嵌入式实践教程--自定义SELinux

最新推荐文章于 2024-05-06 21:22:04 发布
最新推荐文章于 2024-05-06 21:22:04 发布
阅读量1.6k 收藏 2
点赞数 2
文章标签: SELinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38131812/article/details/121692115
版权

我们在自定义hal层/app时可能会遇到selinux权限的问题,这个时候就需要自定义selinux权限。一般来说vendor自定义的*.te都位于/device/manufacturer/device-name/sepolicy。 板级相关的xxx.mk文件会将te文件复制进文件系统。

1.sepolicy模版

在以下示例中,所有域都被授予向 /dev/null 读写数据的权限以及从 /dev/zero 读取数据的权限。

# Allow read / write access to /dev/null
allow domain null_device:chr_file { getattr open read ioctl lock append write};

# Allow read-only access to /dev/zero
allow domain zero_device:chr_file { getattr open read ioctl lock };

此声明也可以通过 SELinux *_file_perms 宏编写(简短版):

# Allow read / write access to /dev/null
allow domain null_device:chr_file rw_file_perms;

# Allow read-only access to /dev/zero
allow domain zero_device:chr_file r_file_perms;

2.sepolicy示例分析

type dhcp, domain;#声明 DHCP 守护进程将沿用基本的安全政策 (domain)
permissive dhcp;#DHCP 被声明为宽容域
type dhcp_exec, exec_type, file_type;
type dhcp_data_file, file_type, data_file_type;

init_daemon_domain(dhcp) #声明 DHCP 是从 init 衍生而来的,并且可以与其通信
net_domain(dhcp) #允许DHCP使用net域中的常用网络功能,例如读取和写入TCP数据包、通过套接字进行通信,以及执行DNS请求。

allow dhcp self:capability { setgid setuid net_admin net_raw net_bind_service
};
allow dhcp self:packet_socket create_socket_perms;
allow dhcp self:netlink_route_socket { create_socket_perms nlmsg_write };
allow dhcp shell_exec:file rx_file_perms;
allow dhcp system_file:file rx_file_perms;
# For /proc/sys/net/ipv4/conf/*/promote_secondaries
allow dhcp proc_net:file write;#声明DHCP可以向/proc中的特定文件写入数据。
allow dhcp system_prop:property_service set ;
unix_socket_connect(dhcp, property, init)

type_transition dhcp system_data_file:{ dir file } dhcp_data_file;
allow dhcp dhcp_data_file:dir create_dir_perms;
allow dhcp dhcp_data_file:file create_file_perms;

allow dhcp netd:fd use;# 声明 DHCP 和 netd 之间可通过文件描述符、FIFO 文件、数据报套接字以及 UNIX 信息流套接字进行通信
allow dhcp netd:fifo_file rw_file_perms;
allow dhcp netd:{ dgram_socket_class_set unix_stream_socket } { read write };
allow dhcp netd:{ netlink_kobject_uevent_socket netlink_route_socket
netlink_nflog_socket } { read write };

3.sepolicy报错快速解决

比如,内核打印这个提示:

type=1400 audit(32.939:25): avc: denied { open } for pid=2592 comm="chmod" path="/dev/block/mmcblk0p25" dev="tmpfs" ino=6494 scontext=u:r:init_shell:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=1

我们可以遵循这个方法,从头开始寻找关键对象,然后调整一下顺序,生成一条语句,最后将该语句填写到.te文件中即可。

denied { open }             u:r:init_shell:s0            u:object_r:block_device:s0       tclass=blk_file                  

             A                               B                                              C                                       D
 
             B                               C                                              D                                       A

allow init_shell  block_device:blk_file open;

这条语句表示允许init_shell域中的block_device进程打开block_device类型的块设备文件。

或者直接使用工具生成external/selinux/prebuilts/bin/audit2allow

有时候会遇到编译该规则失败,这也许就是neverallow语句做怪了。

neverallow用来检查安全策略文件中是否有违反该项规则的allow语句(不可修改newerallow的定义)

如external/sepolicy/netd.te文件中,语句

neverallow netd dev_type:blk_file { read write };

表示永远不允许netd域中的进程读写dev_type类型的块设备文件,这时只需屏蔽该语句即可。

漫游嵌入式
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
配置selinux的策略_[学习记录]SELinux自定义策略初步
weixin_34518801的博客
12-24 693
这篇文章主要记录了我如何学习selinux自订策略的,相关内容在网络上非常零散,自己也走了很多弯路,所以专门写了这么篇文章作为整理。这里先提一句,关于selinux的配置,网上最容易搜索到的是对selinux程序的配置,例如开关,以及对某种协议的控制,这些内容在我之前整理selinux管理工具种有提到,是相对表面的selinux配置,本文的配置是从编写自定义的策略模块,并装载,因此管理粒度更细。按...
linux 文件添加标签,如何创建自定义SELinux标签
weixin_30759083的博客
04-29 1201
我写了一个服务/单个二进制应用程序,我试图在Fedora 24上运行,它运行使用systemd,二进制文件部署到/ srv / bot我编写的这个服务/应用程序需要在此目录创建/打开/读取和重命名文件.但是当我的应用程序需要重命名时,输出有一个警告:#!!!! WARNING: 'var_t' is a base type.allow init_t var_t:file rename;我goog...
自定义 SELinux
一步一个脚印
08-18 1008
集成基本级别的 SELinux 功能并全面分析结果后,您可以添加自己的政策设置,以便涵盖对 Android 操作系统所做的自定义。这些政策必须仍然满足 Android 兼容性计划的要求,并且不得移除默认的 SELinux 设置。 制造商不得移除现有的 SELinux 政策,否则可能会破坏 Android SELinux 的实施方式及其管控的应用。这包括可能需要改进以遵守政策并正常运行的第三方应用。...
【安全利器SELinux快速入门系列 01】SELinux基础入门_selinux
kenzsoft的博客
05-06 949
进程的主体是进程,客体是被访问的资源。MAC机制的特点在于,资源的拥有者,并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。4MAC强制访问控制的流程大致是上图所示,分为3个步骤主体程序必须要通过 SELinux 政策内的规则放行后,就可以与目标资源进行安全性本文的比对;若比对失败则无法存取目标,若比对成功则可以开始存取目标。最终能否存取目标还是与文件系统的 rwx 权限设置有关。
SELinux在RTEMS实时嵌入式操作系统实现总结
chuoceng6947的博客
12-27 249
SELinux是强制访问控制优秀系统 RTEMS是强实时,支持多处理器的嵌入式操作系统 在rtems上实现SElinux的类似的强制访问控制系统,设计的系统可以根据策略配置工具,自由的配置系统访问权限! 谨记记录逝去的大四到研究生过渡的岁月:此项目是,大四保研之后,研究...
SElinux 读懂.te 定义自己的 .te【转】
zzb2760715357的博客
07-23 146
本文转载自:https://blog.csdn.net/kongbaidepao/article/details/61417291 一、 .te 文件定义的一些宏 1.1 unix_socket_connect(1,1,2, $3 )这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: #####################...
深度探索Linux操作系统——系统构建和原理解析
01-24
本书也会涉及到嵌入式Linux系统构建,包括裁剪内核、构建根文件系统、设备驱动程序开发等实践内容。对于想要开发嵌入式系统的工程师来说,这些知识至关重要,能够帮助他们理解和优化运行在特定硬件平台上的Linux系统...
Linux操作系统分析教程ppt
09-17
Linux,作为一个开源、免费的类UNIX操作系统,广泛应用于服务器、嵌入式设备以及桌面环境,其稳定性和可定制性深受开发者喜爱。通过这些精心挑选的PPT,你可以对Linux有更全面的认识,从而提升你的技术水平。 首先...
Linux 操作系统 汇总
05-07
Linux操作系统是基于Unix的一款开源、免费的操作系统,它在全球范围内被广泛应用在服务器、超级计算机、嵌入式设备以及个人电脑上。Linux的核心在于其内核,由芬兰的林纳斯·托瓦兹(Linus Torvalds)于1991年创建。...
Linux系统故障诊断与排除
02-04
在IT领域,Linux系统因其开源、稳定和高效的特点被广泛应用于服务器、云计算、嵌入式设备等场景。然而,任何操作系统都可能出现各种故障,Linux也不例外。对于Linux管理员来说,掌握系统故障诊断与排除技巧是必不可...
Linux学习笔记(搬运).zip
01-05
Linux是一种开源、自由的类UNIX操作系统,被广泛应用于服务器、嵌入式设备以及个人计算机上。本笔记将带你踏上Linux的学习之旅,涵盖从基础概念到高级技巧的方方面面。 一、Linux基础 在Linux学习之初,你需要了解...
SELinux 详解
09-08
讲述SELinux的基本知识,以及对其策略的解释和使用,如TE,RABC,MLS等,详细书写了对TE策略的编写方法等
SELinux概念
Muggle的博客
12-03 1461
SELinux 已作为 Linux 安全模块 (LSM) 框架的一部分实现,该框架可识别各种内核对象以及对这些对象执行的敏感操作。其每项操作要执行时,系统都会调用 LSM 钩子函数,以便根据不透明安全对象存储的关于相应操作的信息来确定是否应允许执行相应操作。SELinux 针对这些钩子以及这些安全对象的管理提供了相应的实现,该实现可结合自己的政策来决定是否允许相应访问。 通过结合使用其他 Android 安全措施,Android 的访问控制政策能够大大降低遭到入侵的计算机和帐号可能蒙受的损失。Andr
linux semange添加端口,contOS 7selinux不允许使用自定义端口
weixin_31183253的博客
05-01 697
首先声明:如果不使用selinux则可以跳过本文章在contOS 7上安装了nginx服务,为了项目需要必须修改nginx的默认80端口为8088,修改配置文件后重启nginx服务,查看日志报以下错误:[emerg]9011#0:bind()to0.0.0.0:8088failed(13:Permissiondenied)权限被拒绝,开始以为是端口被别的程序占用了,查看活动端口然而...
在非标准配置为 Apache HTTP 服务器自定义 SELinux 策略
weixin_53308294的博客
04-22 537
文章目录一.下载软件包二.创建目录,写入内容三.写配置文件四.启动httpd服务并检查状态五.SELinux策略运行在9091端口六.重启服务七.排查内容无法的原因八.修改标签九.递归重新标记 /www/test 目录十.验证: 一.下载软件包 [root@localhost ~]# yum install policycoreutils-python-utils -y [root@localhost ~]# yum install setroubleshoot-server -y 注意: 下载前需要先挂载
SELinux: 如何让selinux对某些命令放行,自定义selinux规则。
BobChill的博客
10-06 1163
1.setting selinux to permissive mode 暂时关闭selinux,让操作进行下去,这个时候selinux还是会将记录log到audit.log里的 setenforce 0 2.disabling selinux dontaudit 这样可以让selinux没有遗漏的记录所有permission denied message,同样写入audit.log semodule --disable_dontaudit --build 检验dontaudit有没有被禁用
Linux之selinux详解
huaz_md的博客
03-10 1971
用 s0、s1、s2 来命名,数字为灵敏度分级,数值越大,):表示此数据是进程还是文件或目录包含(了解就行)作用:查询身份,角色等信息,需要安装才能使用。:安全上下文的身份是root(普通用户名_u:普通用户身份(,可以通过以下命令查看。),其u代表user。
Linux Kernel -- SElinux 与 socket
500
07-24 555
这篇文章我只是想弄明白socket()为什么在X86上需要root才能调用而非Arm上的 !root
基于linux下的selinux的管理与控制
chao199512的博客
05-17 682
#################1.什么是selinux#######################################SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的...
ntainer-selinux-2.9
最新发布
05-30
ntainer-selinux-2.9是一个与Docker容器相关的安全性强制访问控制策略,目的是为了对Docker容器提供更强的安全性保护。你可以按照以下步骤安装并使用它: 1.首先,更新你的yum包: ```shell sudo yum update ``` 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

漫游嵌入式

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值