Android-SeLinux安全策略

于 2024-04-20 18:57:00 发布
阅读量973 收藏 24
点赞数 13
分类专栏: Android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46422460/article/details/138007137
版权

一、SeLinux简介

1.安全机制–DAC和MAC

DAC(Discretionary Access Control,翻译为自主访问控制)
DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。

MAC(Mandatory Access Control,翻译为强制访问控制)
MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。

MAC两个概念:主体(Subject)和客体(Object);主体指用户或者用户运行的进展,客体包括文件、目录、socket等系统资源,注:如果进程作为一种被访问的资源时,它也是一种客体。主体和客体都被设置了安全上下文,系统通过检查安全上下文来确认主体是否有权访问。

2.安全上下文

ls -Z命令查看文件的安全上下文,ps -Z命令查看进程的安全上下文
在这里插入图片描述
其中,u:object_r:vendor_file:s0就是文件的安全上下文
格式:USER:ROLE:TYPE:LEVEL
USER:指用户,有3种类型。(1)user_u:普通用户,权限受限制;(2)system_u:系统级进程;(3)root:root用户;
ROLE:指角色,不同的角色有不同的权限。文件、目录、socket等客体的角色一般是object_r,主体进程的角色一般是r。一个用户可以有多个角色,但是同一时间内只能使用一个。
TYPE:定义主体和客体所属的类型。
LEVEL:定义安全等级。

3.selinux模式

selinux模式:分强制模式和宽容模式

getenforce 获取系统当前SELinux运行模式
setenforce 0 临时设置运行模式为Permissive(宽容模式)
setenforce 1 临时设置运行模式为Enforcing(强制模式)

二、SeLinux策略文件

相关策略文件位于:system/sepolicy和device/amlogic/common/sepolicy
1、file_contexts:保存的是系统中所有文件的安全上下文。
2、property_contexts:保存的是系统中所有属性的安全上下文。
3、seapp_contexts:定义了用户、seinfo和域之间的关联,用于确认用户进程的安全上下文。
4、attributes:属性定义文件,文件中定义了所有需要用到的属性值。
5、类型强制规则文件(te)。
该类型文件都是以te结尾,它主要有类型定义和规则定义两部分组成。
以下为swtelnetd.te文件的内容:
在这里插入图片描述
swtelnetd.te中定义了两种类型:swtelentd和swtelentd_exec。swtelentd用在进程的安全上下文中,swtelentd_exec则用在文件的安全上下文中。

type swtelentd, domain;
无论是主体还是客体的类型定义,都是type语句完成的,语法如下:
type 类型名称 [,属性]
type语法中的属性值都是预定义好的,有特别的含义。如:domain表示域,通常主体的type具有domain属性,因此,我们把主体的type称为domain。file_type表示文件,通常用于表示客体的类型(type)。

其中还调用了init_daemon_domain宏,用来设置为init的守护域;init_daemon_domain 是 SELinux 中的一个特殊域,用于运行作为 init 进程的守护程序。这意味着 “swtelentd” 服务将在 init_daemon_domain 域中以守护进程的形式运行。
在这里插入图片描述
上面规则的含义是:
1>允许“swtelentd进程”对cache_file的软链接文件读和获取属性权限
2>允许“swtelentd进程”对cache_file的目录搜查权限
3>允许“swtelentd进程”对本身主体(self)的capability相关权限

语法:allow swtelnetd cache_file:lnk_file { read getattr };
allow 主体 客体类型:客体类别 {相应权限};
allow:表示允许主体对客体执行进行的操作。
neverallow:表示不允许主体对客体执行指定的操作

三、SeLinux相关问题

关键字:denied
logcat |grep “denied” 或者 dmesg | grep denied
1)添加STBManagerService的selinux权限
报错:
在这里插入图片描述
解决:

缺少什么权限: 缺少add 权限
谁缺少权限: scontext=u:r:system_server:s0
对哪个⽂件缺少权限: tcontext=u:object_r:default_android_service:s0
什么类型的⽂件: tclass=service_manager
最后输⼊的命令:
allow system_server default_android_services:service_manager { add };

2)添加特殊的seLinux权限
在这里插入图片描述

①这个问题我第一印象是加上这个
allow hal_hwswrootservice hal_hwswrootservice:udp_socket { ioctl };
②发现失败,还是会报这个错误,就发现有这个 ioctlcmd=0x8927 首先要查找这个ioctlcmd对应的定义,查找android/system/sepolicy/public/ioctl_defines中对应的ioctlcmd在ioctl_defines中的定义,
define(SIOCGIFHWADDR', 0x00008927')
③需要在对应的te中添加:
allowxperm hal_hwswrootservice self:udp_socket ioctl{SIOCGIFHWADDR};
allow hal_hwswrootservice self:udp_socket ioctl;
其中,self是主体hal_hwswrootservice的意思。

3)设置为宽容模式
system/core 目录下
在这里插入图片描述
bootloader/uboot-repo目录下
在这里插入图片描述
4)解决添加权限后编译报neverallowe问题
报错如下:
在这里插入图片描述
解决方法:
添加attribute标签属性定义绕过该报错。typeattribute给类型增加属性
system/sepolicy目录下
在这里插入图片描述
device/amlogic/common/sepolicy目录下
在这里插入图片描述

SwDenpeixun
关注
  • 13
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问文件的SELinux权限添加
01-20
最近做了一个功能:设备首次驻网时,在设备指定目录创建文件,并在此文件中写入当前的时间,然后通过暗码可以读取这个时间 这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件,”/data/vendor/time_code/time_code.txt”,此时SELinux权限问题就来了,如下所示: 原创文章 53获赞 87访问量 2万+
SELinux详解-中文版.pdf
10-18
第七章“约束”讲解了如何通过策略语言的约束特性来强化安全策略。第八章“多级安全”则讨论了SELinux如何实现多级安全模型。 第三部分“创建SELinux策略的开发方法”涵盖了两种主要策略开发方法:样例策略和引用...
【Linux】DACMACSElinux基本了解
Sanayeah的博客
07-05 1440
SELinux是一个内核级别的安全机制,从Linux2.6内核之后就将SELinux集成在了内核当中。因为SELinux是内核级别的,所以我们对于其配置文件的修改都是需要重新启动操作系统才能生效的。现在主流发现的Linux版本里面都集成了SELinux机制.CentOS/RHEL都会默认开启SELinux机制。
SELinux权限问题解决
aylr2015的博客
06-27 921
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。
SELinux的策略规则
haohaoxuexiyai的博客
02-21 4303
目录一、SELinux Targeted、MLS和Minimum策略Target 策略MLS 策略Minimum 策略二、SELinux策略规则查看方法(seinfo和sesearch)三、SELinux策略规则的开启和关闭查询策略规则是否开启修改规则的开启状态SELinux导致vsftpd不能正常登录 一、SELinux Targeted、MLS和Minimum策略 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型
linux7 selinux策略,centos7 selinux
weixin_33345697的博客
05-16 473
selinuxSELinux的全称是Security Enhanced Linux, 就是安全加强的Linux。在SELinux之前,root账号能够任意的访问所有文档和服务;如果某个文件设为777,那么任何用户都可以访问甚至删除;这种方式称为DAC(主动访问机制),很不安全。DAC 自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,...
linux selinux策略管理与标签
爱死亡机器人
03-24 6507
1. selinux 策略 #打开80/tcp 、443/tcp端口 firewall-cmd --permanent --add-service=http --add-service=https firewall-cmd --reload 文件系统权限:任何DocumentRoot必须由apache用户或用户组读取,大部分情况下,不允许apache用户或组写入。 selinux:默认selinux策略会限制httpd读取上下文,web服务器默认上下文是httpd_sys_content_t semana
SELinux策略语言--编写TE规则
最新发布
u014674293的博客
08-02 645
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
使用semanage管理SELinux安全策略
weixin_53150440的博客
07-18 1641
使用semanage管理SELinux安全策略
Securing Android-Powered Mobile Devices Using SELinux
05-05
本文档包含了SELinux集成到Android的过程中所解决的一些问题,包括: 1. Android本身不支持SELinux; 2. Android没有加载策略的手段; 3. 没有为Android定制的策略库; 4. 为Dalvik进程配置SELinux策略比较困难; ...
简述AndroidSELinux的TE
08-27
* Permissive Mode:宽松模式,在这个模式下,SELinux不会强制执行安全策略,只会记录违反规则的信息。 SELinux是一个强大的访问控制机制,它可以保护Android系统免受恶意攻击。本文只是对AndroidSELinux的TE相关...
Android 中的安全增强型 Linux(selinux
10-03
4. 安全策略:这是 SELinux 的核心,由一系列规则组成,决定了哪些操作是允许的。这些规则可以细致到指定哪些进程可以访问特定的文件、网络端口或其他系统资源。 在 Android 中,开发人员需要理解并适配这些规则,...
Android8.1-全志R311-如何打开APP获取su权限.pdf
09-02
Android系统中,SELinux默认处于Enforcing模式,这意味着任何违反安全策略的操作都会被阻止。Permissive模式则是警告模式,不会阻止违规行为,但会记录下来。 在Android 8.1的全志R311平台上,如果需要让APP获取`...
selinux基本概念 | 开启selinux策略 | 安全上下文的临时修改 | 安全上下文的永久修改 | 如何修复selinux | selinux对服务功能的影响 | 系统自动排错
Minz
05-11 2318
一,Security-Enhanced  LinuxSELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制,在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限标签(控制哪些用户对哪些文件具有哪些访问权,SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通访问权限和 ...
SELinux文件访问安全策略和app权限配置
lmpt90的专栏
06-13 2258
原文地址:https://www.zybuluo.com/guhuizaifeiyang/note/772144 基于android6.0版本的SELinux文件访问安全策略android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传...
linux之什么是SElinux?内核级加强型火墙SElinux的管理,SElinux怎么排错?
Tuki来了
05-21 366
SElinux什么是SElinuxSElinux的开启关闭以及状态查看实验环境设定SElinux的安全上下文1. 查看 什么是SElinuxSELinux:Security Enhanced Linux 是Linux内核子系统的一个健壮的强制控制访问Mandatory Access Control架构 SELinux主要是红帽Red Hat Linux以及它的衍生发行版上的一个工具 类似地, Ubuntu 和 SUSE(以及它们的衍生发行版)使用的是 AppArmor。 SELinux和AppArmo
访问控制类型(MACDAC、RBAC和ABAC)
ryanzzzzz的博客
06-26 1943
MAC模型通过强制规则来控制用户对资源的访问权限,比如BLP模型中的访问级别和安全级别,都是由系统管理员定义的,并且用户无法更改自己的权限。该类型将访问规则与用户角色相关联,用户不直接关联到资源,而是关联到角色,每个角色都有一组权限和访问规则,只要用户被分配到该角色,即可获得关联资源的访问权限。通过RBAC模型,可以实现不同角色的用户有区别的资源访问权限。访问控制的基本原则是最小权限原则,也就是限制每个用户所能被允许访问的资源和执行的操作的范围,只给予必要的最低权限,从而控制不同级别用户对系统资源的访问。
Selinux权限配置详解
秦逸轩的博客
07-15 1518
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
android selinux
07-28
Android SELinux(Security-Enhanced Linux)是一种强化了安全性的Linux内核安全模块,用于保护Android设备免受恶意软件和未经授权的访问。SELinux通过强制访问控制(MAC)机制对进程、文件和设备进行访问控制,提供了额外的安全层次。 在Android系统中,SELinux限制了应用程序的权限,并对系统资源的访问进行了约束。每个应用程序都有其自己的安全策略,使得恶意应用程序无法越权或破坏系统。通过使用SELinuxAndroid可以减少潜在漏洞的利用,并提供更高的安全性。 Android SELinux的工作原理是基于策略(Policy)和标签(Label)。策略定义了系统资源的访问规则,而标签则将进程、文件和设备与特定的安全策略相关联。当应用程序或进程尝试访问资源时,SELinux会检查其标签和策略,以决定是否允许该访问。 总的来说,Android SELinuxAndroid系统中的一个重要安全特性,它增强了系统的安全性,并提供了对应用程序和系统资源的细粒度访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值