[SELinux Policy]如何设置SELinux策略规则?

最新推荐文章于 2024-05-07 13:47:22 发布
最新推荐文章于 2024-05-07 13:47:22 发布
阅读量5.6k 收藏 3
点赞数 1
文章标签: SELinux 策略 规则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sandform/article/details/51580330
版权

[SELinux Policy]如何设置SELinux策略规则?

[Description]


android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log
或者 android log(L 版本)中,对应的关键字是: "avc: denied" 或者"avc: denied"
如一行LOG:
<5>[ 17.285600].(0)[503:idmap]type=1400 audit(1356999072.320:202): avc: denied { create
} for pid=503 comm="idmap" name="overlays.list" scontext=u:r:zygote:s0
tcontext=ubject_r:resource_cache_data_file:s0 tclass=file
即表明idmap 这个process, 使用zygote 的source context, 访问/data/resource_cache 目录,并
创建文件时,被SELinux 拒绝访问。


[Keyword]


android, SELinux, avc: denied, audit


[Solution]


KK 版本, Google 只有限制的启用SELinux, 即只有针对netd, installd, zygote, vold 以及它们
直接fork 出的child process 使用enforcing mode, 但不包括zygote fork的普通app.
L 版本, Google 全面开启SELinux, 几乎所有的process 都使enforcing mode, 影响面非常广.
目前所有的SELinux check 失败,在kernel log 或者android log(L版本后)中都有对应的"avc:
denied" 或者 "avc: denied"
最低0.47元/天 解锁文章
sandform
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux Policy Editor-开源
05-03
默认的SELinux策略往往包含大量规则,对于非专业人员来说难以理解和管理。seedit通过友好的图形界面,将这些规则可视化,使得策略编辑变得更加直观。 2. **隐藏细节**:为了降低学习曲线,seedit隐藏了不必要的技术...
Linux内核学习笔记——SELinux介绍(SELinux Policy是什么?)
ZP1015
07-01 2106
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Policy。 本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。 一、SELinux Overview 1. SELinux 来源 SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation
Android P SELinux权限修改快速验证
arrol1786936883的博客
07-29 2739
SELinux权限修改快速验证修改编译验证 修改编译 Android P在android/system/sepolicy和android/device/qcom/sepolicy/目录下修改或添加xxx.te文件后,可通过make selinux_policy命令进行编译。 make selinux_policy产生的编译文件会输出到out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux
安卓SELinux策略
最新发布
似霰的博客
05-07 421
安卓SELinux策略
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3101
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
Android 浅度解析:系统框架层修改,编译,推送相关操作
一歲抬頭的博客
07-01 7499
本文将详细介绍Android系统框架层如何编译和推送这些修改,以及如何进行一些常见的操作。
Exploring Android's SELinux Kernel Policy
苞谷猿的技术bug
12-24 1392
原文地址:https://ge0n0sis.github.io/posts/2015/12/exploring-androids-selinux-kernel-policy/ 探索 Android SELinux 内核策略 简介 自android4.3版本以来,Android系统增加了SELinux来增强系统的安全性。SElinux对系统中的所有进程都进行了强制访问控制,
Configuring the SELinux Policy
12-05
介绍SELinux的文档。This technical report describes how to configure the SELinux security policy for the example security server.
Core Policy Management Infrastructure for SELinux
05-05
**核心策略管理基础设施对于SELinux** SELinux(Security-Enhanced Linux)是一种强大的访问控制系统,它增强了Linux操作系统的安全性。核心策略管理基础设施是SELinux的一个关键组成部分,它旨在解决系统安全、...
SELinux策略语言--类型强制(编写TE规则).docx
09-13
SELinux 策略语言—类型强制(编写 TE 规则SELinux 策略语言是 SELinux 策略的核心组件之一,主要描述 policy.conf 的相关语法。策略语言主要由多条类型强制规则构成,这些规则控制被允许的使用权,大多数默认...
configuring-selinux-policy-report.pdf
02-03
SELinux can enforce an administratively-defined security policy over all processes and objects in the system, basing decisions on labels containing a variety of security-relevant information....
sepolicy 配置和快速验证
kanyou222的专栏
04-28 1912
sepolicy修改后 快速验证 编译:(只针对 .te 的文件, 如果file_contexts service_contexts 这种文件好像不行) make selinux_policy -j8 // vendor 和system 都修改了 make selinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件 vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vend...
Linux进阶篇--SElinux
天空飘过的鱼的博客
09-09 510
Linux进阶篇–SElinux 本章概要 * SELinux概念 * 启用SELinux * 管理文件安全标签 * 管理端口标签 * 管理SELinux布尔值开关 * 管理日志 * 查看SELinux帮助 SElinux介绍 * SELinux: Secure Enhanced Linux, 是美国国家安全局(NSA=The National Security Agenc...
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
浅析linux之SElinux的targeted规则Policy
完颜振江
02-11 3028
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖! 这里学习的是在规则targeted下的一些常用操作 1、查看本机的selinux的状态 [root@localhost
Failed to install SELinux policy due to missing dependencies (policycoreutils-devel)
qwe122343的博客
10-10 2289
Failed to install SELinux policy due to missing dependencies (policycoreutils-devel).: Current locale settings are invalid
Android8.1 新增系统自定义服务一 (SELinux权限)
热门推荐
kaijiehui
10-27 1万+
           一开始并没有注意到android8.0以后和之前有多大区别,知道最近有需求要求增加一个自定义服务,一直没有生效报avc权限问题 在SystemServer startOthreService中 ServiceManager.addService () 出现了AVC权限: SELinux: avc denied {add} for service=gesture pid=...
使用SELinux策略目录
无本之木
08-16 1771
本文摘自:http://security.zdnet.com.cn/security_zone/2011/1124/2067407.shtml
SELinux核心策略管理基础设施
Core Policy Management Infrastructure for SELinux旨在解决当前策略管理的不足,提供一个强大、灵活且安全的框架,以适应不断变化的系统需求和应用程序环境。通过优化这一基础设施,可以更有效地实现系统的安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值