Android selinux策略配置

最新推荐文章于 2024-05-07 13:47:22 发布
最新推荐文章于 2024-05-07 13:47:22 发布
阅读量990 收藏 3
点赞数 1
分类专栏: Andorid Framework 文章标签: android selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43194921/article/details/118304631
版权

功能需求描述

在android的keystore服务中获取调用者的包名。

代码实现:


#include <binder/IPCThreadState.h>
//......

	pid_t pid = android::IPCThreadState::self()->getCallingPid();
    ALOGI("calling pid: %d", pid);
    char path[64] = { 0 };
    sprintf(path, "/proc/%d/cmdline", pid);
    FILE *cmdline = fopen(path, "r");
    if (cmdline) {
        char application_id[64] = { 0 };
        fread(application_id, sizeof(application_id), 1, cmdline);
        ALOGI("application id %s", application_id);
        fclose(cmdline);
    }

selinux异常

代码在keystore进程中运行时,会抛出selinux avc异常:

05-31 08:28:34.889  7420  7420 W keystore: type=1400 audit(0.0:177): avc: denied { getattr } for path="/proc/9671/cmdline" dev="proc" ino=128198 scontext=u:r:keystore:s0 tcontext=u:r:untrusted_app:s0:c141,c256,c512,c768 tclass=file permissive=0

异常分析:

keystore在对untrusted_app的file做getattr操作时抛出异常。

sepolicy编写

# system/sepolicy/public/keystore.te    system/sepolicy/prebuilts/api/30.0/public/keystore.te
# 两个文件都增加一行:
allow keystore untrusted_app:file getattr;

添加上面一行可以满足功能需求描述中要求。

如果安全策略与其他策略文件冲突,编译系统在编译时会对策略文件做检测,如果存在冲突的情况,还需要额外修改以下文件:

system/sepolicy/prebuilts/api/30.0/private/coredomain.te
system/sepolicy/prebuilts/api/30.0/public/domain.te
system/sepolicy/private/coredomain.te
system/sepolicy/public/domain.te

有时存在system domain下引用不到vendor domain中变量的情况,如果涉及到vendor相关资源的权限,可能还需要在vendor路径下新增策略文件:

device/qcom/sepolicy_vndr/generic/vendor/common/keystore.te

编译

$ source build/envsetup.sh
$ lunch xxxxx
$ mmm system/sepolicy -j2

push到设备中验证

$ adb push out/target/product/xxxxxx/system/etc/selinux/* /system/etc/selinux/
$ adb shell sync
$ adb reboot
$ adb wait-for-device
$ adb logcat | grep keystore

如果涉及到vendor相关的策略改动,还需要执行下面的命令:

$ adb push out/target/product/xxxxxx/vendor/etc/selinux/* /vendor/etc/selinux/

设备重启后,触发功能代码执行,观察log,看是否有avc异常抛出。

后知晚觉
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
android 9.0 selinux 策略配置
zhbpd的专栏
10-19 2094
主要配置: (1)文件; 在 file.te 中声明一个文件类型; type my_file, file_type, data_file_type, core_data_file_type; 在 file_contexts 文件中关联实际的文件路径和文件类型; /data/my_file(/.*)? u:object_r:my_file:s0 注意 my_file 的类型,如果是data目录下的,要添加 core_data_file_type; 是 vendor目
Android selinux配置和用法
makeyourprogress的博客
07-04 3962
SELINUX相关的代码目录: 1)kernel/msm-3.18/security/selinux/ 2)external/selinux/ 3)用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件,主要包括device//sepolicy//和system/sepolicy/,以及其他功能模块添加的配置文件。 Android中对SELINUX来说,有两个类型,一种
Android SELinux 权限相关问题
jwg1988的博客
03-30 972
adb push out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux到设备的/system/etc/和/vendor/etc/目录,重启设备即可生效。验证方法如上述,可是,死活就是不成功,错误一点都没变,说明添加的一直未生效,最后生生就在这卡了一天,增量编,整编都试了,最后问题出在。再做OTA的时候,需要zip包放在data/ota_package下,再操作的时候,报错如下。
【干货】Android系统定制基础篇:第五部分(Android关闭selinuxAndroid设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 2274
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
安卓SELinux策略
最新发布
似霰的博客
05-07 422
安卓SELinux策略
Android T 添加vendor/bin下面的自启动服务
u013306216的博客
12-09 860
最后删除了odm/etc/selinux/下面的precompiled_sepolicy等相关文件后重启设备发现没有该问题了,原因是全刷的时候vendor/etc/selinux/下面并没有定义Selinux的标签,odm/etc/selinux/中的precompiled_sepolicy*文件是预编译的时候根据vendor和system中的selinux标签进行加载的。//iqi_bridge_exec将iqi_bridge_exec定义为可执行文件。
Android 12 S 自定义Hal服务selinux权限添加
weixin_41028555的博客
06-13 1985
如果遇到如下错误,应该是漏了添加。自定义hal服务添加可参考。
高通sm4350平台指纹移植
u010783226的专栏
12-14 4168
本文总结了高通sm4350平台指纹移植流程,厂家一般会提供移植文档,本文档可作为补充: 准备工作: 1、把指纹模组扣到主板上的SPI连接器上 2、高通sm4350平台,Android R版本全代码,全编通过 3、联系FAE获取指纹移植资料,主要包括: a, 驱动代码、DTS配置文件 b, 指纹CA,一般是动态库,例如vendor.fingerprint.default.so c, 指纹TA相关,包括编译脚本(SConscript文件)、源码、算法库 d, MMI测试a...
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
Android不同版本SELinux的介绍
01-01
3. **动态策略更新**:Android 8.0支持在设备运行时动态更新SELinux策略,增强了系统对新威胁的防御能力。 4. **更丰富的审计日志**:改进的日志系统可以帮助开发者和安全专家更好地理解和调试SELinux策略问题。 *...
hidl service selinux rule
02-07
4. **hal_hidl_demo.te**:这个文件是SELinux策略模板文件(TE),用于定义新的策略规则。在这个文件中,你需要编写针对HIDL服务的规则,比如允许哪些进程可以访问该服务,以及允许的服务行为等。 5. **te_macros**...
android_device_qcom_sepolicy_vndr
02-15
android_device_qcom_sepolicy_vndr
SELinux For Android8.0 && SELinux 4.0
09-03
Android系统采用的SELinux策略是基于类型 Enforcement(TE)模型的,每个进程都有一个特定的安全上下文,这个上下文定义了它能访问哪些文件、网络端口和其他资源。Android 8.0的更新中,SELinux策略更加严格和完善,...
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
Android 8.0(API级别26)中,Google引入了重要的系统架构改进,以提高平台的可维护性和安全性,其中最显著的就是Treble项目和更新的SELinux策略。本文将深入探讨这些新特性,以及如何对Android 8.0的SELinux权限...
配置selinux策略_Android SeLinux安全策略配置
weixin_35765731的博客
01-14 626
众所周知,自从Android4.3版本引入SeLinux后,这一新的安全机制会对进程的权限进行最小化的限制,以保证即使受到攻击,也不会对系统整体造成太大的影响。对于SeLinux的具体机制分析不是本文的重点,这里不做赘述。前阵子商务的同事送样机去客户处测试,客户方面为安全考虑提出需要关闭root,接到这样一个需求,因为我们的系统(Android5.1)并未开放superuser权限,只是把seli...
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
sepolicy 配置和快速验证
kanyou222的专栏
04-28 1913
sepolicy修改后 快速验证 编译:(只针对 .te 的文件, 如果file_contexts service_contexts 这种文件好像不行) make selinux_policy -j8 // vendor 和system 都修改了 make selinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件 vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vend...
高通8155 GPS HAL层代码移植
四季帆的博客
02-13 1520
Qup的全称是qualcommuniversalperipherals即高通通用外设,uart就是连接在qup上,我的gpsuart连接在QUP13上,所以肯需要在tz_8155/trustzone_images/core/settings/buses/qup_accesscontrol/qupv3/config/855/QUPAC_Access.c文件中修改qupv3_perms_auto[]数组的QUPV3_2_SE3相关配置。...
Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录
ldswfun的专栏
06-28 1437
本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录和文件,以及编译规则
android selinux详解
06-28
Android SELinux的实现基于Linux内核的SELinux模块,它通过定义安全策略来控制应用程序的访问权限,包括文件系统、网络、进程等方面。Android SELinux的实现需要在系统级别进行配置,因此需要一定的技术知识和经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

后知晚觉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值