OpenHarmony南向开发 SA服务SELinux权限配置一站式傻瓜式教程

已于 2024-08-09 20:45:23 修改
阅读量432 收藏 8
点赞数 25
分类专栏: 开源鸿蒙 文章标签: harmonyos
于 2024-08-09 20:35:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37059136/article/details/141070516
版权

Selinux权限配置

OpenHarmony中SELinux使用详解

目录

  1. SELinux简介
  2. SELinux概念
  3. SELinux模式
  4. OH中SELinux使用详解
  5. 新增SA服务如何配置SELinux权限

SELinux简介

SELinux是Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统Linux操作系统的安全性,解决传统Linux系统中自主访问控制(DAC)系统中的各种权限问题(如root权限过高等)。这里举一个例子便于理解,假设系统中某个服务进程出现了一个漏洞,使得某个远程用户可以访问系统的敏感文件(如/etc/dev)。如果我们的Linux系统启用了SELinux,而查询SELinux策略得知,这个服务进程并不具备访问敏感文件(/etc/dev)的权限,所以这个远程用户通过这个进程访问敏感文件(/etc/dev)就会被SELinux所阻挡,起到保护Linux系统的作用。

SELinux基本概念

Linux操作系统的安全机制其实就是对两样东西做限制:进程和系统资源(文件、socket等)。linux操作系统是通过用户和组的概念来对我们的系统资源进行限制,每个进程都需要一个用户才能执行。在SELinux当中针对这两样东西定义了两个基本概念:域(domin)和上下文(context)。
我们可以通过ps -Z 命令来查看当前进程的域信息,也就是进程的SELinux信息:
**# ps -Z
LABEL PID TTY TIME CMD
u:r:sh:s0 10466 pts/1 00:00:00 sh
u:r:sh:s0 10468 pts/1 00:00:00 ps

通过ls -Z 命令,我们可以查看文件上下文信息,也就是文件的SELinux信息:
**# ls -Z
u:object_r:system_bin_file:s0 bin
u:object_r:rootfs:s0 chip_prod
u:object_r:vendor_file:s0 chipset
u:object_r:configfs:s0 config
u:object_r:data_file:s0 data
u:object_r:dev_file:s0 dev
u:object_r:system_etc_file:s0 etc
u:object_r:init_exec:s0 init
u:object_r:system_lib_file:s0 lib

SELinux的工作模式

下面通过这个图来说明,SELinux工作流程在这里插入图片描述
可以从图中看出,需要关注的关键信息如下:

  1. 主体(Subject):指主动对其它实体施加动作的实体,例如进程、服务等。
  2. 策略(policy) :权限策略,通过在te文件中配置对应的权限语句实现,权限策略以type或attribute作为执行对象。
  3. 安全上下文(Security Context):实际上就是一个附加在主体或客体上的标签。
  4. 目标(Object):是被动接受其他实体访问的实体,例如文件、系统属性等。

SELinxu工作的核心就是安全上下文。安全上下文是一组和进程或对象有关的安全属性,每一个进程或对象都会记录一条安全上下文,将其作为SELinux判断进程是否能读取对象的依据。安全上下文分为“进程安全上下文”和“文件安全上下文”。一个“进程安全上下文”一般对应多个“文件安全上下文”。
只有两者的安全上下文对应上了,进程才能访问文件。它们的对应关系由策略中的规则决定。
文件安全上下文由文件创建的位置和创建文件的进程所决定。而且系统有一套默认值,用户也可以对默认值进行设定。需要注意的是,单纯的移动文件操作并不会改变文件的安全上下文。
SELinux有3种工作模式:

  1. 【enforcing】强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。
  2. 【permissive】宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。
  3. 【disabled】关闭 SELinux。
    模式之间的临时切换,如需(【disabled】关闭)永久有效,还需要修改配置文件。

**# getenforce // 查看SELinux状态
Enforcing
**# setenforce 0 // 设置SELinux状态为宽容模式
**# getenforce
Permissive
**# setenforce 1 // 设置SELinux状态为强制模式
**# getenforce
Enforcing

OH中SELinux使用详解

SELinux在OH中应用整体来说,功能和以上介绍的使用方法并无太大差别,只是在原生SELinux内核中做了部分驱动和文件系统的适配。目前码云社区上master分支以RK3568为例子做了适配并开启了SELinux,其他型号的设备需要自己做适配。
OpenHarmony SELinux的主代码仓:
https://gitee.com/openharmony/security_selinux_adapter

SELinux结构图:
在这里插入图片描述

SELinux运行视图:
在这里插入图片描述
在OH源码根目录下third_party\selinux是原生的代码;
在base\security\

最低0.47元/天 解锁文章
痕忆丶
关注
  • 25
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 10.0关闭selinux权限
安卓兼职framework和app工程师的博客
06-30 3432
开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限,所以怎么样关闭selinux权限呢 system/core/init/selinux.cpp bool IsEnforcing() { { int fd(open("/mboot/selinux", O_RDONLY | O_CLOEXEC | O_BINARY)); if (fd != -1) { char v = 0x
SeLinux权限配置心得总结
u013357557的专栏
02-20 4778
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
Android Selinux 权限配置
freedom9977的博客
12-31 3915
1.SElinux三种权限: enforcing:强制模式、代表SELinux运行中,且已经正确的开放限制 domain/type。 permissive:宽容模式、代表SELinux运行中,不过金会有警告信息并不会直接限制 domian/type。 disabled:关闭模式、SELinux 关闭状态 2.基础权限配置 比如内核报这样的错: [ 172.554381] type=1400 audit(22611.739:4): avc: denied { getattr } for ...
Android8.1 新增系统自定义服务一 (SELinux权限
热门推荐
kaijiehui
10-27 1万+
           一开始并没有注意到android8.0以后和之前有多大区别,知道最近有需求要求增加一个自定义服务,一直没有生效报avc权限问题 在SystemServer startOthreService中 ServiceManager.addService () 出现了AVC权限SELinux: avc denied {add} for service=gesture pid=...
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 6880
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
SELinux权限
Kian_G 的博客
03-30 5710
SELinux权限 SELinux简介 SELinux是2.6版本Linux内核中提供的强制访问控制系统,selinux默认配置在/etc/sysconfig/selinux。 默认有三种级别 enforcing Linux下 selinux所设置的安全策略都会被启用.所有与selinux安全策略有关的服务或者程序都会被策略阻止.也就是,所有操作都会进行权限检查。 permissi...
节点增加selinux权限
arunboy的博客
02-15 2263
1,修改路径为: Android11_alpha/vendor/XXX/product/mt9615_r/common/device/sepolicy/ 2,修改文件 modified: device.te modified: file_contexts modified: XXXXXXX.te 3,修改内容 device.te里面添加一个标签 type demura_spi_device, dev_type; file_contexts里面添加节点 /dev/spidev0.0
android selinux权限添加
weixin_46027271的博客
01-15 2355
本文基于Android10版本举例介绍selinux的添加方法
配置与管理Samba服务器(详细教程
qq_57282856的博客
04-28 7731
配置与管理Samba服务器(详细教程) 利用samba服务实现linux和linux及windows主机之间进行文件资源的共享 并且模拟企业真实部门情况,对各部门进行权限管理分配
记一次selinux权限添加
chen_yuyunfox的专栏
11-09 3214
selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发中临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。 需求开发需要在system_server进程中调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不适配selinux权限的话会报错导致开不了机。 添加selinux权限的步骤: 1. 查看设备根目录的vendor_property_context.
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
Linux中selinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在...
selinux 权限文档
09-11
SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA开发,已经被集成到2.6版的Linux核心之...
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
鸿蒙AI功能开发【hiai引擎框架-通用文字识别】 基础视觉服务
2301_76813281的博客
08-07 388
本示例展示了使用hiai引擎框架提供的通用文字识别能力。 本示例模拟了在应用里,选择一张图片,识别其文字信息并展示出来(可复制)。 需要使用hiai引擎框架通用文字识别接口@kit.CoreVisionKit.d.ts。
鸿蒙笔记--Socket
ljt2724960661的博客
08-04 361
这一节主要了解鸿蒙Socket通信,在鸿蒙系统中,Socket TCP通讯是一种常用的...
鸿蒙图形开发【3D引擎接口示例】
2301_76813281的博客
08-05 1202
本实例主要介绍3D引擎提供的接口功能。提供了@ohos.graphics.scene中接口的功能演示。 3D引擎渲染的画面会被显示在Component3D这一控件中。点击按钮触发不同的功能,用户可以观察渲染画面的改变。
鸿蒙HarmonyOS开发:多种内置弹窗及自定义弹窗的详细使用指南
在这里,我分享我的技术心得、项目经验、实用的技术教程、深入的技术分析以及前端开发的最新动态,希望能帮助到更多的人。
08-08 1579
弹窗是移动应用中常见的一种用户界面元素,常用于显示一些重要的信息、提示用户进行操作或收集用户输入。ArkTS提供了多种内置的弹窗供开发者使用,除此之外还支持自定义弹窗,来满足各种不同的需求。不同弹窗的详细使用介绍,消息提示框(showToast)、对话框(showDialog)、警告弹窗(AlertDialog)、操作菜单(showActionMenu)、操作列表弹窗(ActionSheet)、文本滑动选择器弹窗 (TextPickerDialog)、自定义弹窗 (CustomDialog)。
HarmonyOS.FA开发流程
最新发布
qq_35641191的博客
08-09 221
HarmonyOS,原子化服务开发
selinux权限配置
04-11
b'selinux\xe6\x9d\x83\xe9\x99\x90\xe9\x85\x8d\xe7\xbd\xae' 的意思是“SELinux 权限配置”,这是一个与系统安全相关的概念。SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,可以限制应用程序、系统进程等的行为,提高系统的安全性。配置 SELinux 权限可以控制应用程序的读、写、执行等方式,保护系统不受恶意攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值