Selinux篇3 -TE规则

最新推荐文章于 2024-07-02 15:04:06 发布
最新推荐文章于 2024-07-02 15:04:06 发布
阅读量1.3k 收藏 7
点赞数 3
分类专栏: selinux 文章标签: 设计模式 c++ selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieyinsen/article/details/121547192
版权

allow vold device:dir write

这句的意思是:允许 type 为 vold 的主体 对 type 为 device的客体 拥有 客体类别为 dir 的write 权限。根据 SELinux 规范,规则定义的格式为:

rule_name source_type target_type : class perm_set;

可以看到规则中只用到了主体和客体的 type,而动作是以操作类别与具体操作的组合体现的。

所有 rule_name 如下:

allow 表示允许主体对客体执行允许的操作;

auditallow 表示即便允许操作也要记录访问决策信息(仍然需要有 allow 规则才允许);

dontaudit 表示违反规则的决策信息也不记录(便于定位问题,已知此操作会被拒绝但不会引起真正问题);

neverallow 表示不允许主体对客体执行指定的操作;同时还有其他 dontaudit allowaudit。

 

常见class 定义

# file-related classes

class filesystem

class file  #代表普通文件

class dir   #代表目录

class fd    #代表文件描述符

class lnk_file  #代表链接文件

class chr_file  #代表字符设备文件

 ......

# network-related classes

class socket   #socket

class tcp_socket

class udp_socket

......

class binder   #Android平台特有的binder

class zygote   #Android平台特有的zygote

常见动作定义:

 

一个规则demo:

 关键字attribute

属性关键字,适用于规则批量管理。

 系统文件位置/system/sepolicy/public/attribute

此文件增加我们自己定义的属性

attribute display_service_server;

attribute wifi_keystore_service_server;

+attribute attribute_test;

此处test_service具有和domain一样的作用,作为一个属性存在,一个进程域。

然后通过对此属性进行定义。

#定义两个type,分别是A_t和B_t,它们都管理到attribute_test

type A_t attribute_test;

type B_t attribute_test;

#写一个allow语句,直接针对attribute_test

allow attribute_test C_t:file {read write};

#上面这个allow语句在编译后的安全策略文件中会被如下两条语句替代:

allow A_t C_t:file {read write};

allow B_t C_t:file {read write};

关键字type_transition

类型转换宏

 

谢银森
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SELinux策略语言--类型强制 编写TE规则
qq_44884706的博客
04-12 414
SELinux策略语言--类型强制 编写TE规则
SELinux策略实例--type_transition(一)
code/decode的博客
04-14 6629
在上一博客http://blog.csdn.net/keheinash/article/details/68945914说明了如何在不重新编译整个SELinux源码的情况下,单独编译加载一个模块。这次在模块里增加一个type_transition的实例,并且编译加载,检查是否生效。type_tansition的作用和语法SELinux中,安全上下文(Security Context)的定义是Use
SELinux策略语言--编写TE规则
行知致简的专栏
02-02 1405
neverallow规则也支持通配符来代表所有的类型,求补算操作符(~)也表示所有的类型,除了明确列出的之外。这条规则是最常见的使用type_change规则的示例,它在用户登陆时重新标记终端设备,login程序会通过一个内核接口查询SELinux模块中的策略,传递类型sysadm_t和tty_device_t,接收sysadm_tty_device_t类型作为重新标记的类型,这个机制允许在一个新的登陆会话过程中,登陆进程以用户的名义标记tty设备,将特殊的类型封装到策略中,而不用硬编码到应用程序中。
简述Android中SELinuxTE
08-27
SELinux使用类型强制来改进强制访问控制。这文章给大家介绍了Android中SELinuxTE的相关知识,感兴趣的朋友一起看看吧
SElinux内核态的实现-type和attribute映射关系的实现以及基于规则库的权限检查
最新发布
m0_37923396的博客
07-02 956
本文主要讲解如何实现SELinux基于规则文件的权限查询。
Android中SeLinux权限 .te文件编写
热门推荐
x2017x的博客
09-05 2万+
  在android中添加一个LocalSocket通信,权限部分折腾了好几天,终于搞定了.   首先在root权限下使用setenforce 0命令放开selinux权限,看看需要的操作是否能成功.如果可以,证明是Selinux的设置问题.仅使用该命令,手机重启又会恢复为enforce为1的状态.为了长久更改此权限,需更改如下.   /device/qcom/sepolicy 目录下找到对应...
Android 6.0中SELinuxTE简介
DODO~下雨不打伞
09-07 9090
在开发中,偶尔会碰到一些TE后缀的文件的修改和查看。google借鉴了SELinux安全机制,在Android内包含了该机制,而TESELinux中描述程序访问资源的语言。本文的目的是让大家在Android开发中,碰到相关问题时能够看懂相关的TE文件。在下面的内容中将描述SELinux基本的TE编写规则和在Android中的应用。 SELinux资源访问基本概念SELinux使用类型强制来改进强制
SELinux 安全模型——TE
weixin_46645613的博客
01-01 1081
通过前面的示例策略,大家对 SELinux 应该有那么点感觉认识了,从这开始的三文章讲述 SELinux 的三种安全模型,会涉及一些代码,旨在叙述 SELinux 内部的原理SELinux 提供了 3 种安全模型:RBAC:Role Based Access Control
SELinux中的Apache和MySQL设定
sdfshfh的博客
02-20 2612
SELinux中的Apache和MySQL设定
Selinux-4 标签 android版本(csdn)————程序.pdf
12-03
在本文中,我们将深入探讨如何为Android应用程序设置SELinux规则,以及如何通过SELinux策略增强应用程序的安全性。SELinux(安全增强型Linux)是一种安全机制,提供了强制访问控制(MAC)安全策略框架,被用于...
[Android][frameworks][HIDL]使用HIDL新建虚拟HAL以实现system_server与native进程双向通信(二)——踩坑
01-03
但是由于各种坑的存在,我们无法直接让服务端跑起来,因此本不是写客户端调用,而是一和编译规则定义、selinux规则添加等相关的踩坑总集,如果你已经保证服务端已经跑起来了,那么本可以跳过,等下一吧;...
配置selinux的策略_[学习记录]SELinux自定义策略初步
weixin_34518801的博客
12-24 700
文章主要记录了我如何学习selinux自订策略的,相关内容在网络上非常零散,自己也走了很多弯路,所以专门写了这么文章作为整理。这里先提一句,关于selinux的配置,网上最容易搜索到的是对selinux程序的配置,例如开关,以及对某种协议的控制,这些内容在我之前整理selinux管理工具种有提到,是相对表面的selinux配置,本文的配置是从编写自定义的策略模块,并装载,因此管理粒度更细。按...
SELinux策略语言--类型强制(编写TE规则)
编程菜鸟进阶之路
10-22 2526
1. 简介      SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 类型强制概念      SELinux策略大部分内容都是由多条类型强制规则构成的,这些规则控制被允许的使用权,大多数默认转换标志,审核,以及固定部分的检查。         SELinux策略大部分都是一套声明和规则一起定义的类型强制(TE:Type En
SElinux 读懂.te 定义自己的 .te
03-11 9957
后面会持续补充一、 .te 文件定义中的一些宏1.1 unix_socket_connect(1,1 ,2, $3 ) 这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: ##################################### android 系统 te_macros 文件中的定义
Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法
ldswfun的专栏
06-01 2517
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件中有非常多的语句, 我们需要基本掌握和理解其中的语法和语义,这样才能有利于我们进行开发。上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。Te文件中一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件中
selinux介绍
成功不必在我,而功力必不唐捐!
08-23 606
selinux相关命令 // 0--代表Permissive // 1--代表Enforcing setenforce 0 // 查看selinux开关状态 getenforce // 查看进程的sContext ps -Z // 查看文件权限 ls -Z 如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题 抓取SELinux Log adb shell dmesg 抓kernel log,使用命令: adb shell "cat /
Android中SELinuxTE简介【转】
weixin_30606669的博客
03-28 109
转自:https://blog.csdn.net/murphykwu/article/details/52457667 selinux的概念如上一链接所示: http://www.cnblogs.com/linhaostudy/p/8659662.html 一、SELinux资源访问基本概念 SELinux使用类型强制来改进强制访问控制。所有的主体(程序进程)对客体(文件/soc...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值