SeLinux安全上下文文件

最新推荐文章于 2024-04-30 11:30:22 发布
最新推荐文章于 2024-04-30 11:30:22 发布
阅读量527 收藏 4
点赞数 5
分类专栏: Android SEliunx权限机制 文章标签: android Selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littleyards/article/details/137232232
版权

在SeLinux 框架中,需要为每个主体和客体设置好安全上下文。在Android中,常见的安全上下文文件有file_contexts、genfs_contexts、service_contexts、mac_permissions.xml和seapp_contexts

file_contexts

根系统中所有文件的安全上下文, 如/system/bin, /system/etc 等文件

/system(/.*)?		u:object_r:system_file:s0
/system/apex/com.android.art	u:object_r:art_apex_dir:s0
/system/lib(64)?(/.*)?		u:object_r:system_lib_file:s0
/system/lib(64)?/bootstrap(/.*)? u:object_r:system_bootstrap_lib_file:s0
/system/bin/atrace	u:object_r:atrace_exec:s0
/system/bin/auditctl	u:object_r:auditctl_exec:s0

genfs_contexts

虚拟文件系统的安全上下文,如proc、sys、debugfs

genfscon proc / u:object_r:proc:s0
genfscon proc /asound u:object_r:proc_asound:s0
genfscon proc /buddyinfo u:object_r:proc_buddyinfo:s0
genfscon sysfs / u:object_r:sysfs:s0
genfscon sysfs /devices/system/cpu u:object_r:sysfs_devices_system_cpu:s0
genfscon sysfs /class/android_usb                 u:object_r:sysfs_android_usb:s0
genfscon sysfs /class/extcon                      u:object_r:sysfs_extcon:s0
genfscon debugfs /kprobes                             u:object_r:debugfs_kprobes:s0
genfscon debugfs /mmc0                                u:object_r:debugfs_mmc:s0
genfscon debugfs /tracing                             u:object_r:debugfs_tracing_debug:s0
genfscon tracefs /                                    u:object_r:debugfs_tracing_debug:s0
genfscon debugfs /tracing/tracing_on                  u:object_r:debugfs_tracing:s0

service_contexts

系统binder服务的安全上下文,在启动过程中,servermanger会读取该配置

media.audio_flinger                       u:object_r:audioserver_service:s0
media.audio_policy                        u:object_r:audioserver_service:s0
media.camera                              u:object_r:cameraserver_service:s0
wifiaware                                 u:object_r:wifiaware_service:s0
wifirtt                                   u:object_r:rttmanager_service:s0
window                                    u:object_r:window_service:s0
*                                         u:object_r:default_android_service:s0

自定义的系统服务,在没有特别指定的情况下,默认的安全上下文是u:object_r:default_android_service:s0

mac_permissions.xml和seapp_contexts

mac_permissions.xml用于根据应用签名和应用软件包名称(后者可选)为应用分配seinfo 标记。随后,分配的seinfo 标记可在seapp_contexts 文件中用作密钥,以便为带有该seinfo 标记的所有应用分配特定标签。在启动期间,system_server 会读取此配置

   <signer signature="@PLATFORM" >
      <seinfo value="platform" />
    </signer>

    <!-- Media key in AOSP -->
    <signer signature="@MEDIA" >
      <seinfo value="media" />
    </signer>

    <signer signature="@NETWORK_STACK" >
      <seinfo value="network_stack" />
    </signer>

seapp_contexts,app的安全上下文,用于描述apk 安装之后的目录文件和/data/data 目录分配标签。在每次应用启动时,zygote 进程都会读取此配置;在启动期间,installd 会读取此配置

user=_app seinfo=platform name=com.android.traceur domain=traceur_app type=app_data_file levelFrom=all
user=system seinfo=platform domain=system_app type=system_app_data_file
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file
user=_app isPrivApp=true name=com.google.android.gms:* domain=gmscore_app type=privapp_data_file levelFrom=user
user=_app isPrivApp=true name=com.google.android.gsf domain=gmscore_app type=privapp_data_file levelFrom=user
user=_app minTargetSdkVersion=30 domain=untrusted_app type=app_data_file levelFrom=all
user=_app minTargetSdkVersion=29 domain=untrusted_app_29 type=app_data_file levelFrom=all
user=_app minTargetSdkVersion=28 domain=untrusted_app_27 type=app_data_file levelFrom=all

在Android 8.0 之后启动了treble计划,分为了平台和非平台。selinux 安全上下文也被分为了平台和非平台,可以查看system/sepolicy/Android.mk 中的编译说明。

system/sepolicy/private:平台私有规则,不会向vendor 部分暴露。里面包含了各种策略控制te 文件,以及上面提到的上下文文件。
system/sepolicy/public: 平台共有策略的全部定义,里面包含了各种策略控制te 文件,
system/sepolicy/vendor 厂商规则,可引用public 的规则,不能引用private 的规则
device/manufacturer/device-name/sepolicy 厂商自定义的规则,包括如上的vendor 部分

上面说的安全上下文文件在编译之后,都会放到system/etc/seliunx和vendor/etc/seliunx 目录下。

Kbattery
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一键部署某用户ssh后限定在某个目录中(更新selinux安全上下文
11-10
通过chroot方式限制用户ssh登陆后被限定在某个目录中,可以用于作一些只读用户,让其只能访问特定目录,并通过目录下其他目录的属主及权限控制方式实现该用户为...2020-11-10 更新selinux安全上下文 有其他问题请留言。
SElinux安全上下文
m0_48963021的博客
02-23 190
SElinux安全增强型Linux系统,是一个linux内核模块、一个安全子系统。:就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)
SELinux 安全上下文
Buster_ZR的博客
05-14 1701
SELinux 安全上下文 1、SELinux安全上下文 安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),”域”和”域类型”意思都一样,即都是安全上下文中的“TYPE”。 SELinux对系统中的许多命令做了修改,通过执行 ls -Z 选项显示客体和主体的安全上下...
linux进程安全上下文,Selinux安全上下文详解
weixin_28894087的博客
04-29 985
SELinux介绍DAC:自由访问控制MAC: 强制访问控制DAC环境下进程是无束缚的MAC环境下策略的规则决定控制的严格程度MAC环境下进程可以被限制策略被用来定义被限制的进程能够使用哪些资源(文件和端口)默认情况下,没有被明确允许的行为将被拒绝Selinux策略对象(object):所有可以读取的对象,包括文件、目录和进程、端口等主体:进程称为主体(subject)Selinux中所有的文件...
SELinux安全上下文
haohaoxuexiyai的博客
02-20 1770
一、SELinux安全上下文查看方法 SELinux 管理过程中,进程是否可以正确地访问文件资源,取决于它们的安全上下文。进程和文件都有自己的安全上下文SELinux 会为进程和文件添加安全信息标签,比如 SELinux 用户、角色、类型、类别等,当运行 SELinux 后,所有这些信息都将作为访问控制的依据。 首先,通过一个实例看看如何查看文件和目录的安全上下文,执行命令如下: [root@localhost ~]# ls -Z #使用选项-Z查看文件和目录的安全上下文 -rw-------.root
semanage命令 安全上下文查询与修改
01-20
semanage命令是用来查询与修改SELinux默认目录的安全上下文SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。 语法格式:semanage [参数] 常用参数: ...
SELinux安全系统基础.pdf
11-13
。。。
SELinux安全系统基础.docx
10-29
。。。
操作系统安全selinux简介.pptx
06-01
SELinux(security enhanced Linux)安全强化的Linux ;传统的文件权限与账号关系:自主式访问控制,DAC ;以政策规则定制特定进程读取特定文件:委任式访问控制,MAC ;Selinux简介;Selinux简介;Selinux简介;Selinux...
Android 11 裁剪系统显示区域(适配异形屏)
ansondroider的博客
04-27 805
在显示技术中,"OverScan"(超扫描)是一种调整显示图像边界的技术。通常情况下,OverScan 会在显示屏的边缘周围裁剪一小部分图像。这种裁剪是为了确保显示内容在屏幕上的完整可见性,尤其是在老式电视或投影仪等设备上,可能存在图像边缘出现失真或过多噪点的问题。OverScan 通过裁剪图像边缘,可以隐藏显示器边缘的任何不完美之处,例如边缘上的噪点、失真或黑边。这有助于确保图像在屏幕上的边缘部分看起来整洁且不受干扰,提供更好的观看体验。
如何使用PHP进行图片处理?
Xs_layla的博客
04-26 472
如何使用PHP进行图片处理?使用PHP进行图片处理是一项强大的功能,它可以让你在服务器端对图像进行各种操作,如裁剪、缩放、添加水印、调整颜色等。这通常通过使用GD库或Imagick扩展来实现。下面将详细介绍如何使用PHP和这两个工具进行图片处理。
AndroidStudio中虚拟机(AVD)无法启动,出现unable to locate adb错误
qq_58156721的博客
04-24 408
手机连上电脑 ——> 打开开发者模式,开启usb调试——>驱动管理类软件(360驱动大师/驱动人生/驱动精灵)检测可安装的驱动——>根据手机安装对应驱动,问题解决。首先通过File-Project Structure-Project SDK检查SDK有没有被选中。1.检查Android SDK Platform-Tools是否安装(个人是通过这个方法解决的)步骤:打开file -> settings ,搜索SDK。之后点击"-",在点击Apply进行安装。3.端口被占用(概率极小)2.可能是驱动的问题。
动手写一个简单的Android 表格控件支持固定列
WeiPR的博客
04-30 554
自己动手写一个支持固定列、滚动的简单易用Android表格控件
Android使用ProtoBuf 适配 gradle7.5 gradle8.0
wsdxho的博客
04-26 685
android 配置 protobuf插件 (gradle7.5 gradle8.0 适配)
android layout 的文件夹可以创建子文件夹吗
xie__jin__cheng的博客
04-27 210
Android Studio中,你可以通过在layout文件夹下直接创建子文件夹的方式来实现。但需要注意的是,直接创建子文件夹后,Android可能无法识别这些子文件夹为资源文件夹。为了让Android能够识别这些子文件夹作为资源文件夹,你需要在项目的。android layout 的文件夹可以创建子文件夹吗?因为layout文件夹中的文件一多管理起来就很麻烦,如果可以分类管理起来就会轻松许多。通过以上步骤,你就可以在Android layout的文件夹中创建并使用子文件夹了。文件中进行相应的配置。
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
最新发布
qq_43670077的博客
04-30 189
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
第11章 Android特色开发——基于位置的服务
Roderick888888的博客
04-25 1289
基于位置的服务简称LBS,其实它本身并不是什么时髦的技术,主要的工作原理就是利用无线电通讯网络或GPS等定位方式来确定出移动设备所在的位置,而这种定位技术早在很多年前就已经出现了。在过去移动设备的功能极其有限,即使定位到了设备所在的位置,也就仅仅只是定位到了而已,我们并不能在位置的基础上进行一些其他的操作。而现在就大大不同了,有了Android系统作为载体,可以利用定位出的位置进行许多丰富多彩的操作。
Android IPC | Android多进程模式
Dev Blog
04-24 904
Android系统会为每个应用分配一定的内存,但是有些功能十分消耗内存,比如查看图片这种功能,这时为了防止该功能导致应用内存过多导致OOM,可以把该功能单独拎出来,在单独进程中进行,这样就可以获取双份内存,突破了单一应用的内存限制。关于Android的进程间通信(即IPC)有很多种方式,比如我们常用的AIDL、Socket等,而其中最重要而且最需要掌握的就是AIDL的使用和原理,简单来说它是通过Binder实现的。
selinux安全上下文命名
08-17
SELinux安全上下文命名是指为文件、目录、进程等在SELinux中设置安全上下文的命名规则。SELinux使用安全上下文来标识和控制对象的访问权限。安全上下文是由一个或多个部分组成的,通常包括标签和类型。 在SELinux中,安全上下文由以下几个部分组成: 1. 用户: 表示文件或进程所属的主体,以用户标识符(UID)表示。 2. 角色: 表示主体所扮演的角色,以角色标识符(RID)表示。 3. 类型: 表示对象的类型,以类型标识符(TID)表示。 4. 完全性级别: 表示对象的完整性级别,以完整性级别标识符(SID)表示。 安全上下文的命名规则一般遵循以下格式: user:role:type:level 例如,一个文件安全上下文可以是: user_u:object_r:etc_t:s0 其中,user_u表示用户,object_r表示角色,etc_t表示类型,s0表示完整性级别。 需要注意的是,安全上下文的命名规范可能因不同的SELinux策略而有所不同。在具体应用中,可以根据实际需求和策略要求进行相应的安全上下文命名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值