Android selinux 入门学习

已于 2023-01-13 14:02:01 修改
阅读量772 收藏 1
点赞数
文章标签: 学习
于 2022-11-19 15:11:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xss534890437/article/details/126605708
版权

工作好几年了,基本上从事Android 上层开发,都是在别人基础上修改改的,因为公司一个需求,改动代码,发现开不了机了,通过别人指点发现是因为selinux 权限的原因,导致代码无法执行,又发现了一个自己的短板,决心系统性学习Android selinux 的原理和实现方式,我的学习习惯是先知道怎么做,如何做,然后在了解为什么,直奔主题.

目前工作在做 Android 12 项目,所有修改位置都是基于此.

关于如何编译selinux ,在andriod 编译小知识点_xss534890437的博客-CSDN博客  已经有介绍,就不重复啰嗦了.

1,关闭selinux

在调试selinux 的时候,如果是手动运行的,可以adb shell setenforce 0, 关闭selinux 进行调试

或者在Selinux.cpp 中直接关闭selinux 配置,这样开机就是关闭状态了

void SelinuxSetEnforcement() {
    bool kernel_enforcing = (security_getenforce() == 1);
    bool is_enforcing = IsEnforcing();
    //加这段就可以了
    is_enforcing  = false;
    //加这段就可以了
    if (kernel_enforcing != is_enforcing) {
        if (security_setenforce(is_enforcing)) {
            PLOG(FATAL) << "security_setenforce(" << (is_enforcing ? "true" : "false")
                        << ") failed";
        }
    }

}

编译替换init 即可.参考andriod 编译小知识点_xss534890437的博客-CSDN博客

复现问题,然后抓取dmesg log,,通过auditallow2 -i log.txt,即可获取对应的selinux 改动,清晰易懂哈

添加SystemProperty

a,type xxxxxxx, property_type; //property.te中定义标签

b,xxxxxx u:object_r:xxxxxx:s0;//property_contexts中给属性打上对应标签,也可以蹭下系统标签

c,get_prop(system_server, xxxxxx);//这里举个例子,允许Systemserver 访问该属性  

   set_prop(system_server, xxxxxx);

这两个相当于allow xxx,只不多系统帮我们封装好了而已

添加文件类型

a,可执行脚本

定义域

type xxxx, domain,mlstrustedsubject;
type xxxx_exec, exec_type, file_type,vendor_file_type;
init_daemon_domain(copy_bootanimation)  //单独进程标签

定义标签

/vendor/bin/copy_bootanimation\.sh   u:object_r:xxxxx_exec:s0

注意xxxx 和 xxxx_exec 的区别

剩下的就是通过dmesg  获取对应标签的权限了,可以通过xxxx 来查找

b,节点类型

参考系统LED 节点,蹭一下LED 的标签,自定义的应该也是一样,我也没加过哈

genfscon sysfs /devices/platform/soc/xxxx u:object_r:sysfs_leds:s0

注意这个路径是绝对路径

新增分区文件系统

device.te 声明类型

type vendor_xxx_device, dev_type;

file_context 定义上下文

/dev/block/platform/soc/4744000.sdhci/by-name/分区   u:object_r:vendor_xxx_device:s0

未完待续

参考:

https://source.android.com/docs/security/selinux

Android-SEAndroid权限问题指南-icode9专业技术文章分享

SELinux权限 - 简书

xss534890437
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux For Android8.0 && SELinux 4.0
09-03
学习这些资料,开发者可以深入了解如何在Android系统上正确地实施和调试SELinux策略,从而提升应用的安全性。对于系统集成商和安全工程师来说,理解并掌握这些知识是确保Android设备安全运行的关键。同时,对于普通...
Android Selinux 单编后,快速验证
kanyou222的专栏
12-21 5254
sepolicy修改后 快速验证 编译: makeselinux_policy-j8 // vendor 和system 都修改了 makeselinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vendor_sepolicy.cil ...
Android seLinux单编方法
u010117864的专栏
11-20 2700
Android P上如果修改了selinux的内容, 可以通过以下方法来验证是否生效: 1. 单编system/sepolicy mmm system/sepolicy 2. push system/etc/selinux 和 vendor/etc/selinux 到手机里面, 并重启手机. adb push $(PRODUCT_OUT)/system/etc/selinux /system/etc/ adb push $(PRODUCT_OUT)/vendor/etc/.
安卓selinux调试
最新发布
kk_judge的博客
07-01 639
selinux安卓权限问题
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android中的SELinux
麦芽的博客
01-16 1920
SELinux (Security Enhanced Linux)是由美国NSA(国安局)和 SCC 开发的 Linux 的一个扩张强制访问控制安全模块,目的是最大限度减少系统中服务进程可访问的资源。Google 在 Android 4.4 上正式添加以 SELinux 为基础的系统安全机制,命名为SEAndroid。SEAndroid 在架构和机制上与 SELinux 完全一样,基于移动设备的特点,SEAndroid 的只是所以移植 SELinux 的一个子集。
Android Selinux详解[一]---整体介绍
weixin_41028555的博客
03-07 2023
Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。ELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。下面大概介绍一下工作中经常遇到的Selinux相关知识。
Android SELinux
学无止境
12-21 2424
SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。强制模式:权限拒绝事件会被记录下来并强制执行。
Android 系统SELinux(SEAndroid
tq501501的博客
06-25 3757
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
Android O 8.0 selinux特性 Google介绍文档
12-26
Android O 8.0的SELinux特性文档详细介绍了这些更新,并提供了对学习和实施最新SELinux规则的帮助。 Android 8.0架构: - Android 8.0的架构引入了新的组件和服务,这些组件和服务对SELinux的规则有直接影响。 - ...
Android 中的安全增强型 Linux(selinux
10-03
Android 安全模型中,应用沙盒的概念起到了基础作用。每个应用在自己的沙盒里运行,而 SELinuxAndroid 4.3 及更高版本中加强了沙盒的边界。在早期版本中,应用通过独特的 Linux UID 来定义沙盒,但从 4.3 ...
Exploring Selinux for Android
03-13
本书内容分为多个章节,系统地讲解了SELinux的基础知识、Android中的安全模型、Binder机制、安装过程、系统启动、SELinux文件系统探索、审计日志利用、文件上下文应用以及服务的添加等。下面将围绕书中各部分内容...
selinux权限配置指南.pdf
01-21
首先,了解SELinux的运行模式是基础。SELinux主要有两种运行模式:Permissive模式和Enforcing模式。Permissive模式,也被称作宽容模式,它用于在开发和调试阶段时,当访问操作与权限配置不一致时,系统不会强制拒绝...
Android系统SELinux详解
u010345983的博客
10-24 886
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
【干货】Android系统定制基础篇:第五部分(Android关闭selinuxAndroid设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 2371
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 9078
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android系统启动流程(二)——Selinux初始化(基于Android13)
一切皆是定数的博客
04-16 1897
Selinux,全称为Security-Enhanced Linux,即安全增强型Linux,是Linux中的一种安全管控策略。传统的Linux访问控制通过DAC(Discretionary Access Control)控制,即给用户、用户组、其他用户授予不同的读写和可执行权限来控制文件的访问。Selinux基于MAC(Mandatory Access Control)控制,基于安全上下文和安全策略的安全机制,只有定义了允许访问的规则的才能访问,否则默认不能访问。
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 1669
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值