SEAndroid原理

最新推荐文章于 2023-07-19 09:15:04 发布
最新推荐文章于 2023-07-19 09:15:04 发布
阅读量2.8k 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liushaohua2002/article/details/123410133
版权

Selinux作用框架

上图摘抄网络

Google原生策略 system/sepolicy

客制化的策略 BOARD_SEPOLICY_DIRS += device/manufacturer/device-name/sepolicy

Android 8.0 之后

  • system/sepolicy/public 平台共有策略的全部定义
  • system/sepolicy/private 平台私有规则,不会向vendor部分暴露。
  • system/sepolicy/vendor 厂商规则,可引用public的规则,不能引用private的规则
  • device/manufacturer/device-name/sepolicy 厂商自定义的规则,包括如上的vendor部分

常见SE权限问题解决:

问题:通常发生SE 后会有如下log输出

 avc: denied { call } for scontext=u:r:shell:s0 tcontext=u:r:hal_hello_default:s0 tclass=binder permissive=1

解决思路及方法:
缺少什么权限:call
源:shell
目标:hal_hello_default
文件类别:binder

在源的te规则中添加相应allow规则

system/sepolicy/public/domain.te定义的neverallow规则 不能修改因为会导致CTS测试失败

IT---man
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android sepolicy 打包生成,构建 SELinux 政策
weixin_29045585的博客
05-28 882
本文介绍了如何构建 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行构建。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策构建流程合并了所有 sepolicy Fragment,然后在根目录中生成了整体文件。这意味着 SoC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/...
Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录
ldswfun的专栏
06-28 1437
本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录和文件,以及编译规则
Android9 Sepolicy规则基础 - MTK平台
技海淘金
02-29 4919
1. SELinux的基础原则 默认拒绝原则 - 任何未经明确允许的行为都会被拒绝(即:白名单制) 2. SELinux的两种执行模式 宽容模式 - 权限拒绝事件会被记录下来,但不会被强制执行。(权限不够时,仅警告) 强制模式 - 权限拒绝事件会被记录下来并强制执行。(权限不够时,拒绝执行) 3. SELinux在安卓平台上的演变 低于安卓4.3 - 默认不支持SELinu...
android8 .te文件,te文件
weixin_42474537的博客
05-28 2226
模块中定义的sepolicy策略文件目录如下加入到系统编译中:在BoardConfig.mk中找BOARD_SEPOLICY_DIRS,将你的sepolicy目录加到这个变量中,如下所示:BOARD_SEPOLICY_DIRS := \device/fsl/imx8/sepolicy \packages/services/Car/evs/sepolicy \device/fsl/mek_8q/se...
selinux-sepolicy配置
卓越之路
01-21 5330
一、概念 1. 运行模式 Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissivedomain。 语法格式 Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:m...
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 6701
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
深入理解SELinux SEAndroid.docx
04-17
Android系统中,Google引入了SEAndroidSecurity-Enhanced Android),这是针对Android平台定制的SELinux实现。从Android 4.4版本开始,SEAndroid成为了Android系统的核心安全组件。SEAndroidAndroid上的应用不...
SEAndroid问题快速分析
12-17
快速定位、分析和解决Android系统SELinux相关的权限问题。
Understand SEAndroid
06-27
It's talking about the policy and labeling of SEAndroid. Current implementation is under Android-4.0.4.....
Android R(11)HIDL服务的sepolicy(五)
flagstaff's blogs
01-03 2366
  在Android安全组件中,除了使用传统DAC(Discretionary Access Control)的方式来保护系统文件。但在版本4.4及以后还引入并开启了MAC(Mandatory Access Control)安全框架,使用DAC+MAC组合的方式来保护系统文件及可执行程序的安全。其中被Android所采用的MAC保护框架为SELinux(Security-Enhanced Linux)。 1.Security-Enhanced Linux in Android   开启了MAC框架后,即使是
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性)
02-05
Android8.0 sepolicy权限新特性介绍,sepolicy权限再Android8.0上面新的变化
android sepolicy 最新小结
流水mpc
04-13 789
两种模式 SELinux initialization 标签、规则和域 实现 SELinux neverallow 规则 编译sepolicy Source files Platform public sepolicy Platform private sepolicy Platform private mapping sepolicy兼容性 Object ownership and labeli...
Android SELinux avc denied解决
wuzoujing的专栏
04-26 7255
参考:Android SELinux avc dennied权限问题解决方法 解决原则:缺什么权限补什么,直到没有avc denied为止。 解决方法:在对应的.te中增加allow语句。 格式一般如下: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 t...
Android Selinux 问题处理笔记
最新发布
上周的博客
07-19 1254
对于AndroidSelinux,处理Selinux问题,如果只是解决权限问题,不需要去理解那么多理论,按下面模板处理即可。但请注意,在enforce模式下,报错是不会有打印产生的,所以先要将selinux设置为Permissive才行。
selinux权限调试
python_bigniu的博客
09-05 1052
Android 中启动一个新的进程的时候,需要添加相关权限,否则进程无法启动。 以最近添加的BT/WIFI功能进程为例,解决步骤如下: 一、首先设置为permissive模式再启动进程 1.adb shell setenforce 0 设置为宽容模式 logcat -c 清零logcat 里的log 2.使用QCOM启动相关进程后,再使用QRCT进行进程的通信测试 二、抓取log搜索相关关键字 1.logcat | grep ftmdaemon (也可以使用dmesg | grep ftmdaemo
Android Selinux
卓越之路
07-10 1077
Sepolicy在调试阶段真心很烦,有时因为一个sepolicy就导致结果与预期不一样。 1. Sepolicy规则 Sepolicy 规则 allow sourcecontext targetcontext:class {} sourcecontext: scontext targetcontext: tcontext class: tclass Sepolicy 文件存放的位置 AOSP 7.1 system/sepolicy/ OEM产商一般会有overlay, 如Nvidia de.
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
SEAndroid问题解决
Invoker123的博客
09-29 2098
Android从4.4版本引入SEAndroid,SEAndroid是一套基于SELinux做的系统安全机制。SEAndroid有三种模式:Enforcing,Permissive,Disabled。Enforcing状态下,所有违反SEAndroid策略的操作都会被禁止执行并显示警告信息,Permissive状态下所有违反SEAndroid策略的操作不会被禁止执行,但会显示警告信息,Disabl
SEAndroidAndroid安全进阶之钥
Android 4.4及后续版本中,了解并掌握SEAndroid的工作原理和配置方法对于高级开发者来说是至关重要的,这可以帮助他们优化应用程序的安全性,提高系统的整体安全性。 学习关于SELinux的背景知识,包括DAC和MAC的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值