selinux

最新推荐文章于 2021-09-26 16:47:32 发布
最新推荐文章于 2021-09-26 16:47:32 发布
阅读量336 收藏
点赞数
分类专栏: Linux kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/power1952/article/details/49835537
版权

Documentation/Security/SELinux.txt
http://oss.tresys.com/
《selinux详解中文版》

selinux明确指定某个进程可以访问哪些资源(文件、网络端口等)

selinux有两种工作模式,permissive和enforcing。
Android上可通过

adb shell setenforce 1
adb shell setenforce 0

打开或关闭selinux。

selinux的基本规则:
rule_name source_type target_type:class perm_set
为source_type设置一个rule_name的规则,规则规定了对target_type的class进行perm_set操作的权限。

rule_name有以下几种:

  • allow 对指定的操作允许。
  • allowaudit 对指定的操作成功时也做记录
  • dontsudit 对指定的操作不做记录
  • neverallow 不赋予指定的操作权限

soure_type通常是进程。
需要将进程指定一个域,用type命令。
type命令的语法:
type type_id [alias alias_name,] [attribute_id]
声明一个type_id,别名为alias_name,属性为attribute_id。
attribute_id是任意认定的还是在有限的选项中选择 ?
例如给shell进程指定域
type shell domain
之后就可以 allow shell …

target_type
通常是文件(包括设备文件、网络端口等)
target_type需要两个操作,1个是给文件指定一个标签,2是指定type属性。

举一个rndis的例子:
第1步,给文件打标签。 Android系统通常在contexts文件中打标签。
genfscon sysfs xxx/rps_cpus u:object_r:sysfs_rndis:s0
其中的sysfs_rndis就是标签。
第2步,指定类型的属性:
type sysfs_rndis fs_type,sysfs_type
指定了sysfs_rndis的属性。一般放在file.te文件中。
第3步,指定规则
allow init sysfs_rndis:file {open write}

ps -Z 可以查看进程的selinux相关信息。
ls -Z 可以查看文件的selinux相关信息。

Android selinux规则放在 system/sepolicy/
还可以用BOARD_SEPOLICY_DIRS添加各te文件和安全配置文件。

power1952
关注
专栏目录
【Android系统】sysfs节点selinux权限
John_chaos的博客
07-20 1975
device/qcom/sepolicy/vendor/msm8953/file.te +type sysfs_leds, sysfs_type, fs_type; +type sysfs_brightness, sysfs_type, fs_type; device/qcom/sepolicy/vendor/msm8953/file_contexts +/sys/devices/platform/soc/78b7000.i2c/i2c-3/3-005b/leds/aw9106_led u:obj.
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7406
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android 系统SELinux(SEAndroid)
tq501501的博客
06-25 3800
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
Selinux小结
~山之歌~
11-30 1万+
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言    3 1、安全属性——SContext    3 2、TE简介    4 1). 客体类别和许可:    4 2). 访问向量规则:    5 3). AV规则    5 四、SElinux策略文件
SEAndroid策略
移动编程
05-21 630
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Lock SELinux forced mode.zip
07-20
标题“Lock SELinux forced mode.zip”暗示了这个压缩包与Linux系统的安全增强层(Security-Enhanced Linux,简称SELinux)有关,特别是涉及到强制模式(forced mode)的配置。在这个场景下,SELinux是一个内核模块...
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
SELinux中保护进程间通信
最新发布
07-09
### 在SELinux中保护进程间通信 #### 引言 随着现代计算技术的发展,系统安全变得日益重要。其中,强制访问控制(Mandatory Access Control, MAC)机制是实现安全系统的关键组成部分之一。在安全系统设计中,对...
SELinux&SEAndroid简介
区块链技术分析
04-19 2464
文章的主要目的是介绍SELinux及在Android上的规则,让看人看了之后懂得SELinux安全机制是什么,并且知道一些常见的问题怎么入手处理。不涉及它的实现。
深入理解SELinux SEAndroid(第一部分)
热门推荐
Innost的专栏
02-16 13万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
Selinux type 编写示例
Android 系统开发
02-23 3386
以下是从aosp 中,分析如何定义的type 和allow 规则 1.定义type (domain) hal_light 这个type的定义 type hal_light_default, domain; hal_server_domain(hal_light_default, hal_light) aosp/system/sepolicy/vendor/qcom/common/hal_li...
LED节点访问增加selinux权限记录
wangwei6227的博客
01-26 1079
由于工厂测试是直接读写取呼吸灯的文件节点,测试app没有selinux权限去读写该节点,需要增加selinux权限。 该工厂测试模块属于system app,所以对应的要加在system_app.te中 MTK FAQ: https://online.mediatek.com/FAQ#/SW/FAQ11486 https://online.mediatek.com/FAQ#/SW/F...
深入了解SELinux
Winston
11-03 3092
前言: 本篇blog主要从SELinux历史、DAC和MAC、SELinux运行框图(混合模式)、Apache的例子(Legacy and SELinux)、SELinux Mode、SEPolicy文件结构、SELinux Policy语言介绍,这7个方面,让大家对selinux有整体的了解。 一、SELinux历史 SEAndroid是Google在Android 4.4上正式推
记录Android开发中SELINUX权限问题
maowendi的专栏
04-17 1530
记录Android开发中SELINUX权限问题 在安卓开发中,当访问硬件相关的设备文件(led tty等)时,如果没有对文件设置selinux的权限,就有可能报如下错误。 报错 ··· type=1400 audit(0.0:136): avc: denied { search } for name=“leds” dev=“sysfs” ino=16378 scontext=u:r:mm-pp-d...
SELinux/SEAndroid 实例简述(二) TE语言规则
sunnywalden
03-07 4213
一. 基本语法 很多te文件集中在\external\sepolicy文件夹下,MTK也有很多自定义的在\device\mediatek\common\sepolicy。它的最基本样式是       allow factory powerctl_prop:property_service set;allow factory ttyGS_device:chr_file { read
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 2006
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
Android P SElinux权限调试
Kian_G 的博客
04-21 6733
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
理解SELinux与关闭方法
"本文档介绍了SELinux的基本概念,并提供了针对GoodixApk的SEPolicy修改指南,包括如何关闭SELinux的两种方法。" 在Android系统中,Security Enhanced Linux(SELinux)是一种强制访问控制(MAC)策略,它增强了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值