Android Selinux

最新推荐文章于 2023-11-18 15:41:41 发布
最新推荐文章于 2023-11-18 15:41:41 发布
阅读量1k 收藏
点赞数
分类专栏: Android系统开发 文章标签: selinux
原文链接:https://www.jianshu.com/p/85f732c89b06
版权

Sepolicy在调试阶段真心很烦,有时因为一个sepolicy就导致结果与预期不一样。

1. Sepolicy规则

Sepolicy 规则

allow sourcecontext targetcontext:class {}
  • sourcecontext: scontext
  • targetcontext: tcontext
  • class: tclass

Sepolicy 文件存放的位置

  • AOSP 7.1 system/sepolicy/

  • OEM产商一般会有overlay, 如Nvidia

    device/nvidia/common/sepolicy_n/

2. 临时disable
adb shell setenforce 0
# 设置SELinux 成为permissive模式(SELinux开启,但对违反selinux规则的行为只记录,不会阻止)

adb shell setenforce 1
#设置SELinux 成为enforcing模式 (SELinux开启)

可以通过 getenforce 来获得当前系统 selinux 的状态

如果是

  • Enforcing enabled
  • Permissive disabled

缺点: adb reboot后系统恢复成原来的状态

3. 在代码中永久关闭 selinux

代码文件 system/core/init/init.cpp

找到函数 selinux_initialize

static void selinux_initialize(bool in_kernel_domain) {                                                                                                               
    bool is_enforcing = selinux_is_enforcing();
}

bool is_enforcing = selinux_is_enforcing(); 改为

bool is_enforcing = false; //selinux_is_enforcing(); 即可,

这样即使系统重启也会被永久disabled掉了

注意: 编译出来的 init可执行文件是在设备的根目录下,而不是/system/bin/下,且init 会被打包进 boot.img, 而非 system.img.

4. Selinux规则

4.1 binder_call

05-16 12:41:23.390 W/BootAnimation(  114): type=1400 audit(0.0:6): avc: denied { call } for
scontext=u:r:bootanim:s0 tcontext=u:r:mediaserver:s0 tclass=binder permissive=0

需要在bootanim.te里加入binder_call(bootanim, mediaserver)

4.2 allow

avc:  denied  { find } for service=media.audio_flinger pid=665 uid=1003
scontext=u:r:bootanim:s0 tcontext=u:object_r:audioserver_service:s0 tclass=service_manager permissive=0

需要在bootanim.te中加入

allow bootanim audioserver_service:service_manager find
5.证修改成功

通过编译后可以在 out/debug/target/product/xxx/root目录下找到file_contexts.bin

最后通过工具 sefcontext将file_contexts.bin 转换成 file_context

sefcontext file_contexts.bin -o file_contexts

也可通过 sefcontext_compile来打包

sefcontext_compile file_contexts
binn_chern
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AndroidSELinux详解
achirandliu的专栏
06-07 893
AndroidSELinux详解
Android下的Linux
JackChan
02-19 2337
Android目录结构 dataapp:用户安装的应用 data:应用的专属文件夹 system:系统的配置信息,注册表文件 anr:anr异常的记录信息 dev:devices的缩写存放设备所对应的文件 mnt:mount的缩写挂载在系统上的设备:sdcard,u盘 proc:硬件配置,状态信息cpuinfo、meminfo sbin:system bin系统重要的二进制执行文件 adbd:服务器
SEAndroid原理
liushaohua2002的博客
03-11 2814
常见SE权限问题解决: 问题:通常发生SE 后会有如下log输出 avc: denied { call } for scontext=u:r:shell:s0 tcontext=u:r:hal_hello_default:s0 tclass=binder permissive=1 解决思路及方法: 缺少什么权限:call 源:shell 目标:hal_hello_default 文件类别:binder 在源的te规则中添加相应allow规则 编译make selinux_policy...
Android Selinux Binder 权限
xikangsoon的博客
01-05 726
.te文件 allow _app hal_d_default:binder { call transfer };
selinux
qq_37610155的博客
05-04 354
1. Add new service started by init ▪情景: 定义一个init 启动的service, demo_service, 对应的执行档是/system/bin/demo. ▪(1). 创建一个demo.te 在/device/mediatke/common/sepolicy 目录下, 然后在/device/mediatke/common/BoardConfig....
Selinux权限配置详解
秦逸轩的博客
07-15 1616
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
Android Binder机制(一)
p413768973的博客
02-11 450
binder是一种进程间通信机制,采用C/S机制,框架如下: 一:Client 1.open驱动2.获取服务(a.向servicemanager查询服务 b.获得一个handle)3.向handle发送数据 二:servicemanager 1.open驱动,告诉驱动我是servicemanager 2.while{ 读取驱动数据 ...
第五章:Binder系统(1)-C程序示例_框架分析
江南才尽江南山,年少无知年少狂!
02-18 966
这一章节我们讲解android中的Binder系统,该章节是一个比较难理解的章节,不过没关系,我们可以慢慢的学习。 在Binder系统中,有两大核心,分别为IPC(Information Processing Center:信息处理中心,进程间的通信)与RPC(远程过程控制调用)。 IPC:进程间的通信,远程调用,比如我们的A进程需要打开LED灯,调用led_open/led_ctl方法,但是他是......
Android】hwbinderselinux配置
lin_ff的博客
12-29 3348
1、android\o-base\vendor\xxx\attributes 添加 attribute hal_tv_xxx; attribute hal_tv_xxx_client; attribute hal_tv_skyworth_server; 2、android\o-base\vendor\xxx\hwservice_contexts vendor.xxx.hardware.e...
Android的从Linux启动
csuhanyong的专栏
10-27 689
<br /><br />Android的从Linux启动主要分为四个过程:<br />1、  init进程的启动;<br />2、  native进程启动;<br />3、  system service,android服务启动;<br />4、  Home的启动<br />如图:<br /> <br /><br />    Init属于用户级进程,在内核启动(载入内存,初始化所有设备驱动和数据结构)结束后运行,接着根据init.rc和init.XXX.rc脚本文件建立servicemanager以及zyg
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
Android SELinux Allow可视化生成工具
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell...
SELinux for Android 8.0
12-10
This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip ...
Android不同版本SELinux的介绍
01-01
**Android SELinux 知识详解** 安全增强型Linux(SELinux)是一种强制访问控制机制,最初由美国国家安全局(NSA)开发,旨在提高Linux系统的安全性。在Android系统中,SELinux扮演着至关重要的角色,它限制了应用...
Android跨进程通信,IPC,RPC,Binder系统,C语言应用层调用
最新发布
weixin_46039528的博客
11-18 1553
RPC,远程调用,a进程想打开led,点亮led,调用led_open函数,通过IPC发送数据给b进程,b取出数据,然后调用b进程的led_open函数,看似a进程来直接操作led_open函数一样,实际上是a发送数据给b,b操作硬件。b进程服务端程序要先向servicemanager注册服务,a进程查询led_服务,得到一个handle,指向进程b。在头文件中定义,句柄是0,进程间通信,0就是servicemanager进程,IPC,进程间通信,a进程发送数据给b进程,就是跨进程通信。
Android Selinux 单编后,快速验证
kanyou222的专栏
12-21 5075
sepolicy修改后 快速验证 编译: makeselinux_policy-j8 // vendor 和system 都修改了 makeselinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vendor_sepolicy.cil ...
Android Selinux 开启关闭以及修改策略配置文件
Venus 的博客
12-15 5597
1. 禁止selinux 1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX 1.2 还可以在system.prop中定义ro.boot.selinux=disable 这两种方法都可以禁用selinux,也可以设置成ro.boot.selinux=permissive 宽容模式 1.3 可以通过setenforce 1 开启enforce模式,setenforce 0 为permissive模式 getenforce获取当前模式 2. 所有安全策略最...
Android】关于binder_calls_stats服务
aaajj的专栏
08-30 972
Android中的Binder Call Stats(Binder调用统计)是一项用于监控和记录Android系统中Binder通信的统计信息的功能。要收集Binder Call Stats,开发人员可以使用Android系统提供的工具和API,例如使用adb shell命令进行监测,或者使用Trace类和Debug类提供的方法进行手动埋点和记录统计数据。Binder调用的进程和线程信息:记录Binder调用发生的进程和线程信息,有助于分析系统中不同组件之间的通信情况。
Android Selinux 实战
android_sniper的专栏
09-25 1170
说明:以下内容为网上收集的资料,这里把有用的干货收集起来,去掉冗长的selinux一般性知识,只留下精华。 SELINUX 入门 1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权
android selinux
07-28
Android SELinux(Security-Enhanced Linux)是一种强化了安全性的Linux内核安全模块,用于保护Android设备免受恶意软件和未经授权的访问。SELinux通过强制访问控制(MAC)机制对进程、文件和设备进行访问控制,提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值