SeLinux 常见的宏

最新推荐文章于 2024-04-30 11:30:22 发布
最新推荐文章于 2024-04-30 11:30:22 发布
阅读量346 收藏 5
点赞数 6
分类专栏: Android SEliunx权限机制 文章标签: android Selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littleyards/article/details/137239617
版权

在SeLinux框架中,google定义好了一些宏,我们使用这些宏,开发时可以更加方便。大部分的宏是定义在te_macros文件中

type_transition

type_transition source_type target_type : class default_type

当主体进程域source_type 对target_type 类型的客体进行class 定义的操作时,主体或者客体会切换到default_type。意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。
比如:

type_transition vold storage_file:dir storage_stub_file;

vold进程在对打了storage_file标签的目录中创建一个文件,子文件的上下文应该变成storage_stub_file标签,而不是继承父目录的上下文

domain_trans
domain_trans(olddomain, target_type, newdomain)

允许在olddomain 操作target_type 时,从olddomain 到newdomain 转化规则。主要针对进程上下文的转换。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限

domain_auto_trans
是type_transition和domain_trans的结合,可以使用该宏,将上下文转换过去

define(`domain_auto_trans', `
domain_trans($1,$2,$3)
type_transition $1 $2:process $3;
')

示例:

domain_auto_trans(adbd, shell_exec, shell)

允许adbd进程,在执行shell_exec上下文的可执行程序时,自动切换到shell进程上下文

init_daemon_domain

init_daemon_domain(domain)
等同于domain_auto_trans

define(`init_daemon_domain', `
domain_auto_trans(init, $1_exec, $1)
')

我们自定义init进程启动的服务时,需要加上这个来切换进程的上下文。注意第二个参数,该服务的bin程序的安全上下文要配置成固定的。如:

type adbd, domain;
type adbd_exec, exec_type, file_type, system_file_type;
init_daemon_domain(adbd)

init 启动 adbd_exec程序时,启动的进程允许配置成adbd上下文

file_type_trans
file_type_trans(domain, dir_type, file_type)

申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。注意该宏只是申请切换的权限。

define(`file_type_trans', `
allow $1 $2:dir ra_dir_perms;
allow $1 $3:notdevfile_class_set create_file_perms;
allow $1 $3:dir create_dir_perms;
')

file_type_auto_trans
file_type_auto_trans(domain, dir_type, file_type)
相当于domain_auto_trans。除了申请权限外,还会执行真正的切换。

define(`file_type_auto_trans', `
# Allow the necessary permissions.
file_type_trans($1, $2, $3)
# Make the transition occur by default.
type_transition $1 $2:dir $3;
type_transition $1 $2:notdevfile_class_set $3;
')

r_dir_file

define(`r_dir_file', `
allow $1 $2:dir r_dir_perms;
allow $1 $2:{ file lnk_file } r_file_perms;
')

r_dir_file(domain, type)
允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限
其中r_dir_perms和r_file_perms的定义在global_macros文件中

define(`r_dir_perms', `{ open getattr read search ioctl lock watch watch_reads }')
define(`r_file_perms', `{ getattr open read ioctl lock map watch watch_reads }')

net_domain

#####################################
# net_domain(domain)
# Allow a base set of permissions required for network access.
define(`net_domain', `
typeattribute $1 netdomain;
')

domain继承netdomain,为domain定义访问网络所需的基本权限

set_prop

#####################################
# set_prop(sourcedomain, targetproperty)
# Allows source domain to set the
# targetproperty.
#
define(`set_prop', `
unix_socket_connect($1, property, init)
allow $1 $2:property_service set;
get_prop($1, $2)
')

允许sourcedomain对targetproperty系统属性具有set的权限

get_prop

#####################################
# get_prop(sourcedomain, targetproperty)
# Allows source domain to read the
# targetproperty.
#
define(`get_prop', `
allow $1 $2:file { getattr open read map };
')

允许sourcedomain对targetproperty系统属性具有get的权限

Kbattery
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
导致SELinux警告的四个常见原因
01-09
本文主要介绍下四个导致 SELinux 警告产生的原因以及解决方案。  原因一:出现标注错误  SELinux 的核心概念是标注,无论是文件系统、目录、文件、文件启动描述符、端口、消息接口还是网络接口,所有的一切都...
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
SeLinux android
aige1234的博客
02-17 263
转载:http://blog.csdn.net/innost/article...
Android安全策略SELinux
qq_27672101的博客
08-01 9581
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Selinux详解
xxdw1992的博客
10-21 9341
一.介绍 1.1百度百科 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。 SELinux 是 2.6 版本的 Linux内核中提.
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
SELinux 入门详解
01-09
这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。 如果你在之前的 Linux 生涯中都禁用或...
selinux 基础介绍
11-01
介绍基础的selinux背景、策略规则等
SELINUX工作原理详解
09-14
主要介绍了SELINUX工作原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Android 11 裁剪系统显示区域(适配异形屏)
ansondroider的博客
04-27 808
在显示技术中,"OverScan"(超扫描)是一种调整显示图像边界的技术。通常情况下,OverScan 会在显示屏的边缘周围裁剪一小部分图像。这种裁剪是为了确保显示内容在屏幕上的完整可见性,尤其是在老式电视或投影仪等设备上,可能存在图像边缘出现失真或过多噪点的问题。OverScan 通过裁剪图像边缘,可以隐藏显示器边缘的任何不完美之处,例如边缘上的噪点、失真或黑边。这有助于确保图像在屏幕上的边缘部分看起来整洁且不受干扰,提供更好的观看体验。
AndroidStudio中虚拟机(AVD)无法启动,出现unable to locate adb错误
qq_58156721的博客
04-24 425
手机连上电脑 ——> 打开开发者模式,开启usb调试——>驱动管理类软件(360驱动大师/驱动人生/驱动精灵)检测可安装的驱动——>根据手机安装对应驱动,问题解决。首先通过File-Project Structure-Project SDK检查SDK有没有被选中。1.检查Android SDK Platform-Tools是否安装(个人是通过这个方法解决的)步骤:打开file -> settings ,搜索SDK。之后点击"-",在点击Apply进行安装。3.端口被占用(概率极小)2.可能是驱动的问题。
如何使用PHP进行图片处理?
Xs_layla的博客
04-26 474
如何使用PHP进行图片处理?使用PHP进行图片处理是一项强大的功能,它可以让你在服务器端对图像进行各种操作,如裁剪、缩放、添加水印、调整颜色等。这通常通过使用GD库或Imagick扩展来实现。下面将详细介绍如何使用PHP和这两个工具进行图片处理。
动手写一个简单的Android 表格控件支持固定列
WeiPR的博客
04-30 555
自己动手写一个支持固定列、滚动的简单易用Android表格控件
Android使用ProtoBuf 适配 gradle7.5 gradle8.0
wsdxho的博客
04-26 687
android 配置 protobuf插件 (gradle7.5 gradle8.0 适配)
android layout 的文件夹可以创建子文件夹吗
xie__jin__cheng的博客
04-27 217
Android Studio中,你可以通过在layout文件夹下直接创建子文件夹的方式来实现。但需要注意的是,直接创建子文件夹后,Android可能无法识别这些子文件夹为资源文件夹。为了让Android能够识别这些子文件夹作为资源文件夹,你需要在项目的。android layout 的文件夹可以创建子文件夹吗?因为layout文件夹中的文件一多管理起来就很麻烦,如果可以分类管理起来就会轻松许多。通过以上步骤,你就可以在Android layout的文件夹中创建并使用子文件夹了。文件中进行相应的配置。
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
最新发布
qq_43670077的博客
04-30 221
Android 学习 鸿蒙HarmonyOS 4.0 第七章(TS中的类和对象,类继承)
第11章 Android特色开发——基于位置的服务
Roderick888888的博客
04-25 1290
基于位置的服务简称LBS,其实它本身并不是什么时髦的技术,主要的工作原理就是利用无线电通讯网络或GPS等定位方式来确定出移动设备所在的位置,而这种定位技术早在很多年前就已经出现了。在过去移动设备的功能极其有限,即使定位到了设备所在的位置,也就仅仅只是定位到了而已,我们并不能在位置的基础上进行一些其他的操作。而现在就大大不同了,有了Android系统作为载体,可以利用定位出的位置进行许多丰富多彩的操作。
Android IPC | Android多进程模式
Dev Blog
04-24 906
Android系统会为每个应用分配一定的内存,但是有些功能十分消耗内存,比如查看图片这种功能,这时为了防止该功能导致应用内存过多导致OOM,可以把该功能单独拎出来,在单独进程中进行,这样就可以获取双份内存,突破了单一应用的内存限制。关于Android的进程间通信(即IPC)有很多种方式,比如我们常用的AIDL、Socket等,而其中最重要而且最需要掌握的就是AIDL的使用和原理,简单来说它是通过Binder实现的。
selinux chon
07-06
管理员需要逐步了解 SELinux 的工作原理和常见SELinux 策略配置,以便找到正确的设置并修复权限问题。 总之,SELinux 是一个重要的安全增强工具,可以为 Linux 系统提供额外的保护机制,提高系统的安全性和稳定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值