android中sepolicy, selinux学习笔记

最新推荐文章于 2024-04-01 17:42:03 发布
最新推荐文章于 2024-04-01 17:42:03 发布
阅读量9k 收藏 5
点赞数 1
分类专栏: android linux 文章标签: android sepolicy selinux MAC DAC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shellshell13/article/details/50697145
版权
android 权限 DAC MAC 


#if DAC(Discretionary Access Control) -- 自主访问控制
一、DAC(Discretionary Access Control) -- 自主访问控制


基于uid的访问权限控制
主体:uid/gid标记的进程
客体:uid/gid标记的文件
1)文件权限上下文


文件属性   user group 大小  修改时间 文件名

-rw-r--r-- root     root         3567 1970-01-01 08:00 property_co
drwx------ root     root              2014-06-04 04:50 root
drwxr-x--- root     root              1970-01-01 08:00 sbin
lrwxrwxrwx root     root              2014-04-03 03:40 sdcard -> /ed/legacy
-rw-r--r-- root     root         7299 1970-01-01 08:00 seapp_context


文件类型
p 管道文件
d 目录文件
l 符号连接文件
- 普通文件
s socket文件
c 字符设备文件
b 块设备文件

d|rwx|r-x|--- /*除文件类型以外,每三个字符代表一种用户权限。前三位(所有者)中间
(所在组)后三位(其他组)。没有权限的用"-"表示
用8进制表示所以是三位二进制数。r-x == 101 == 5; rwx == 111 == 7*/


-----------------------------------
-rwsr-sr-t //s t

s位:如果设置s,那么s替换x位
SUID/SGID):在程序执行(exec)之后作为EUID的副本,用于进程切换自己的EUID时使用
SGID和SUID的存在意义在于,当一个非特权进程可以通过执行设置了SGID和SUID标志的程序,来获得特定权限。//加入hacker的进程H执行了这个文件,H进程既有root权限
例如su,当它没有设置SGID和SUID标志位的时候,实际上它是不能创建一个具有root权限的shell进程的。
t位:替换x位
sticky -- 用于文件夹,里面的文件只有创建者和拥有者可以删除。其他的id可以修改不能删
设置方法:
chmod 4775 filename // -rwsr-xr-x filename , 4是suid,2是sgid,1是sticky



android系统
-rwsr-sr-x root     root              u:object_r:su_exec:s0 su
-rwxr-s--- root     inet              u:object_r:system_file:s0 netcfg
linux
-rwsr-xr-x 2 root ro
最低0.47元/天 解锁文章
shellshell20
关注
专栏目录
SelinuxSepolicy
ambitions666的博客
08-01 353
标签 selinux通过标签来匹配规则和相应的许可操作。 标签采用以下形式: ​ user:role:type:mls_level 规则和域 selinux的规则采用一下形式: allow domains types:classes actions domains :域,可以理解成一个容器,存放不同主体subject。不同主体可以同属一个域 types:被访问对象(客体)的标签 classes:客体的不同类型 actions:需要执行的操作 启动第三方可执行程序 start exttv-0-1
Android 6.0 Root 必备:修改 sepolicy安全策略
X神之怒的博客
04-22 730
Android 6.0开始,Root变得没有以前那么容易了。6.0之前,对于以前的手机,Root其实很简单,只需要官方解锁,刷入第三方Recovery(如TWRP Recovery),然后通过Recovery刷入SuperSU包即可。 然而,到了6.0,如果还是这么做,手机会卡第一屏。这是由于Google对Android 6.0修改了新的安全机制导致的。解决卡屏的方法,SuperSU...
Android Selinux详解[八]--常用sepolicy函数和权限组说明
weixin_41028555的博客
03-28 1389
Selinux有很多函数,比如domain_auto_trans, r_dir_file等等,可以见源码定义的地方举例一两个看一下。
SELinux sePolicy
大雄不爱吃肉
08-14 3980
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy policy
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
Linux内核学习笔记——SELinux介绍(SELinux Policy是什么?)
ZP1015
07-01 2196
本文主要描述了SELinux的原理,以及在android的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Policy。 本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。 一、SELinux Overview 1. SELinux 来源 SELinuxSecurity-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation
android sepolicyselinux)快速配置方法
10-29
### Android sepolicySELinux)快速配置方法 #### 概述 在Android系统Security Enhanced Linux (SELinux) 是一种强大的安全机制,用于管理应用程序的权限和资源访问。当应用试图执行某些被SELinux策略禁止的...
selinux - Android编写sepolicy
Zpeg的博客
07-20 4647
service编写sepolicy 由init启动的service服务要在各自的selinux domain运行。
selinux 学习笔记,帮助学习seLinux 使用
11-08
SELinux 学习笔记SELinux,全称 Security-Enhanced Linux,是 Linux 操作系统的一个强制访问控制(Mandatory Access Control, MAC)框架,旨在提高系统的安全性,防止恶意攻击者通过权限提升和权限滥用来...
Android12添加系统服务注意事项
beyond_zhou的博客
05-21 695
通过AIDL生成的public interface IBlackviewServerManager extends android.os.IInterface文件及其调用类public class BlackviewServerManager必须放到frameworks/base/core/java/android目录下面,否则update-api在frameworks/base/core/api/current.txt里面不会自动生成IBlackviewServerManager定义的方...
SEandroid 安全机制---进程安全上下文
Jack的博客
06-10 1441
3进程安全上下文 前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid,除了要给文件关联安全上下文外, 还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。 也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。      在传统的Linux
Android Framework知识点
汽车以太网和SOA
11-02 3701
Android Framework知识点
SeLinux 常见的宏
最新发布
littleyards的博客
04-01 609
意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限。
Android11编译第六弹:user版本增加su+内置root用户
joedan0104的专栏
11-14 3457
问题1:user版本默认不开放root,adb登录后默认采用system用户,收紧用户权限;问题2:因为有些功能需要用到root用户,例如设置网卡地址,网卡开启和关闭等,因为线上设备user版本没有root用户开放,很不方便。采用允许登录root用户的方式,登录时增加密码验证。
selinux m4语言语法
u013478557的专栏
07-05 2310
m4宏定义 SELinux使用m4宏语言写可重用的策略规则。m4宏定义提供了易用的操作组合,它本身不属于SELinux策略语言的。m4宏语言的用法可查找m4宏语言用户手册http://cm.bell-labs.com/    7thEdMan/vol2/m4。 下面列出Apache HTTP 宏定义文件$SELINUX_SRC/macros/program/apache_macros.te的前
Init进程初始化安全上下文
u013234805的专栏
04-30 2583
selinux_initialize()函数调用selinux_android_load_policy()函数装载并向内核设置了策略文件后,接着调用了selinux_init_all_handles()函数,这个函数用来装载系统所有文件和属性的安全上下文,下面我们看看这个函数的代码: void selinux_init_all_handles(void) {     sehandle =
SELinux 初探
热门推荐
邓永坚的blog
12-03 2万+
SELinux 初探 在進入了 CentOS 5.x 之後,SELinux 已經是個非常完備的核心模組了!CentOS 5.x 提供了很多管理 SELinux 的指令與機制, 因此在整體架構上面比以前的版本要單純且容易操作管理!所以,在這一版以後,我們建議大家千萬不要關掉 SELinux 這玩意兒! 讓我們來仔細的玩玩這傢伙吧! 什麼是 SELinux 什麼是 S
MTK平台Android 12自定义开关机动画铃声
a785722173的博客
12-01 4961
Android Q自定义开关机动画====== Step 1: Enable MtkBootanimation ======/vendor/mediatek/proprietary/operator/frameworks/bootanimation/Rename Android_disable.mk to Android.mk /vendor/mediatek/proprietary/o...ps:ioctl 需根据自己的项目打印avc 自行添加修改。修改文件和Q平台大同小异。
selinux学习笔记
10-13
学习SELinux需要掌握以下几个方面: 1. SELinux的基本概念和工作原理 2. SELinux的安装和配置 3. SELinux的策略管理和定制 4. SELinux的日志分析和故障排除 在学习SELinux时,需要注意以下几点: 1. SELinux的策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值