SEandroid 安全机制---文件安全上下文

最新推荐文章于 2022-06-23 10:50:20 发布
最新推荐文章于 2022-06-23 10:50:20 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: ---【SEandroid安全机制】 文章标签: android 安全机制 文件安全上下文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012439416/article/details/72974463
版权
本文详细介绍了SEAndroid安全机制中的文件安全上下文,包括读取mac_permissions.xml文件、创建数据目录及其Java和native层的过程,以及如何设置和管理不同应用的数据文件安全上下文,确保Android系统的安全。
摘要由CSDN通过智能技术生成

2文件安全上下文

SEAndroid是一种基于安全策略的MAC安全机制。这种安全策略实施在主体和客体的安全上下文之上。

这意味着安全策略在实施之前,SEAndroid安全机制中的主休和客体是已经有安全上下文的。

在SEAndroid安全机制中,主体一般就是进程,而客体一般就是文件。文件的安全上下文的关联有不同的方式。

本文主要分析文件安全上下文的设置过程。

虽然android系统中有各种不同的文件,但再次仅论述应用进程的数据文件, 无论是系统应用程序,还是第三方应用程序,

它们的数据文件都是位于data分区的data子目录中的,因此需要有一种机制给在/data/data目录中创建的数据文件

设置不同的安全上下文。应用程序在安装的时候,PackageManagerService会通过守护进程installd在/data/data

目录中创建相应的数据目录,以后应用程序在运行的过程中默认创建的数据文件就位于对应的数据目录中,

因此只要给这些数据目录设置不同的安全上下文,就可以让不同类型的应用程序在运行的过程中创建不同安全上下文的数据文件。

例如.data/data 目录下面的文件上下文如下,这些是都apk的文件目录,

ls  -Z


2.1 读取mac_permissions.xml文件

PackageManagerService负责安装Android应用程序,在该服务启动(构造方法中)的时候会调用SELinuxMMAC的

readInstallPolicy方法读取mac_permissions.xml文件,

mFoundPolicyFile = SELinuxMMAC.readInstallPolicy();

readInstallPolicy方法如下,

public static boolean readInstallPolicy() {
        // Temp structure to hold the rules while we parse the xml file
        List<Policy> policies = new ArrayList<>();

        FileReader policyFile = null;
        XmlPullParser parser = Xml.newPullParser();
        try {
            policyFile = new FileReader(MAC_PERMISSIONS);
            Slog.d(TAG, "Using policy file " + MAC_PERMISSIONS);

            parser.setInput(policyFile);
            parser.nextTag();
            parser.require(XmlPullParser.START_TAG, null, "policy");
••••

这个方法一看就知道是将xml文件解析出来,然后放到集合中保存,保存在sPolicies中。

private static List<Policy> sPolicies = new ArrayList<>();

PackageManagerService通过调用SELinuxMMAC类的静态成员函数readInstallPolicy,

就初始化好了接下来安装应用程序时要用到的seinfo字符串。

PackageManagerService在安装应用程序的时候,会调用到scanPackageDirtyLI来解析应用程序的信息。

这个函数会同时也会给正在安装的应用程序分配一个字符串,如下所示:

最低0.47元/天 解锁文章
Achillisjack
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux中文件安全上下文
因为觉得还太菜所以暂时不更新
11-04 1275
1、什么是安全上下文 (1)安全上下文是一个简单一致的访问控制属性 (2)特定的文件被特定的程序访问,是访问时的凭证 (3)会关闭系统认为不安全的所有功能 2、程序访问文件时匹配安全上下文 设置: 命令 功能 touch /mnt/abc 在mnt下建立一个新文件案abc mv /mnt/abc /var/ftp 将mnt下的abc移动到/var/ftp中,移动可以保持文件原有...
chcon命令 修改文件安全上下文
01-09
chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件安全环境变更至指定环境。 语法格式: chcon [参数] 常用参数: -h 影响符号连接而非引用的文件 -R 递归处理所有的文件及子目录 -v 为处理的所有文件显示诊断信息 -u 设置指定用户的目标安全环境 -r 设置指定角色的目标安全环境 -t 设置指定类型的目标安全环境 -l 设置指定范围的目标安全环境 参考实例 把ftp共享给匿名用户: [root@linuxcool ~]# chcon -R -t public_content_t /
linux 目录权限上下文,文件和目录的安全上下文
weixin_28813025的博客
04-29 282
文件和目录的安全上下文(涉及一些文件系统)当我们敲下命令发起一个进程去操作(读取,复制,修改,删除等)一个目录或文件时,进程会根据我们的身份(目录的属主,属组,其他),对照目录或文件的属主,属组和其他的权限去执行。只有我们拥有目录相应的权限,进程才能执行。进程在匹配时是有顺序的,当你是文件的属主,进程便不会去对照我们的属组身份。目录和文件的权限详讲:一、目录的权限详讲:当执行者对目录有读权限时:执...
安全上下文的认识
ZGGHUAN
05-16 4770
一、临时修改安全上下文在/mnt下建立一个文件,并将它移动到ftp目录下,在我们登陆时lftp时,没有westos文件在/var/ftp下建立一个文件
自己控制文件安全上下文
wjyph的博客
07-09 1321
我们已经知道进程按照特定的SELinux域来执行的,域被SELinux用来检查进程针对某一上下文文件的权限。我们需要知道如何设置文件上下文,知道如何让这可管理。由此以来,如果当出现因为错误的上下文而权限拒绝。我们需要纠正这个问题。 SELinux中的文件(目录)的上下文通过它的扩展属性来设置的,但是不得不手动为所有文件设置上下文,这需要包含所有可能的文件路径和相关的SELinux上下文的数据
行业分类-设备装置-一种基于SEAndroid平台的应用程序动态安全管理方法及系统.zip
09-03
SEAndroid是由美国国家安全局(NSA)开发的,它扩展了Android的权限管理系统,引入了强制访问控制(MAC)机制,使得每个应用程序和服务都有自己的安全上下文,从而限制了它们的访问权限。这种方法可以防止恶意软件或...
SELinux System - 2nd Edition + SELinux 详解 SEAndroid基础
01-23
SELinux的工作机制是通过赋予每个进程一个安全上下文,这个上下文包含了用户、角色、类型和等级信息。这些信息决定了进程可以访问哪些资源。例如,网络服务器进程可能只有读取其配置文件和监听网络端口的权限,而...
Android系统安全机制
07-31
系统中的所有对象(如文件、套接字和IPC端口)都附有一个安全上下文,该上下文定义了该对象的访问控制策略。 - **SEAndroid的优势**:通过SEAndroid,即使存在某些应用程序或服务的漏洞,也可以防止它们对其他部分...
device_qcom_sepolicy-legacy
02-11
1. **安全上下文Security Context)**:每个系统对象(如进程、文件、套接字等)都有一个安全上下文,包含用户ID、组ID以及类型 Enforcement(TE)策略中的类型标签。 2. **类型(Type)**:定义了对象的安全类别...
Android 7.0 SEAndroid app权限配置方法
08-27
SEAndroid通过seapp_contexts文件来定义不同应用的上下文信息,这包括应用的domain和type,这些都是由user和seinfo两个参数决定的。在定义中,不同的user标识和seinfo值对应不同的应用类型。例如,一个应用如果user...
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9551
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 1870
接第二部分的内容 深入理解SELinuxSEAndroid(结局) 二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 3016
当APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
SEandroid是如何使用max_permissions.xml seapp_contexts的?
小明的专栏
09-04 2663
external/sepolicy/mac_permissions.xml 是原始的文件,通过insertkeys.py  external/sepolicy/keys.conf    得到最终的mac_permissions.xml 。 out/host/linux-x86/bin/insertkeys.py -t eng -c /home/public/workspace/seandroid
Android-SEAndroid权限问题指南
热门推荐
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
linux 检查 系统 完整,系统完整性检查_no brothers,no linux的技术博客_51CTO博客
weixin_39920629的博客
05-10 980
系统完整性检查一、 tripwire1、 tripwire运行原理Tripwire是一款开放源码的完整性检查工具,Tripwire会对文件或目录状态生成唯一的标识(又称为 "快照"),并将其存放起来以备后用。当Tripwire程序运行时,与快照比较,如果发现不匹配的话,它就报告系统管理人员文件已经被修改。通过对以上运行机制的了解我们不难发现,完整性检查工具的安装时机非常重要...
Android 逆向】Android 中常用的 so 动态库 ( libm.so 数学函数动态库 | liblog.so 日志模块动态库 | libselinux.so 安全模块动态库 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-26 6277
一、libm.so 数学函数动态库、 二、liblog.so 日志模块动态库、 三、libselinux.so 安全模块动态库、
SELinux MAC安全机制简介
林多
03-11 2902
SELinux MAC安全机制 SELinux MAC Security Enhanced Linux(SELinux),使用Mandatory Access Control(MAC)方式对权限进行管控。 MAC强制访问控制,针对特定的程序与特定的文件资源进行权限管理。 MAC采用政策(Policy)\规则(Rule)、安全上下文,主体对目标的访问,需要满足政策、安全上下文,才可以访问。 SE...
linux内核mac设置,MAC访问控制机制在Linux系统中的实现:SELinux
weixin_39851914的博客
05-01 482
SELinux全称:Security-Enhanced Linux,安全加强的Linux;SELinux系统的本来名称为MAC:强制访问控制;SELinux就是MAC访问控制机制在Linux系统中的实现;操作系统安全等级标准(橙皮书):D级别(最低安全级别)C级别:C1, C2 (DAC自主访问控制,例如windows等系统的安全级别为C1级别)B级别:B1, B2, B3 (强制访问控制级别M...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值