指定域转换规则

最新推荐文章于 2024-04-01 17:42:03 发布
最新推荐文章于 2024-04-01 17:42:03 发布
阅读量1.8k 收藏 3
点赞数

http://book.51cto.com/art/200902/108616.htm

11.2.2.2.指定域转换规则

现在看第8和第9行,这里出现了两次调用domain_auto_trans()宏,这个宏可能是strict示例策略中最常用的一个宏了,因为它定义了我们在第2章"概念"中讨论到的允许域转换的标准规则,你可以在./macros/core_macros.te文件找到这个宏的定义,实际上宏通常很短,因为它要调用另一个宏doamin_trans(),这个宏的定义如下:

# $1 is original domain, $2 is executable file type, $3 is new domain
define(`domain_auto_trans',`
domain_trans($1,$2,$3)
type_transition $1 $2:process $3;
')

domain_auto_trans()宏授予了必要的权限允许域转换(通过调用domain_trans()宏)默认通过type_transition规则使这个转换自动进行。

如果我们进一步分析domain_trans()宏,我们会发现更多规则,它们大部分都是标识进程间(父进程和子进程间)通信(IPC)需要的许可,然而,这个宏还包括了三个小型allow规则,如:

# 来自domain_trans macro的关键规则
# $1是原始域,$2是可执行文件类型,$3 是新域
define(`domain_trans',`
allow $1 $3:process transition;  # 旧域可以转换成新域
allow $1 $2:file { read x_file_perms }; # # 旧域可执行文件类型
allow $3 $2:file entrypoint;  # 新域可以送入的文件类型
# 剩下的domain_trans规则没有显示
')
注意第二个规则中许可字段中有read和x_file_perms,然而read是针对file客体类别的许可,x_file_perms却不是,相反,它是m4宏的另一个类型,它通常代表文件可执行许可,我们在./macros/core_macros.te可以找到这个宏的定义: 
define(`x_file_perms', `{ getattr execute }')
因此,我们再看ping模块中的第8行和第9行,我们看到具有特权的管理域类型sysadm_t和启动进程脚本域initrc_t都可以访问域ping_t,这就清晰地表明它们可以运行ping程序。
大雄不爱吃肉
关注
C++ 类数组,类作用枚举,运算符重载,友元函数,类型自动转换
菜鸟进阶之路
07-02 3757
目录 一、类数组 二、类作用枚举 三、运算符重载 1、通过类成员函数重载运算符 2、非类成员函数重载运算符 3、运算符重载的限制 四、友元函数 1、友元函数实现运算符重载 2、多个类的友元函数 3、类成员函数做友元函数 五、类类型转换函数 1、自动转换构造函数 2、类类型转换函数 一、类数组 《C++ Primer Plus》提到初始化数组时都...
空间 变换_3空间处理方法
weixin_39585795的博客
12-16 1814
空间与变换空间处理方法:根据图像像元数据的空间表示f(x, y)进行处理变换处理方法:对像元数据的空间表示f(x, y)进行某种变换,针对变换数据进行处理数字图像空间处理方法数值运算:单波段点运算点运算:对单幅图像像元进行的逐像元数值运算, T为灰度变换函数线性点运算分段线性点运算非线性点运算:指数变换和对数变换数值运算:单波段邻运算邻运算:输出图像每个像元的灰度值由对应输入像元...
一文读懂SElinux,相关策略以及SElinux转换
m0_60291616的博客
04-07 1870
selinux相关介绍
SEAndroid语法介绍
kc58236582的博客
11-02 2019
1.命令 通过ls -Z命令查看文件的安全上下文。ps -Z查看进程的上下文。 安全上下文的格式: USER: ROLE: TYPE[LEVEL] USER:指定用户。     1.user_u:代表普通用户,权限受限     2.system_u:系统级别进程     3.root:root用户 ROLE:指定角色。像文件、目录、socket等客体角色通常是object_r,主体
SeLinux 常见的宏
最新发布
littleyards的博客
04-01 690
意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限。
智能终端信息安全概念(十):内核安全(2)SElinux
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-30 1645
SELinux由NSA发布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究团队都为SELinux的发展做出了重要的贡献。,可在Linux系统配置其状态。SELinux的状态分为3种,即disabled、permissive和enforcing。
scala的隐式类型转换的实现
08-25
隐式类型转换的使用规则包括插入的隐式转换必须以单一标识符的形式处于作用,以及无歧义规则。隐式类型转换可以广泛应用于实际开发,例如,在进行数学运算时,可以使用隐式转换来自动转换数据类型。
1.2编程基础之变量定义、赋值及转换.zip
10-06
"04填空:类型转换1.cpp"和"05填空:类型转换2.cpp"的练习很可能要求理解并应用这些转换规则,确保数据在不同类型之间安全地移动。例如,当一个浮点数被赋给整型变量时,会自动进行向下取整的转换;而在浮点数向零舍...
c#入门之类型转换详解
09-04
虽然记住所有类型的转换规则并不必要,但理解转换的基本原理和潜在风险是至关重要的。在实际编程,如果不确定转换是否安全,首选`Convert`类的方法,以避免数据丢失或意外的溢出错误。对于隐式转换,虽然使用起来...
深入解析Python函数的参数与作用
09-21
Python是一种高级编程语言,其函数的参数和作用是编程基础的重要组成部分。理解这些概念对于编写高效、可维护的...在实际编程,合理利用参数传递和作用规则,可以避免意外的修改,提高代码的可读性和可维护性。
Android11编译第六弹:user版本增加su+内置root用户
joedan0104的专栏
11-14 3645
问题1:user版本默认不开放root,adb登录后默认采用system用户,收紧用户权限;问题2:因为有些功能需要用到root用户,例如设置网卡地址,网卡开启和关闭等,因为线上设备user版本没有root用户开放,很不方便。采用允许登录root用户的方式,登录时增加密码验证。
SEAndroid流程分析
Venus 的博客
04-14 606
init会解析/file_context文件的内容,将相关信息填充到入参rec的data成员。与设置app文件安全上下文的selinux_android_setfilecon不同的是,设置app进程安全上下文的函数selinux_android_setcontext会根据符合的规则的domain去设置进程的domain,而selinux_android_setfilecon会根据符合的规则的type去设置文件的type,安全上下文其他部分user,role,level的设置差别不大。
Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法
ldswfun的专栏
06-01 2583
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件有非常多的语句, 我们需要基本掌握和理解其的语法和语义,这样才能有利于我们进行开发。上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。Te文件一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 2087
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
深入理解SELinux SEAndroid(第一部分)
Venus 的博客
12-17 1060
深入理解SELinuxSEAndroid SEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统。 NSA最初设计的安全模型叫FLASK,全称为Flux Advanced Security Kernel(由Uta大学和美国国防部开发,后来由NSA将其开源),当时这套模型针对DTOS系统。后来,NSA觉得Linux更具发.
Android 8.0 高通代码预制apk可卸载,恢复出厂设置apk可恢复
csh86277516的博客
02-27 4319
1:做个脚本去实现拷贝APK都data/app目录下面:#!/vendor/bin/shsleep 1cp /system/pre_install/RunUiTest/RunUiTest.apk /data/app/chmod 777 /data/app/RunUiTest.apk2:把脚本加入编译:    1》把脚本放到device/qcom/common/rootdir/etc/copy_ap...
SELinux策略配置语言
miroku_it的专栏
01-02 7539
http://book.csdn.net/bookfiles/574/10057418866.shtml3.2  SELinux策略配置语言策略是一套指导SELinux安全引擎计算安全决策的规则,它定义了文件客体的类型、进程的、使用限制进入的角色及访问许可的规则表达式等。策略的源代码用SELinux配置语言进行描述。3.2.1  基本概念1.主体和客体主体(subject)
SEAndroid 问题解决
03-30 5538
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
SEAndroid 策略文件 ping.te
黑山老妖
01-06 4959
最近在研究SEAndroid,略懂皮毛,发几篇帖子和大家交流下 ping.te type ping, domain; permissive ping; type ping_exec, file_type; domain_auto_trans(shell, ping_exec, ping) unconfined_domain(ping)
DWR配置文件详解:创建与转换规则
通过`<createcreator>`,我们可以指定允许哪个JavaScript类通过DWR创建,如使用`javascript`属性指定JavaScript类名,`scope`属性设置作用(如session或application)。 - `<convert>`: 匹配模式用于定义哪些类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值