的attributes都在这个文件
b. external/sepolicy/access_vectors -> 对应了每一个class可以被允许执行的命令
c. external/sepolicy/roles -> Android中只定义了一个role,名字就是r,将r和attribute domain关联起来
d. external/sepolicy/users -> 其实是将user与roles进行了关联,设置了user的安全级别,s0为最低级是默认的级别,mls_systemHigh是最高的级别
e. external/sepolicy/security_classes -> 指的是上文命令中的class,个人认为这个class的内容是指在android运行过程中,程序或者系统可能用到的操作的模块
f. external/sepolicy/te_macros -> 系统定义的宏全在te_macros文件
g. external/sepolicy/*.te -> 一些配置的文件,包含了各种运行的规则
selinux有两种工作模式

“permissive”:所有操作都被允许(即没有MAC),但是如果有违反权限的话,会记录日志
“enforcing”:所有操作都会进行权限检查

permissive platform_app;

 

其他

在te文件中经常出现如下的函数:

unix_socket_connect(platform_app, agpsd, mtk_agpsd);

 这个其实是一个宏。它定义在文件名为te_macros的文件里面,经过全局搜索这个宏,发现如下定义:

unix_socket_connect($1, qmuxd, qmux)

allow qmux $1_qmuxd_socket:sock_file { getattr unlink };

')

 

总结

在分析时时刻牢记,TE规则描述的是主体对客体访问的许可。TE的最小单位是类型,这个概念抽象了主体和客体。每个主体对客体执行某种许可,都需要有对应的av规则描述,否则就会失败。在实际项目过程中如果碰到相关的问题,可能就需要修改te文件,编辑相关的操作许可。

参考:https://blog.csdn.net/murphykwu/article/details/52457667

杀不死的进程
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Android][L][SELinux]Define a SELinux domain for Service
ganjinrui的专栏
04-08 1万+
一、适用情景 当在init.rc新增service: service ro_isn /system/bin/isn.sh class late_start user root Oneshot kernel log会打印以下log: Warning!  Service ro_isn needs a SELinux domain defined; please fix! 这是因为Ser
简述AndroidSELinuxTE
08-27
AndroidSELinuxTE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统SELinux扮演着重要的角色,本文将介绍Android...
SELinux 安全模型——TE
最新发布
weixin_46645613的博客
01-01 1046
通过前面的示例策略,大家对 SELinux 应该有那么点感觉认识了,从这篇开始的三篇文章讲述 SELinux 的三种安全模型,会涉及一些代码,旨在叙述 SELinux 内部的原理SELinux 提供了 3 种安全模型:RBAC:Role Based Access Control
SElinux 读懂.te 定义自己的 .te
03-11 9815
后面会持续补充一、 .te 文件定义的一些宏1.1 unix_socket_connect(1,1 ,2, $3 ) 这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: ##################################### android 系统 te_macros 文件的定义
SELinux策略语言--编写TE规则
行知致简的专栏
02-02 1347
neverallow规则也支持通配符来代表所有的类型,求补算操作符(~)也表示所有的类型,除了明确列出的之外。这条规则是最常见的使用type_change规则的示例,它在用户登陆时重新标记终端设备,login程序会通过一个内核接口查询SELinux模块的策略,传递类型sysadm_t和tty_device_t,接收sysadm_tty_device_t类型作为重新标记的类型,这个机制允许在一个新的登陆会话过程,登陆进程以用户的名义标记tty设备,将特殊的类型封装到策略,而不用硬编码到应用程序
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程涉及的Selinux权限问题在Android系统至关重要,尤其是在MediaTek(MTK)6.0平台上。Selinux(Security Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
Android不同版本SELinux的介绍
01-01
Android系统SELinux扮演着至关重要的角色,它限制了应用程序和服务对系统的访问权限,从而降低了恶意软件的危害。本文将详细介绍Android 8.0SELinux特性和工作原理。 **一、Android 8.0SELinux概述**...
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
SELinux for Android 8.0
12-10
This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip ...
Android SELinux Allow可视化生成工具
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell...
Android 的安全增强型 Linux(selinux
10-03
随着版本的升级,Android 不断强化了 SELinux 政策,例如在 6.0 版本增强了用户隔离和 IOCTL 过滤,在 7.0 版本细化了应用沙盒,并在 8.0 版本与 Treble 架构相结合,使得供应商代码与系统框架分离,以提高...
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
selinux文手册和详细解说
11-15
2. **模式和策略**:详述SELinux的策略语言,如TE(Type Enforcement)和模块化策略,以及如何创建和管理自定义策略。 3. **文件系统增强**:讲解如何在文件系统查看和修改安全上下文,如使用`ls -Z`和`chcon`...
SELinux4AndroidO
02-05
m4.pdf/configuring-selinux-policy-report.pdf/implementing-selinux-as-linux-security-module-report.pdf/The_SELinux_Notebook-4th_Edition.pdf/SEAndroid-NDSS2013.pdf/abs2014_seforandroid_smalley.pdf/...
SELinux/SEAndroid 实例简述(一) 基础概念
shell812的专栏
02-08 3041
SELinux/SEAndroid 实例简述(一) 基础概念
Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法
ldswfun的专栏
06-01 2459
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件有非常多的语句, 我们需要基本掌握和理解其的语法和语义,这样才能有利于我们进行开发。上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。Te文件一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件
Selinux篇3 -TE规则
xieyinsen的专栏
11-25 1309
allow vold device:dir write 这句的意思是:允许 type 为 vold 的主体 对 type 为 device的客体 拥有 客体类别为 dir 的write 权限。根据 SELinux 规范,规则定义的格式为: rule_name source_type target_type : class perm_set; 可以看到规则只用到了主体和客体的 type,而动作是以操作类别与具体操作的组合体现的。 所有 rule_name 如下: allow 表示允许主体对客体执行
SElinux 读懂.te 定义自己的 .te【转】
zzb2760715357的博客
07-23 145
本文转载自:https://blog.csdn.net/kongbaidepao/article/details/61417291 一、 .te 文件定义的一些宏 1.1 unix_socket_connect(1,1,2, $3 )这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: #####################...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值