Android Selinux详解[三]--新增设备节点标签相关

已于 2024-03-18 10:40:51 修改
阅读量976 收藏 22
点赞数 22
分类专栏: Android Selinux 文章标签: android
于 2024-03-11 15:13:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41028555/article/details/136619081
版权

上个章节说了在file_context中也可以新增节点,但可能会出现标签无法生效的情况,这种情况下就需要在genfs_contexts中去新增设备节点相关的标签了,因为在genfs_contexts中打的标签,系统会自动执行restorecon命令,而在file_contexts中新增设备节点标签,是需要代码或者手动执行restorecon命令才会生效的。

在工作过程中,SElinux常用的有以下几个文件可用于新增标签

可用于加标签的文件名含义对应的声明文件名(一般会声明的地方,根本上放哪里都可以)
file_contexts给 文件/目录/节点 新增标签file.te
genfs_contexts给节点新增标签,与上一个不同的是,不用执行restorecon操作file.te
hwservice_contexts给hal服务新增标签hwservice.te
property_contexts给属性新增标签property.te
seapp_contexts给APP新增标签untrusted_app.te app.te...等等
service_contexts给系统服务新增标签service.te

本文主要讲一下如何在genfs_contexts中新增标签。

目录

1. 我们看一下源码中的genfs_contexts加标签的格式

2. 如何给系统设备节点打标签

3. 新增节点的验证方式

1. 我们看一下源码中的genfs_contexts加标签的格式

genfs_contexts - OpenGrok cross reference for /system/sepolicy/private/genfs_contexts

给/proc/cmdline打标签

genfscon proc /cmdline                                           u:object_r:proc_cmdline:s0

给/sys/class/leds打标签
genfscon sysfs /class/leds                                       u:object_r:sysfs_leds:s0

可以看到格式如下

genfscon 节点首目录标签 /路径     u:object_r:新标签名:s0

比如/sys/class/leds的标签是用如下加法去加的:

首先看一下sys目录的标签是什么, 在adb shell 后执行

ls -l -Z

dr-xr-xr-x  14 root   root      u:object_r:sysfs:s0                      0 1970-01-01 00:00 sys

可以看到sys的标签是sysfs,然后就可以给/sys/class/leds打标签了,打法就是下面这样的

genfscon sysfs /class/leds           u:object_r:sysfs_leds:s0

看下机器里是什么样的,执行ls -l -Z /sys/class/,就可以看到leds的标签了。

drwxr-xr-x 2 root root u:object_r:sysfs_leds:s0            0 1970-01-03 18:45 leds

2. 如何给系统设备节点打标签

我们随便举个例子,假设我们要给/sys/devices/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds/blue加标签

加标签之前我们要先看一下当前的标签,以及确认一下当前的路径

adb shell

cd /sys/devices/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds

$/sys/devices/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds # ls -l -Z
total 0
drwxr-xr-x 3 root root u:object_r:sysfs:s0  0 1970-01-03 18:45 blue

看完之后,我们会发现,当前blue节点的标签是sys的默认标签,也就是sysfs,那加法就是如下的:

+ genfscon sysfs /devices/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds   u:object_r:sysfs_new_leds:s0

但到此处,加法是不全的,我们还需要看一下/sys/devices/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds这条路径有没有超链接,也就是有没有从别的路径也能到blue这个节点的地方,我们做如下操作:

cd ..

ls -l

cd ..

ls -l

一直往前查找,查找到第一个目录sys,查看有没有超链接,假设这里是有超链接的,格式是如下这种

sys/devices/platform/soc/xxx000.i2c/i2c-0$ ls -l
total 0
drwxr-xr-x  22 root root 0 1970-01-03 18:45 0-00xx -> ../../../../../class/platform

那说明也可以通过sys/class/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds路径到达blue节点,那我们就要把这个超链接路径也添加进去才可以

+ genfscon sysfs /class/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds   u:object_r:sysfs_new_leds:s0

到此就结束了,总结下,那我们需要在genfs_contexts添加两条才可以

+ genfscon sysfs /devices/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds   u:object_r:sysfs_new_leds:s0

+ genfscon sysfs /class/platform/soc/xxx000.i2c/i2c-0/0-00xx/leds   u:object_r:sysfs_new_leds:s0

 然后再在file.te中添加声明,节点类的基本都是如下声明格式,将标签名替换即可。

+type sysfs_new_leds, sysfs_type, fs_type;

3. 新增节点的验证方式

编译方式验证方法
整编刷机烧录的方式,此方法不用任何别的操作,去你新增的标签下通过ls -l -Z查看即可看到效果
单编

adb push完之后然后执行adb reboot

重启完成后去对应目录下去查看标签,会发现标签并没有生效

需要执行以下restorecon命令才可以

当文件对应路径下使用restorecon +文件名的方式,即可看到打标签后的效果

如果涉及到开机过程中的权限访问,请最好整编验证,因为此时执行restorecon命令可能会来不及。

追光的人-fighting
关注
  • 22
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android11 Framework Selinux 添加设备节点问题修改及具体实现
人生只是一种体验,不必用来演绎完美。
04-21 4397
file_contexts文件修改时,最后一行必须要有一个空行,否则会编译不过。 ======================================================== file_contexts 最后一行修改不是空行,怎么都编不过,搞了半天,气死了~~ FAILED: out/target/product/ums9620/obj/ETC/file_contexts.bin_intermediates/file_contexts.bin ** Error: could not l
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
android11展锐 Selinux 添加设备节点问题修改及具体实现
Haomione的博客
08-26 1635
android11展锐 Selinux 添加设备节点问题修改及具体实现
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8818
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
SeLinux安全上下文文件
最新发布
littleyards的博客
04-01 581
Android中,常见的安全上下文文件有file_contexts、genfs_contexts、service_contexts、mac_permissions.xml和seapp_contexts。seapp_contexts,app的安全上下文,用于描述apk 安装之后的目录文件和/data/data 目录分配标签。根系统中所有文件的安全上下文, 如/system/bin, /system/etc 等文件。系统binder服务的安全上下文,在启动过程中,servermanger会读取该配置。
Selinux小结
~山之歌~
11-30 1万+
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 SELinux Policy语言    3 1、安全属性——SContext    3 2、TE简介    4 1). 客体类别和许可:    4 2). 访问向量规则:    5 3). AV规则    5 四、SElinux策略文件
SEAndroid策略
移动编程
05-21 588
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
Android Selinux 应用读写设备节点
人生只是一种体验,不必用来演绎完美。
01-22 3527
写入设备节点 final String FILE_PATH = "/sys/dev"; private void writeSysFile(){ final File file = new File(PATH_REPORT) ; String cmd = "1"; FileOutputStream fos = null; try{ fos = new FileOutputStream(file);
selinux-policy-3.14.3-80.el8.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
container-selinux-2.9-4.el7.noarch.rpm
01-08
安装 Docker 时资源包docker-ce-18.03.1.ce-1.el7.centos.x86_64.rpm的依赖包
LEDS-GPIO驱动中遇到的问题总结
02-13
LEDS-GPIO驱动中遇到的问题总结:unlocked_ioctl与ioctl的区别,miscdevice函数,#ifdef 语句1 // 程序2 #endif GPX个控制寄存器,
container-selinux-2.74-1.el7.noarch.rpm
12-02
解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm
container-selinux-2.9-4.el7.noarch.rpm.zip
02-27
安装 Docker 时资源包docker-ce-18.03.1.ce-1.el7.centos.x86_64.rpm的依赖包
android 10 system app 读取sysfs_leds avc修改
wangjicong_215的博客
08-10 1061
/device/qcom/sepolicy/generic/vendor/common/system_app.te +allow system_app sysfs_leds:dir r_dir_perms; +allow system_app sysfs_leds:file rw_file_perms; +allow system_app sysfs_leds:lnk_file read; device/qcom/sepolicy/generic/vendor/common/genfs_contexts +
Android系统】sysfs节点selinux权限
John_chaos的博客
07-20 1851
device/qcom/sepolicy/vendor/msm8953/file.te +type sysfs_leds, sysfs_type, fs_type; +type sysfs_brightness, sysfs_type, fs_type; device/qcom/sepolicy/vendor/msm8953/file_contexts +/sys/devices/platform/soc/78b7000.i2c/i2c-3/3-005b/leds/aw9106_led u:obj.
Android Selinux详解[二]--新增文件标签相关
weixin_41028555的博客
03-07 1153
在工作过程中,SElinux常用的有以下几个文件可用于新增标签restorecon在Selinux中是一个非常常用的命令,其解释如下"restorecon" 是一个用于恢复文件或目录的 SELinux 安全上下文的命令。在使用 SELinux(Security-Enhanced Linux)时,每个文件和目录都有一个安全上下文,它描述了文件或目录的安全属性和访问权限。如果由于某种原因安全上下文发生了改变,例如文件被移动或复制,可能导致安全上下文不一致。
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 6910
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
深入理解SELinux SEAndroid(最后部分)
热门推荐
Innost的专栏
02-23 4万+
接第二部分的内容(http://blog.csdn.net/innost/article/details/19641487)SEAndroid最后一部分全文PDF下载地址为:http://vdisk.weibo.com/s/z68f8l0xZUS9w     深入理解SELinux/SEAndroid(结局)二  SEAndroid源码分析有了上文的SELinux的基础知识,本节再来看看Googl
android selinux详解
06-28
### 回答1: Android SELinuxAndroid操作系统中的一种安全机制,它可以限制应用程序的访问权限,保护用户数据的安全性。SELinux是一种强制访问控制(MAC)机制,它通过强制规则来限制应用程序的访问权限,即使应用程序本身存在漏洞,也可以保护系统的安全性。Android SELinux的实现基于Linux内核的SELinux模块,它通过定义安全策略来控制应用程序的访问权限,包括文件系统、网络、进程等方面。Android SELinux的实现需要在系统级别进行配置,因此需要一定的技术知识和经验。 ### 回答2: 安卓的SELinux是一项安全功能,做到了不同级别权限间的隔离。它与Linux的SELinux相似,都是基于Mandatary Access Control(MAC)的实现。MAC使用了定义好的安全策略来决定进程访问对象的许可。每个对象有一个或多个安全标签,决定了可访问这些对象的访问者。SELinux实现了一个高度定制化的MAC实现,以达到保护系统免受攻击的效果。 SELinux可以将任何应用程序、库或系统进程在安全上互相隔离。每个进程可以分配一个不同的安全上下文,用于决定该进程可以执行的操作。SELinux允许管理员定义一个策略集,以确保只有那些拥有特定权限的应用程序可以执行特定的操作。SELinux包括以下4个组件。 * Security-enhanced kernel:该内核支持SELinux,并且为应用程序和系统提供安全保护。通常,操作系统上的SELinux是直接编译到内核配置中的。 * SELinux policy:这是一组规则,它定义了哪些进程可以访问哪些资源,以及何时可以访问它们。这是SELinux的“脑”。SELinux策略通过使用安全标签来标识资源和进程,并使用规则来决定它们之间的安全关系。 * SELinux utilities:这些社区提供的工具用于安装、更新和管理SELinux策略。通常情况下,管理员会安装每个Linux发行版自带的安全工具。 * SELinux-aware applications:这是应用程序和守护进程,它们能够在SELinux的约束下运行。这些应用程序还懂得如何处理SELinux策略,以确保它们对系统的安全有积极贡献。 总的来说,SELinux是一项强大而高度定制化的MAC实现,能够确保安卓系统和应用程序免受攻击。它通过一组规则定义了可用资源和进程之间的安全关系,从而在操作系统和应用层上实现了分离和隔离。作为一项优秀的安全保护功能,它能够在各种安卓设备上为用户提供强大的保护措施,从而发挥关键的作用。 ### 回答3: Android操作系统是目前全球手机、平板等终端设备最常用的操作系统之一。Android系统架构中有一个非常重要的安全机制,即SE_LINUX(Security-Enhanced Linux)。SE_LINUX是由美国国家安全局(NSA)和Redhat合作研发的一种新型操作系统,它基于强制性访问控制(Mandatory Access Control)机制,是一种可扩展的安全模型,功能十分强大。 Android系统使用SE_LINUX来保障应用程序的安全。在Android的SE_LINUX中,安全策略旨在为每个进程提供最佳的资源保护。当应用程序尝试访问受限制的资源时,安全策略会检查该应用程序的标记是否具有访问受限制资源的许可权,以确保安全性。如果没有访问权限,访问请求就会被拒绝,在应用程序层面上保证了Android系统的安全。 其中,SE_LINUX的工作原理是在内核上增加了一个“SELinux系统”,具体实现过程如下:(1)在内核源代码中添加SELinux系统;(2)在Linux 内核上开发安全模块;(3)编写用户空间程序和共享代码,实现SELinux规则和策略以及管理SELinux权限的机制。Android系统的SE_LINUX是基于SMLS架构,即安全、多层、标签、安全。 同时,SE_LINUX还为Android系统中的进程、文件系统、系统服务进行了标记化管理。每个进程都有一个唯一的SELinux安全上下文标签进行标识,涉及到的对象都会增加一个SELinux标签,当某个进程尝试访问某个对象时,它的SELinux上下文标签需要满足该对象的SELinux上下文标签的安全策略,否则该进程就会被降级或者拒绝访问该对象。 总之,Android SE_LINUX是Android操作系统架构中的重要安全机制,它通过强制性访问控制(Mandatory Access Control)机制来保护应用程序的安全,在访问受限制的资源时会进行检查、获取许可证以保证安全。SE_LINUX的工作原理是标记化管理,确保每个进程、文件系统、系统服务都对应一个唯一的安全标签,实现了权限的有效、高效管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值