Android Selinux详解[八]--常用sepolicy函数和权限组说明

原创 已于 2024-03-28 14:09:34 修改 · 2.5k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

于 2024-03-28 11:18:45 首次发布
本文介绍了OpenGroksepolicy中te_macros中的domain_trans和r_dir_file函数,以及global_macros中的常用权限组,帮助理解在策略文件中如何管理和应用这些权限控制。

te_macros中的函数以及global_macros权限组是我们在加sepolicy策略或者读sepolicy策略时经常碰到的,我们需要对其有所了解。

一)te_macros

te_macros中有很多函数,比如domain_auto_trans, r_dir_file等等,见源码中定义的地方

te_macros - OpenGrok cross reference for /system/sepolicy/public/te_macros

举例一两个看一下

1. domain_trans

#####################################
# domain_trans(olddomain, type, newdomain)   用法-有三个入参,从旧的domain转为新的domain
含义如下:
# Allow a transition from olddomain to newdomain
# upon executing a file labeled with type.
# This only allows the transition; it does not
# cause it to occur automatically - use domain_auto_trans
# if that is what you want.
#
--具体函数内容
define(`domain_trans', `
# Old domain may exec
最低0.47元/天 解锁文章
SeLinux 常见的宏
littleyards的博客
04-01 1176
意味着该声明是可以描述主体客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件lnk_file 有r_file_perms权限。
SELinux 权限添加
wangzhiruiyingmuxt的博客
05-22 678
通过adb shell getenforce 可以获取SELinux的工作模式,Enforcing表示打开,Permissive表示关闭。 当有权限未被允许时,kernel log 会提示,比如我遇到的是: type=1400 audit(1590114336.309:8): avc: denied { search } for pid=1582 comm="ip" name="net" dev="mmcblk1p16" ino=16 scontext=u:r:sysCfg:s0 tcontext=u:ob
SELinux策略:域转换与类型继承
最新发布
w2064004678的博客
09-10 849
特性域转换(Domain Transition)类型继承(Type Inheritance)目的控制进程权限提升,确保安全边界简化策略管理,实现规则重用集中化管理机制通过executeentrypointtransition权限控制可执行文件标签来实现自动或手动的域切换通过属性(Attribute)将类型分组,允许为整个组编写统一的allow规则关键规则类比函数调用:有严格的参数权限检查才能进入面向对象编程中的继承:一个子类(具体类型)继承父类(属性)的所有特性(规则)两者如何协同工作。
【Linux驱动调试技巧】如何进行SELinux安全策略配置?
crow_ch的博客
01-20 1120
SELinux(Security-Enhanced Linux) SELinux解决的是安全问题,即指定的进程只能访问特定的资源,执行特定的操作,避免越权操作引发安全性问题 传统的DAC机制(Discretionary Access Control)自主访问控制,用户其所在分组决定了该进程的用户权限 root用户具有所有的访问权限。 SELinux MAC机制(Mandatory Access ...
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 2057
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android 应用(1)——安全策略sepolicy
横山郡守的博客
04-22 3247
https://blog.csdn.net/weixin_38148680/article/details/80257685 http://www.voidcn.com/article/p-stzeacwv-xe.html https://blog.csdn.net/keheinash/article/details/101108686 https://blog.csdn.net/rikeyone/article/details/84337115 https://blog.csdn.net/u0112164
Android sepolicy规则
maokunlove的专栏
07-25 5604
1. 节点访问权限 [77037.274119] [(2015-01-20 09:17:42.876329323 UTC)] [cpuid: 2] type=1400 audit(1421745462.859:2172964): avc: denied { write } for pid=15848 comm=“system_server” name=“enable” dev=“sysf
Android Selinux详解[六]--新增属性标签相关
weixin_41028555的博客
03-18 2885
3. 以system_server为例,因为它本身对system_prop的属性有set权限,如果需要在systemserver中新增属性的话,可以以sys.开头,或者以persist.sys.开头,都不用再去新增对应的权限了。1. 对于没有在property_contexts中定义的属性,默认标签为default_prop。2. 以下这种代表以sys.开头的属性标签都为system_prop,其他的也都是一样的。属性有很多种命名方法,但对应的标签页不同,安卓原生的一个属性标签可以参考。
SeLinux详解
m0_37571604的博客
07-23 965
SELinux的全称是:安全加强的Linux (Security-EnhancedLinux)。Android通过SELinux对所有的进程、甚至是拥有root/superuser特权的进程加强访问约束。通过SELinuxAndroid可以更好地保护限制系统服务对应用数据系统日志的访问,从而减少恶意软件的影响。SELinux遵循默认拒绝的原则:任何没有被策略文件允许的操作都是被拒绝的。如果某个进程想访问指定的文件需要在策略文件中明确地指出。
Android P SELinux (三) 权限检查原理与调试
headwind的博客
08-15 5072
目录引子一、权限检测原理1、拥有的权限2、需要的权限3、裁决4、其他二、avc denied信息分析三、调试1、快速编译替换1.1 编译替换1.2 load_policy2、尽量使用宏3、使用属性4、setools工具四、参考文章 引子 我们在处理SELinux权限问题的时候,avc denied信息是最关键的,那么avc denied 的打印信息要怎么看、里面的内容每一个字段是什么意思?kernel log的avc denied信息是哪里打印出来的? 以前有个想法,我们系统的操作、命令都是有限的,那其
Android P SELinux (二) 开机初始化与策略文件编译过程
headwind的博客
08-14 5188
本文主要围绕二进制策略文件的加载编译过程 我们写的te规则,到底生成在哪里了?开机之后又是怎么加载使用的? 目录一、SELinux开机初始化1. init.cpp2. selinux.cpp2.1 SelinuxSetupKernelLogging2.2 SelinuxInitialize2.3 checkreqprot2.4 LoadPolicy2.5 LoadSplitPolicy2.6 FindPrecompiledSplitPolicy二、SELinux Policy编译3. 二进制策略文件的生成
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
android sepolicyselinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
androidsepolicy, selinux学习笔记
shellshell13的专栏
02-19 9233
android sepolicy selinux规范学习,相关问题debug
SELinux sePolicy
大雄不爱吃肉
08-14 4600
基础知识 SEAndroid在架构机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy policy
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
Android系统下在te文件中为指定服务添加sepolicy权限 ~~~~mark 详细
weixin_42082222的博客
12-12 2064
Android系统下在te文件中为指定服务添加sepolicy权限 发布时间:2018-01-18 来源:网络 上传者:用户 关键字: sepolicy 指定 权限 添加 Android 文件 系统 服务 发表文章 摘要:【正文】设备在播放视频时有异常,使用Logcat查看日志时发现了如下记录:04-2714:01:59.13628252825ESELinux:avc:denied{...
SelinuxSepolicy
ambitions666的博客
08-01 443
标签 selinux通过标签来匹配规则相应的许可操作。 标签采用以下形式: ​ user:role:type:mls_level 规则selinux的规则采用一下形式: allow domains types:classes actions domains :域,可以理解成一个容器,存放不同主体subject。不同主体可以同属一个域 types:被访问对象(客体)的标签 classes:客体的不同类型 actions:需要执行的操作 启动第三方可执行程序 start exttv-0-1
Android sepolicy实战演练
lidepeng139的博客
09-20 385
service.te添加type rcu_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;system_server.te中添加allow system_server default_android_service:service_manager add;service_contexts添加rcu u:object_r:rcu_service:s0。
Android Selinux深度探索:强化安全与sepolicy编写指南
《探索Android SELinux》是一本深入讲解Android安全机制的教程,主要针对那些希望理解掌握Linux访问控制特别是强制访问控制(Mandatory Access Controls, MASC)与SELinuxAndroid平台应用的开发者安全研究人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值