selinux

最新推荐文章于 2023-02-26 23:05:56 发布
最新推荐文章于 2023-02-26 23:05:56 发布
阅读量371 收藏
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37610155/article/details/89812022
版权

1. Add new service started by init

情景定义一个init 启动的service, demo_service, 对应的执行档是/system/bin/demo.

(1).  创建一个demo.te /device/mediatke/common/sepolicy 目录下, 然后在/device/mediatke/common/BoardConfig.mk BOARD_SEPOLICY_UNION 宏中新增 demo.te

(2).  定义demo 类型,init 启动service 时类型转换, demo.te

type  demo, domain;

type  demo_exec, exec_type, file_type;

init_daemon_domain(demo)

(3).  绑定执行档 file_contexts 类型

/system/bin/demo  u:object_r:demo_exec:s0

(4). 根据demo 需要访问的文件以及设备定义其它的权限在demo.te .

 

2. Set System Property

情景一个native service demo, 需要设置一个自定义的system property,  demo.setting.case1.

(1).  定义system property类型. property.te

type demo_prop, property_type;

(2).  绑定system property 类型property_contexts

demo.        u:object_r:demo_prop:s0

(3). demo.te 中新增

•   unix_socket_connect(demo,property,init);

   allow demo demo_prop:property_service set;

3.

Use Binder and Add System Service

▪情景:  一个native service demo, 创建了一个binder service demo, 并对外提供服务.

▪(1). 在service.te 中定义service 类型

•type  demo_service  service_manager_type;

▪(2).  在service_contexts 中绑定service

•demo  u:object_r:demo_service:s0

▪(3). 在demo 中声明binder 权限  demo.te

•binder_use(demo)

•binder_call(demo, binderservicedomain)

•biner_service(demo)

▪(4). 允许demo 这个进程添加demo 这个service, 在demo.te

•allow  demo demo_service:service_manager add;

4.

Access system device

情景一个native service 需要访问一个专属的char device /dev/demo

(1). 定义device 类型, device.te

type demo_device dev_type;

(2). 绑定demo device, file_contexts

/dev/demo u:object_r:demo_device:s0

(3). 声明demo 使用demo device 的权限 demo.te

allow demo demo_device:chr_file rw_file_perms;

5.  Use Local Socket

情景一个native service init 创建一个socket 并绑定在 /dev/socket/demo, 并且允许某些process 访问.

(1). 定义socket 的类型 file.te

type demo_socket, file_type;

(2). 绑定socket 的类型 file_contexts

/dev/socket/demo_socket u:object_r:demo_socket:s0

(3). 有的process 访问.

# allow app connectto & write

unix_socket_connect(appdomain, demo, demo)

# more..

曹禺
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux: 为binderservice编写policy
Christ的博客
01-30 2102
转自:http://dragon.leanote.com/post/SELinux-%E4%B8%BAbinderservice%E7%BC%96%E5%86%99%E8%A7%84%E5%88%99 为了让应用正常访问某个binder service,我们需要编写哪些policy呢?  tios音频服务正是一个binder service,为此我们定义了三个主要的标识符: tios
Selinux权限配置详解
秦逸轩的博客
07-15 1640
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
Android Selinux
卓越之路
07-10 1097
Sepolicy在调试阶段真心很烦,有时因为一个sepolicy就导致结果与预期不一样。 1. Sepolicy规则 Sepolicy 规则 allow sourcecontext targetcontext:class {} sourcecontext: scontext targetcontext: tcontext class: tclass Sepolicy 文件存放的位置 AOSP 7.1 system/sepolicy/ OEM产商一般会有overlay, 如Nvidia de.
【Android】hwbinderselinux配置
lin_ff的博客
12-29 3369
1、android\o-base\vendor\xxx\attributes 添加 attribute hal_tv_xxx; attribute hal_tv_xxx_client; attribute hal_tv_skyworth_server; 2、android\o-base\vendor\xxx\hwservice_contexts vendor.xxx.hardware.e...
Android Selinux 开启关闭以及修改策略配置文件
Venus 的博客
12-15 5712
1. 禁止selinux 1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX 1.2 还可以在system.prop中定义ro.boot.selinux=disable 这两种方法都可以禁用selinux,也可以设置成ro.boot.selinux=permissive 宽容模式 1.3 可以通过setenforce 1 开启enforce模式,setenforce 0 为permissive模式 getenforce获取当前模式 2. 所有安全策略最...
Android Selinux 实战
android_sniper的专栏
09-25 1173
说明:以下内容为网上收集的资料,这里把有用的干货收集起来,去掉冗长的selinux一般性知识,只留下精华。 SELINUX 入门 1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权
SELinux手册 电子书 pdf 英文
最新发布
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
SELinux文档
05-23
SELinux(Security-Enhanced Linux)是一种安全子系统,它提供对Linux内核的增强安全特性,通过强制访问控制(MAC)机制来限制进程和用户对系统资源的访问。其核心目的是在操作系统层面上提供更好的安全控制,以防止...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
【Linux驱动调试技巧】如何进行SELinux安全策略配置?
crow_ch的博客
01-20 925
SELinux(Security-Enhanced Linux) SELinux解决的是安全问题,即指定的进程只能访问特定的资源,执行特定的操作,避免越权操作引发安全性问题 传统的DAC机制(Discretionary Access Control)自主访问控制,用户和其所在分组决定了该进程的用户权限 root用户具有所有的访问权限。 SELinux MAC机制(Mandatory Access ...
Binder系统-C程序示例_框架分析
qq_34888036的博客
02-26 379
首先先打开驱动,并且告诉驱动他是servicemanager,这样他就有了驱动的操作权限,并且他是是一个while(1)循环,不停的读取数据,解释数据,如果有需要注册服务,则保存注册的服务到链表中,如果有需要获取服务,则从链表查询服务返回,在没有事情做的时候会处于休眠状态。分析了注册服务和获取服务的大致过程,我们现在来分析其细致原理,即分析binder_call与之前提到svcmgr_handler函数参数txn中的txn->code,binder_call函数时在binder.c中提供的。
Android Binder机制(一)
p413768973的博客
02-11 452
binder是一种进程间通信机制,采用C/S机制,框架如下: 一:Client 1.open驱动2.获取服务(a.向servicemanager查询服务 b.获得一个handle)3.向handle发送数据 二:servicemanager 1.open驱动,告诉驱动我是servicemanager 2.while{ 读取驱动数据 ...
Android Selinux 单编后,快速验证
kanyou222的专栏
12-21 5254
sepolicy修改后 快速验证 编译: makeselinux_policy-j8 // vendor 和system 都修改了 makeselinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vendor_sepolicy.cil ...
Android Selinux Binder 权限
xikangsoon的博客
01-05 733
.te文件 allow _app hal_d_default:binder { call transfer };
android addr2line使用
qq_37610155的博客
12-15 6978
一般碰到NE的异常需要通过addr2line把异常地址转成code文件和行号。 1.进入到prebuilts/gcc/linux-x86/arm/cit-arm-linux-androideabi-4.8目录, 2.把libunwind.so从\out\target\product\XXX\symbols下面去找到该库文件,并把该so拷贝到cit-arm-linux-androideabi
SELinux管理与配置指南
"这篇文档是关于SELinux的详细操作手册,涵盖了从基础概念到实际运用的多个方面,适合对Linux系统安全感兴趣的读者学习。" SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值