Android设置应用进程的安全上下文

最新推荐文章于 2023-02-07 10:28:43 发布
最新推荐文章于 2023-02-07 10:28:43 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: Android安全 文章标签: android SELinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013234805/article/details/24796613
版权
本文详细介绍了Android应用进程如何通过Zygote进程创建,并设置安全上下文,涉及selinux_android_setcontext()函数、seapp_context_init()和seapp_context_lookup()等关键步骤。通过解析seapp_contexts文件,根据应用的seinfo和用户名获取相应的domain,从而确定进程的安全上下文。此外,还提到了PackageManagerService在安装应用时如何设置seinfo值。
摘要由CSDN通过智能技术生成

新书上市《深入解析Android 5.0系统》

以下内容节选自本书


理解了守护进程的安全上下文的创建过程后,我们再看看应用进程的安全上下文是如何创建的。应用进程是通过Zygote进程fork出来的,但是不会调用exec。在前面介绍Zygote进程时我们已经知道了创建应用进程时会调用函数ForkAndSpecializeCommon(),这个函数则通过调用selinux_android_setcontext()函数来设置应用进程的安全上下文,如下所示:

rc =selinux_android_setcontext(uid,is_system_server,se_info_c_str,se_name_c_str);

selinux_android_setcontext()函数的代码如下:

intselinux_android_setcontext(uid_t uid, int isSystemServer,

               const char *seinfo, const char *pkgname)

{

char *orig_ctx_str = NULL, *ctx_str;

context_t ctx = NULL;

int rc = -1;

......

__selinux_once(once, seapp_context_init); // 调用一次seapp_context_init函数

rc = getcon(&ctx_str);        // 得到当前进程从Zygote进程继承的安全上下文

......

ctx = context_new(ctx_str);    // 以ctx_str为模板创建一个新的安全上下文

orig_ctx_str = ctx_str;

......

// 在SEAPP_DOMAIN中查找新的安全上下文

rc = seapp_context_lookup(SEAPP_DOMAIN, uid,isSystemServer, seinfo, pkgname, ctx);

...... // 检查新的安全上下文

if (strcmp(ctx_str, orig_ctx_str)) { // 如果新的安全上下文和原来的不相同

     rc = setcon(ctx_str);          // 为当前进程设置安全上下文。

     if (rc < 0)

         goto err;

}

 ......

return rc;

}

selinux_android_setcontext()函数首先调用了seapp_context_init()函数来装载“seapp_context”文件的内容。然后通过函数seapp_context_lookup()查找合适的安全上下文,最后调用setcon()函数来设置进程的安全上下文。我们先看看seapp_context_init()函数的代码:

static voidseapp_context_init(void)

{

    selinux_android_seapp_context_reload();

}

seapp_context_init()函数只是调用了selinux_android_seapp_context_reload()

最低0.47元/天 解锁文章
行者无疆-超越
关注
专栏目录
Linux C/C++ or 嵌入式面试之《多进程多线程编程系列》(10) 什么是进程上下文?什么是中断上下文
二进制君
08-17 1842
上下文context: 上下文简单说来就是一个环境。用户空间的应用程序,通过系统调用,进入内核空间。这个时候用户空间的进程要传递 非常多变量、參数的值给内核。内核态执行的时候也要保存用户进程的一些寄存器值、变量等。所谓的“进程上下文”,能够看作是用户进程传递给内核的这些參数以及内核要保存的那一整套的变量和寄存器值和当时的环境等。相对于进程而言,就是进程运行时的环境。详细来说就是各个变量和数据,包含全部的寄存器变量、进程打开的文件、内存信息等。
Android系统app的domain(安全上下文)设定方法
code/decode的博客
09-21 4059
背景 在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。 在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下...
SEAndroid安全机制简要介绍和学习计划
810364804
06-30 256
与iOS相比,Android最被人诟病的是其流畅性和安全性。然而,从4.0开始,Android不遗余力地改善其流畅性。特别是在即将发布的L版本中,用ART替换了Dalvik,相信会越来越流畅。至于安全性,Android也没有遗忘。从4.3开始,Android引入了一套基于SELinux安全机制,称为SEAndroid,来加强系统安全性。接下来我们就对SEAndroid进行简要介绍和制定学习计划...
Android设置守护进程安全上下文
u013234805的专栏
04-30 2619
前面我们已经介绍了客体的安全上下文是通过文件file_contexts来指定的。但是作为主体的进程,它的安全上下文又是在哪里指定的呢?我们知道,启动进程有两种方式,一种是通过init进程来启动守护进程,另一种是通过Zygote来启动应用进程。 在“7.1.2节 启动Service进程”中介绍service_star()t函数时有一段代码是关于获得守护进程安全上下文的,让我们一起来看看:
SEandroid 安全机制---进程安全上下文
Jack的博客
06-10 1441
3进程安全上下文 前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中,除了要给文件关联安全上下文外, 还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。 也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。      在传统的Linux
Android系统10 RK3399 init进程启动(二十五) SeAndroid 安全上下文文件
ldswfun的专栏
06-01 768
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)本章节介绍SeAndroid中常见的几个安全上下文文件。在Android源码中会存在几个重要的上下文文件, 用来描述系统和属性,服务等的上下文信息, 路径在system/sepolicyfile_contexts根系统中所有文件的安全上下文, 如/system/bin, /system/etc等文件,源码路径如: system/sepolicy/privat
语境android面试题,一篇文章让你理解面试难点:执行上下文(干货满满(附面试题))...
weixin_35599815的博客
06-03 154
在JavaScript的运行过程中,经常会遇到一些"奇怪"的行为,不理解为什么JavaScript会这么工作。这时候可能就需要了解一下JavaScript执行过程中的相关内容了。执行上下文在JavaScript中有三种代码运行环境:Global CodeJavaScript代码开始运行的默认环境Function Code代码进入一个JavaScript函数Eval Code使用eval()执行代码...
SEandroid 安全机制---文件安全上下文
Jack的博客
06-10 1132
2文件安全上下文 SEAndroid是一种基于安全策略的MAC安全机制。这种安全策略实施在主体和客体的安全上下文之上。 这意味着安全策略在实施之前,SEAndroid安全机制中的主休和客体是已经有安全上下文的。 在SEAndroid安全机制中,主体一般就是进程,而客体一般就是文件。文件的安全上下文的关联有不同的方式。 本文主要分析文件安全上下文设置过程。 虽然android系统中有各种
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 1961
接第二部分的内容 深入理解SELinuxSEAndroid(结局) 二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
设置文件安全上下文的代码实现 ---- SEAndroid in android 5.x
苞谷猿的技术bug
12-09 1621
一.设置ROM中的文件的安全上下文        以system.img为例,生成system.img的命令在build/core/Makefile文件中: BUILT_SYSTEMIMAGE := $(systemimage_intermediates)/system.img .......... $(BUILT_SYSTEMIMAGE): $(FULL_SYSTEMIMAGE_DEP
Android8.x和Android9.x平台user版本打开UART输出并支持控制台输入和user版本adb root的方法
u010783226的专栏
07-11 1132
1、user版本打开uart口日志输出 1.1 修改lk mediatek\proprietary\bootable\bootloader\lk\app\mt_boot\mt_boot.c ****************************************************************************/ 我们系统使用的是设备树,所以调用的是boot_li...
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
[九鼎RK3399Pro] Android 8.1 系统定制给用户root权限
wjh8914320的博客
03-02 2975
由于有些APP需要获取root权限。 源码修改 diff --git a/build/core/main.mk b/build/core/main.mk index e3fb6fb..0bb9ef2 100644 --- a/build/core/main.mk +++ b/build/core/main.mk @@ -242,11 +242,11 @@ enable_target_debugg...
Android System Server进程源码分析 上
Android 6.0 源码学习
11-11 1656
一 System Server System Server是Zygote启动的第一个进程,它的核心功能是启动和管理Android系统的各类服务。 1.0 startSystemServer private static boolean startSystemServer(String abiList, String socketName) // abiList
android系统中执行脚本文件
最新发布
qq_36390114的博客
02-07 4124
android 执行脚本
android 远程adb root,Android8.0 user版本使用adb root(且不用授权adb key)
weixin_39980841的博客
05-27 614
在之前的几篇adb文章中,我们清楚了adb root和adb key授权的流程。这篇文章我们我们主要分析下android8.0 上如何在user版本上adb root以及不用adb key的授权。首先我们在adbd_main函数中将auth_required置为false,这个变量的用处我们在这篇博客中详细分析过了https://blog.csdn.net/kc58236582/article/d...
Android应用安全:网络端口监听的风险与漏洞分析
"Android应用本地监听端口的安全风险" 在Android应用程序开发中,本地监听端口是常见的通信方式,包括使用PF_UNIX(Unix域socket)、PF_INET(Internet域socket)和PF_NETLINK(网联域socket)等不同类型的socket。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值