Android selinux策略配置

最新推荐文章于 2024-05-15 15:00:32 发布
最新推荐文章于 2024-05-15 15:00:32 发布
阅读量988 收藏 3
点赞数 1
分类专栏: Andorid Framework 文章标签: android selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43194921/article/details/118304631
版权

功能需求描述

在android的keystore服务中获取调用者的包名。

代码实现:


#include <binder/IPCThreadState.h>
//......

	pid_t pid = android::IPCThreadState::self()->getCallingPid();
    ALOGI("calling pid: %d", pid);
    char path[64] = { 0 };
    sprintf(path, "/proc/%d/cmdline", pid);
    FILE *cmdline = fopen(path, "r");
    if (cmdline) {
        char application_id[64] = { 0 };
        fread(application_id, sizeof(application_id), 1, cmdline);
        ALOGI("application id %s", application_id);
        fclose(cmdline);
    }

selinux异常

代码在keystore进程中运行时,会抛出selinux avc异常:

05-31 08:28:34.889  7420  7420 W keystore: type=1400 audit(0.0:177): avc: denied { getattr } for path="/proc/9671/cmdline" dev="proc" ino=128198 scontext=u:r:keystore:s0 tcontext=u:r:untrusted_app:s0:c141,c256,c512,c768 tclass=file permissive=0

异常分析:

keystore在对untrusted_app的file做getattr操作时抛出异常。

sepolicy编写

# system/sepolicy/public/keystore.te    system/sepolicy/prebuilts/api/30.0/public/keystore.te
# 两个文件都增加一行:
allow keystore untrusted_app:file getattr;

添加上面一行可以满足功能需求描述中要求。

如果安全策略与其他策略文件冲突,编译系统在编译时会对策略文件做检测,如果存在冲突的情况,还需要额外修改以下文件:

system/sepolicy/prebuilts/api/30.0/private/coredomain.te
system/sepolicy/prebuilts/api/30.0/public/domain.te
system/sepolicy/private/coredomain.te
system/sepolicy/public/domain.te

有时存在system domain下引用不到vendor domain中变量的情况,如果涉及到vendor相关资源的权限,可能还需要在vendor路径下新增策略文件:

device/qcom/sepolicy_vndr/generic/vendor/common/keystore.te

编译

$ source build/envsetup.sh
$ lunch xxxxx
$ mmm system/sepolicy -j2

push到设备中验证

$ adb push out/target/product/xxxxxx/system/etc/selinux/* /system/etc/selinux/
$ adb shell sync
$ adb reboot
$ adb wait-for-device
$ adb logcat | grep keystore

如果涉及到vendor相关的策略改动,还需要执行下面的命令:

$ adb push out/target/product/xxxxxx/vendor/etc/selinux/* /vendor/etc/selinux/

设备重启后,触发功能代码执行,观察log,看是否有avc异常抛出。

后知晚觉
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
配置selinux策略_Android SeLinux安全策略配置
weixin_35765731的博客
01-14 623
众所周知,自从Android4.3版本引入SeLinux后,这一新的安全机制会对进程的权限进行最小化的限制,以保证即使受到攻击,也不会对系统整体造成太大的影响。对于SeLinux的具体机制分析不是本文的重点,这里不做赘述。前阵子商务的同事送样机去客户处测试,客户方面为安全考虑提出需要关闭root,接到这样一个需求,因为我们的系统(Android5.1)并未开放superuser权限,只是把seli...
Android SELinux介绍和配置
fanx9339的博客
06-22 4247
SELinux是什么? SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为每一个进程,每一个文件,每一个属性都定义了标签,用来控制进程对文件的操作的权限控制!在安卓里面,SELinux有三种状态: enforce模式:强制模式,必须有配置权限才能执行相应的访问/操作permissive模式:宽容模式,打印记录出现的越权行为,但是不禁止该访问/操作disable:关闭模式,关闭SELinux,不受SELinux权限控制...
Andorid 的SELinux策略
xiaowang_lj的博客
10-13 559
定义type格式:type 类型名称 [alias 别名集] [,属性集];[]表示可省略;属性集也叫做域。比如:type aa;#定义aa类型#定义aa类型,并声明别名#定义aa类型,并赋予aa给XX域#定义aa类型,声明别名,并赋予aa给XX域。
汽车EE架构
最新发布
汽车以太网和SOA
05-15 9501
汽车EE架构
【干货】Android系统定制基础篇:第五部分(Android关闭selinuxAndroid设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 2220
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
Android不同版本SELinux的介绍
01-01
3. **动态策略更新**:Android 8.0支持在设备运行时动态更新SELinux策略,增强了系统对新威胁的防御能力。 4. **更丰富的审计日志**:改进的日志系统可以帮助开发者和安全专家更好地理解和调试SELinux策略问题。 *...
hidl service selinux rule
02-07
4. **hal_hidl_demo.te**:这个文件是SELinux策略模板文件(TE),用于定义新的策略规则。在这个文件中,你需要编写针对HIDL服务的规则,比如允许哪些进程可以访问该服务,以及允许的服务行为等。 5. **te_macros**...
SELinux For Android8.0 && SELinux 4.0
09-03
Android系统采用的SELinux策略是基于类型 Enforcement(TE)模型的,每个进程都有一个特定的安全上下文,这个上下文定义了它能访问哪些文件、网络端口和其他资源。Android 8.0的更新中,SELinux策略更加严格和完善,...
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
Android 8.0(API级别26)中,Google引入了重要的系统架构改进,以提高平台的可维护性和安全性,其中最显著的就是Treble项目和更新的SELinux策略。本文将深入探讨这些新特性,以及如何对Android 8.0的SELinux权限...
android_device_qcom_sepolicy_vndr
02-15
android_device_qcom_sepolicy_vndr
android_hardware_qcom_bt
02-21
android_hardware_qcom_bt
Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录
ldswfun的专栏
06-28 1432
本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录和文件,以及编译规则
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9290
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1117
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android11快速编译并替换framework.jar
热门推荐
rock的笔记本
04-07 1万+
Android11快速编译并替换framework.jar 在Android11之前修改了framework相关代码,只需make framework就可以编译出framework.jar。在Android11这个编译命令不起作用了,根据framework/base/目录下Android.bp中的提示: java_library { name: "framework-minus-apex", defaults: ["framework-defaults"], srcs: [":fra
android 11向framwork添加服务编译成jar
zhaoyufei133的博客
12-13 631
之前写过一篇8.1添加自定义系统服务的文章,这篇文章有点区别,就是把manager部分单独新建了一个模块,方便编译成jar包,提供给上层调用。1.编写aidl文件 在framework/base下新建infrarescan/java/com/infrare/scan文件夹frameworks/base/infrarescan/java/com/infrare/scan/IInfrareScanManager.aidl package com.infrare.scan;import com.infrare.s
android11源码编译
白嫩豆腐
05-16 2097
前言 Android编译再国内其实总是会遇到各种奇怪的问题,但是想观察一下Android源码,不编译一下代码总是少点什么,虽然大部分开发系统的开发者都有开发板,所以会有芯片厂商提供的系统,但是每次都要刷机,感觉不如虚拟机好玩,当前大部分文档都是编译arm系统,大部分虚拟机无法运行,这里介绍一下内核以及aosp的编译过程 正文 目的是编译Android 11 源码,需要的配置是16+g内存,以及300g硬盘,系统ubunut 下载Android系统代码(aosp) Android系统源码下载其实比较简单,具体
android selinux详解
06-28
Android SELinux的实现基于Linux内核的SELinux模块,它通过定义安全策略来控制应用程序的访问权限,包括文件系统、网络、进程等方面。Android SELinux的实现需要在系统级别进行配置,因此需要一定的技术知识和经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

后知晚觉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值