selinux

最新推荐文章于 2023-02-18 23:44:56 发布
最新推荐文章于 2023-02-18 23:44:56 发布
阅读量311 收藏 2
点赞数
分类专栏: Android系统开发 文章标签: selinux 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcsbary/article/details/88685508
版权

selinux相关命令

// 0--代表Permissive
// 1--代表Enforcing
setenforce 0

// 查看selinux开关状态
getenforce

// 查看进程的sContext
ps -Z

// 查看文件权限
ls -Z

如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题

抓取SELinux Log

  • adb shell dmesg
    抓kernel log,使用命令:
adb shell "cat /proc/kmsg | grep avc" > avc_log.txt

可以直接提出avc的log

  • adb logcat –b events
    搜索关键字:avc: denied

selinux源码及内容

selinux权限在一些contexts及te文件中配置

contexts文件

contexts是权限的上下文,有如下contexts

file_contexts //系统中所有file_contexts安全上下文
seapp_contexts //app安全上下文
property_contexts //属性的安全上下文
service_contexts    //service文件安全上下文
genfs_contexts //虚拟文件系统安全上下文

service_contexts定义

oem_lock                                  u:object_r:oem_lock_service:s0

seapp_contexts有些不同,单独说明。列说明如下:

  • oem_lock:系统中具体资源,如服务名、设备名、文件目录等
  • u: selinux中唯一的用户
  • object_r:描述资源类型。r为进程资源,object_r非进程资源
  • oem_lock_service:资源在权限规则中所属代表
  • s0:selinux中权限级别,一般使用s0

te文件

te文件定义权限规则,不同资源可以定义各自的te文件
在这里插入图片描述
te文件内容,示例

allow priv_app surfaceflinger_service:service_manager find;
allow priv_app app_api_service:service_manager find;
allow priv_app system_api_service:service_manager find;
allow priv_app persistent_data_block_service:service_manager find;

te文件内容的语法规则

rule_name  source_type  target_type : class perm_set

rule_name:赋予权限的规则,包含allow、dontaudit、auditallow、neverallow,命令不可以随意添加。
source_type:访问target_type的主体或主体集合(域),可自定义
target_type:接受主体访问的客体或客体集合(域),可自定义
class:客体资源类型,不同的资源类型具有不同访问权限,可自定义、可继承
perm_set:客体予以主体的权限说明。是class中具有的权限的子集

source_type、target_type使用type、typeattribute、attribute定义。
attribute定义一个代表具有某种相中属性的集合(即域)。

attribute dev_type;

type定义代表一个或一类资源类型,并分配至不同属性(域)中。

# 定义一个类型,属于dev_type属性
type ttyMT_device, dev_type;

以上定义可以拆分为两部分

# 仅定义一个类型
type ttyMT_device;
# 仅把ttyMT_device类型关联到dev_type属性
typeattribute ttyMT_device dev_type;

属性间使用逗号,一个类型可以关联至多个属性

type oem_lock_service, system_api_service, system_server_service, service_manager_type;

class字段使用comm和class定义,comm定义的class可以被class定义的对象继承。

common file {
	ioctl read write create getattr setattr lock relabelfrom relabelto
	append unlink link rename execute swapon quotaon mounton
}

class类型继承comm类型

class dir
inherits file
{
	add_name
	remove_name
	reparent
	search
	rmdir
	open
	audit_access
	execmod
}

contexts和te文件间的关系

以oem_lock为例,如下图:

// frameworks\base\core\java\android\content\Context.java
    /**
     * Use with {@link #getSystemService} to retrieve a {@link
     * android.service.oemlock.OemLockManager} instance for managing the OEM lock.
     *
     * @see #getSystemService
     * @see android.service.oemlock.OemLockManager
     * @hide
     */
    @SystemApi
    public static final String OEM_LOCK_SERVICE = "oem_lock";
在这里插入代码片

定义oem_lock权限:
涉及文件

---- oem_lock_service Matches (3 in 3 files) ----
priv_app.te (F:\Android\source_code\android-8.0.0_r1\system\sepolicy\private) line 34 : allow priv_app oem_lock_service:service_manager find;
service.te (F:\Android\source_code\android-8.0.0_r1\system\sepolicy\public) line 100 : type oem_lock_service, system_api_service, system_server_service, service_manager_type;
service_contexts (F:\Android\source_code\android-8.0.0_r1\system\sepolicy\private) line 108 : oem_lock

service_contexts定义

oem_lock                                  u:object_r:oem_lock_service:s0

service.te中定义

type oem_lock_service, system_api_service, system_server_service, service_manager_type;

priv_app.te中定义

allow priv_app oem_lock_service:service_manager find;
binn_chern
关注
专栏目录
selinux开关
weixin_33739541的博客
01-10 92
状态查看 /usr/sbin/sestatus -v   临时打开 setenforce 1 #设置SELinux 成为enforcing模式   临时关闭 setenforce 0 #设置SELinux 成为permissive模式   彻底禁用 #/etc/sysconfig/selinux selinux=disabled     ...
杂记-selinux开关
m0_64496909的博客
06-12 289
selinx开关
linux/centos6 查看SELinux状态 关闭SELinux
weixin_33719619的博客
09-17 834
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。在这种访问控制体系的限制下,进程只能访问那些在他的任务所需要文件SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上。虽然SELinux很好用,但是在多数...
开启或关闭SELinux
weixin_66060122的博客
10-18 3566
解决nginx转发请求异常的解决办法failed (13: Permission denied) while connecting to upstream
开启Selinux遇到的坑
小刘的博客
01-25 3374
事故起因: 由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。 开启SELinux 实例上运行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config 找到SE
SELinux手册 电子书 pdf 英文
最新发布
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
关闭selinux(防火墙)方法分享
09-15
**关闭 SELinux (防火墙) 的方法** 在 Linux 系统,特别是 CentOS 发行版,SELinux(Security-Enhanced Linux)是一个强制访问控制安全模块,它为系统提供了额外的安全层。然而,在某些情况下,如开发环境或特定...
se linux安卓,SELinux开关
weixin_36038435的博客
05-13 881
SELinux开关能够自由开启或者关闭你手机当SELinux选项,当然必须要在root的情况之下才能够执行这项功能,如果你深度的研究了安卓或者Linux系统的话,那么你应该知道这款软件或许会让你的手机更加的安全!SELinux开关软件介绍SELinux开关现在是完全安卓的PIE兼容!SELinux Switch应用程序提供了通过易于访问和简单的用户界面将设备SELinux状态切换到允许和执行模...
Linux防火墙和selinux的状态及开关
bulingbulingX的博客
03-17 1590
Linux防火墙和selinux的状态及开关 一、防火墙(firewalld) 查看防火墙的状态 systemctl status firewalld.service 1)打开:Active: active (running) 2)关闭:Active: inactive (dead) 防火墙的开启和关闭 1)临时打开防火墙 systemctl start firewalld.service 2)临时关闭防火墙 systemctl stop firewalld.service 3)防火墙开机启动 sy
LinuxSELinux三种模式的启动、关闭与查看
Thewei666的博客
02-18 4784
我们要知道,并不是所有的进程都会被SELinux管制,所以我们需要知道进程有没有受限(confined)举例来说我们查看一下crond和bash这两个进程是否被限制我们可以看到crond确实是受限的主体进程,而bash因为是本机进程,就是不受限(unconfined_t)的类型。也就是说bash是直接去判断rwx。
Linux——selinux的简介与用法
Treasured ——的博客
11-07 460
一、简介 二、selinux:影响文件的安全上下文 修改上下文的方法: 临时修改: 永久修改: 三、selinux的用法:对进程本身开关的影响sebool值 (1)本地用户上传 (2)匿名用户上传 selinux的排错工具: setroubleshoot-server ...
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 3198
当APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
SELinux/SEAndroid 实例简述(二) TE语言规则
shell812的专栏
02-08 6285
/************************************ Author:刘江明 * Environment:MTK Android 6.0* Date:2016年11月05日***********************************/ 一. 基本语法 很多te文件在\external\sepolicy文件夹下,MTK也有很多自定义的在\
测试某个ttyMT设备是否可用
路漫漫其修远兮,吾将上下而求索
05-23 1185
通过echo 命令直接往/dev/ttyMT0 设备写字符,可以打印出来的话,就说明这个ttyMT*设备可用。例如下图就可以看到/dev/ttyMT0这个设备可用,而/dev/ttyMT1~ /dev/ttyMT3这个设备不可用 ...
linux关机开机命令详解,Linux开关机命令详解(示例代码)
weixin_29516495的博客
05-02 1149
Linux系统的开关机主要涉及(shutdown,reboot,poweroff,halt,init)这几条命令,本文对其使用详解如下:一、命令简介shutdown,poweroff,reboot,halt,init都可以进行关机,大致用法。/sbin/halt [-n] [-w] [-d] [-f] [-i] [-p] [-h]/sbin/reboot [-n] [-w] [-d] [-f] [...
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 9211
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统,Security Enhanced Linux(SELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值