SELinux_Treble学习记录

最新推荐文章于 2024-05-15 15:00:32 发布
最新推荐文章于 2024-05-15 15:00:32 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: andorid 开发 文章标签: android selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34930451/article/details/121588049
版权

SELinux_Treble学习记录

参考文档:https://source.android.google.cn/security/selinux/images/SELinux_Treble.pdf

android-8.0在android框架上有了大的改动,引入了Treble元素,旨在让制造商以更低的成本更轻松、更快速地将设备更新到新版 Android 系统。其中一点就是SELinux的改动。

SELinux是一个用于控制路径、设备、文件、进程、socket的读写权限标签系统,这个标签也被称为context。

android-4.4至android7.0将全部的SELinux策略(platform 和 non-platform)build到了root目录下的一个文件中,这样一来每当有policy改动时SoC vendor和ODM partners就不得不改动boot.img(non-A/B devices)或system.img(A/B devices)。可想而知引起的改动之大。

android-8.0后实现了策略模块化,vendors和partners只需要改动涉及他们对应的分区内容。

android 设备的分区

在这里插入图片描述

分区归属说明是否必须
bootloader.imgODM用于启动kernelY
odm.imgODM包含设备特定代码和配置N
boot.imgandroid platform(kernel/ramdisk)包含linux kernel + android pacthesY
recovery.imgandroid platform刷机N
system.imgandroid platform包含多数android frameworkY
verdor.imgSOC Vendor包含 SoC特定代码和配置N
radioSOC Vendor包含专有调制N
oem.imgOEM包含DEM和运营商先关配置N

主要路径:

一、SElinux的toybox命令行

@ /external/toybox/toys/android/

设置当前 SELinux 模式:

@ /external/toybox/toys/android/setenforce.c
命令:setenforce 0,或者 setenforce permissive,设置为宽容模式。
命令:setenforce 1,或者 setenforce enforcing,设置为强制模式。
注意,前提是selinux 是 enable的。

获取当前 SELinux 模式:

@external/toybox/toys/android/getenforce.c
命令:getenforce,会获取到三种状态,Disable,Enforcing,Permissive。

其他命令

getprop、load_policy、log、restorecon、runcon、sendevent、setprop、start等。

二、selinux的配套命令行工具实现

@ external/selinux,
1)toybox命令调用的具体实现,@external/selinux/libselinux/
2)检测(chkcon)和执行(libsepol)二进制安全策略,@external/selinux/libsepol/
3)SELinux编译器,依赖libsepol,@external/selinux/checkpolicy/

三、android SELinux策略配置

@system/sepolicy/,该目录一般不允许修改。
编译后会包含 SELinux 内核安全策略,并涵盖上游 Android 操作系统。
包含:

  1. 上下文描述文件(xxx_contexts),为对象指定标签。
  2. 策略文件(*.te),用于定义域(domain)及其标签(lable)。
  3. Android.bp/.mk,build 逻辑。

四、自定义policy文件

@/device/manufacturer/device-name/sepolicy/
新增policy时需要在device目录下目录,然后注意修改/device/manufacturer/device-name/BoardConfig.mk以引用 sepolicy 子目录和每个新的policy文件。

内核中启用 SELinux

CONFIG_SECURITY_SELINUX=y

Yjqseaky
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android Treble 计划技术文档
omnispace的博客
01-26 735
Android TrebleAndroid O (8.0) 开始推广的一个新架构, 目的在于解决android的碎片化的问题。 这篇博文主要收集了网络上对于Treble 计划及其相关技术的分析。 Android HIDL 官方文档(一)—— 概述(Overview)Android HIDL 官方文档(二)—— 接口与包(Interfaces & Packages)Android
SELinux for Android 8.0_中文版.doc (Android8.0 sepolicy权限新特性,权限配置指导)
04-16
SELinux for Android 8.0_中文版.doc (Android8.0 sepolicy权限新特性,权限配置指导)
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性)
02-05
Android8.0 sepolicy权限新特性介绍,sepolicy权限再Android8.0上面新的变化
汽车EE架构
最新发布
汽车以太网和SOA
05-15 9555
汽车EE架构
selinux_internal.rar_SELinux_The First
09-14
6. **审计系统**:SELinux通过审计子系统记录所有的安全决策,帮助管理员监控系统行为并调试策略问题。 7. **进程类型(Process Types)**:每个进程都有一个关联的进程类型,限制了该进程可以执行的操作。 8. **...
selinux-example_SELinux_
09-28
3. **审计日志**:SELinux的审计子系统记录所有违反策略的尝试,方便分析和调试。 4. **工具集**:包括`semanage`用于管理策略,`audit2why`和`audit2allow`帮助分析审计日志并创建修复策略,以及`chcon`和`...
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
**六、学习资源** "The SELinux Notebook 4th Edition"是一个深入了解SELinux的好资源。它可能涵盖了从基本概念到高级策略配置的所有内容,包括如何解决日常遇到的问题。通过阅读这本书,用户可以更好地理解和管理...
Android O 8.0 selinux特性 Google介绍文档
12-26
Android O 8.0 selinux特性 Google介绍文档,帮助学习最新selinux规则
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 1326
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
android_vendor_toybox:Android Toybox 集成与测试
06-21
让测试 Toybox 不是 5 小时的事情 这个 repo 包含构建系统扩展来创建一个最小的 Android 目标“图像”,它可以使用标准 qemu 系统运行 入门 - 在 HOST_ARCH == TARGET_ARCH 时测试仿生玩具箱 回购初始化 --depth 1 -u 回购同步 --current-branch 源构建/envsetup.sh 午餐 aosp_x86_64-eng make -j16 toybox-test 须藤 ln -s $ANDROID_PRODUCT_OUT/system /system /系统/垃圾箱/玩具箱 内容 ./build/core/definitions.mk 覆盖标准构建系统变量以使用我们预构建版本的所需主机工具并关闭主机端编译 ./build/tasks/toybox.mk 添加 toybox-test 目标配方。 ./root
SELinux for Android 8.0 中文版
05-04
Android4.4到Android7.0,SELinux策略的构建流程是将所有的策略(平台和非平台)合并在一起,最后将合并生成的文件统一放在root目录下(即boot.img)。但这种方式有悖于Android 8.0的预定设计目标;Android8.0设计的初衷是允许合作方可以独立的更新他们自有的策略,即在Android8.0之后Google允许合作方将自有的策略部分与系统原有的进行分离,如合作方可以将自有的部分解耦到vendor.img分区中,在需要更新的情况下只需更新vendor部分即可实现
ToyBox:玩具箱是一个有趣的应用,秉承了“技巧包”和“欺诈菜单”的精神,但重点有所不同。它提供了一种强大而便捷的方式来编辑统计数据,搜索并添加专长,功能,物品等。此外,它还基于通常禁用的控制台作弊命令提供了一些罐头作弊
03-18
ToyBox:玩具箱是一个有趣的应用,秉承了“技巧包”和“欺诈菜单”的精神,但重点有所不同。它提供了一种强大而便捷的方式来编辑统计数据,搜索并添加专长,功能,物品等。此外,它还基于通常禁用的控制台作弊命令提供了一些罐头作弊
不同shell,功能有差异
cassie_huang的博客
06-21 1076
昨天碰到的问题中,发现在手机中有个脚本中的一段没有生效,并且没有看到权限方面的错误。因此感到万分疑惑。最终在老大的指导下,才发现了问题所在。老大就是老大呀。还要多多向他学习。1. 发现问题MemTotalStr=`cat /proc/meminfo | grep MemTotal`通过在手机中直接运行脚本,并且逐步echo一些log,最终发现是上面的这行有问题,MemTotalStr的值是空的。并...
SELinux】vendor_file_contexts没有被编译到vendor/etc/selinux/路径下
努力创作有价值的文章
03-05 3756
Android P版本使用了vendor分区,在使能SELinux情况下vendor_file_contexts没有被编译到${OUT}/vendor/etc/selinux路径下,而被编译到${OUT}/root/路径下。 根据source code中system/sepolicy/Android.mk文件中如下代码: LOCAL_MODULE := vendor_file_context...
Android 12 S 系统开机流程分析 - SetupSelinux(二)
weixin_41028555的博客
11-08 619
本文接着上文开始讲解,上文中最后一步执行后会执行init启动过程中的第二步SetupSelinux(Selinux配置阶段),这样又会走到main.cpp中的main方法。
selinux_check_access
06-01
`selinux_check_access`是一个SELinux安全模块提供的函数,用于检查一个进程是否被允许访问指定的资源。它的函数原型为: ``` int selinux_check_access(const char *scon, const char *tcon, const char *tclass, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值