SeAndroid修改

最新推荐文章于 2023-08-23 11:34:48 发布
最新推荐文章于 2023-08-23 11:34:48 发布
阅读量1.4k 收藏
点赞数
分类专栏: Android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zengfenliang/article/details/122530868
版权

----------【例子1】:通过修改shell的权限,使其无法设置属性:

先来看shell的te,如下所示:

[external/sepolicy/shell.te]

Domain for shell processes spawned by ADB

type shell, domain;

type shell_exec, file_type;

#shell属于unconfined_domain,unconfined即是不受限制的意思

unconfined_domain(shell)

Run app_process.

XXX Split into its own domain?

app_domain(shell)

unconfied_domain是一个宏,它将shell和如下两个attribute相关联:

[external/sepolicy/te_macros]

#####################################

unconfined_domain(domain)

Allow the specified domain to do anything.

define(unconfined_domain',

typeattribute $1 mlstrustedsubject; #这个和MLS有关

typeattribute $1 unconfineddomain;

')

unconfineddomain权限很多,它的allow语句定义在unconfined.te中:

[external/sepolicy/unconfined.te]

allow unconfineddomain property_type:property_service set;

从上面可以看出,shell所关联的unconfineddomain有权限设置属性。所以,我们把它改成:

allow {unconfineddomain -shell} property_type:property_service set;

通过一个“-”号,将shell的权限排除。

然后:

我们mmm external/sepolicy,得到sepolicy文件。
将其push到/data/security/current/sepolicy目录下
接着调用setprop selinux.reload_policy 1,使得init重新加载sepolicy,由于/data目录下有了sepolicy,所以它将使用这个新的。
图示为整个测试的例子:

重新加载sepolicy之前,笔者可通过"setprop wlan.driver.status test_ok"设置该属性的值为test_ok。
当通过 setprop selinux.reload_policy 1 的命令后,init重新加载了sepolicy。
笔者setprop wlan.driver.status 都不能修改该属性的值。
图示为dmesg输出,可以看出,当selinux使用了data目录下这个新的sepolicy后,shell的setprop权限就被否了!

提示:前面曾提到过audit,日志一类的事情。日志由kernel输出,可借助诸如audit2allow等host上的工具查看哪些地方有违反权限的地方。

===============

SeAndroid 架构
https://blog.csdn.net/qq_19923217/article/details/81240027
PMS / Installd / Init

修改selinux
https://www.cnblogs.com/blogs-of-lxl/p/7515023.html

https://www.jianshu.com/p/48c286da64a3

Kslient
关注
专栏目录
深入理解SELinux SEAndroid.docx
04-17
Android系统中,Google引入了SEAndroidSecurity-Enhanced Android),这是针对Android平台定制的SELinux实现。从Android 4.4版本开始,SEAndroid成为了Android系统的核心安全组件。SEAndroidAndroid上的应用不...
关于sed -i 修改selinux 的软链接文件的问题
weixin_33693070的博客
09-02 322
关于sed -i 修改selinux 的软链接文件的问题   http://blog.csdn.net/kumu_linux/article/details/8598005   因为sed -i /etc/sysconfig/selinux(selinux文件是/etc/selinux/config的软链接)配置文件重启SELINUX没有关闭,才发现原来sed -i是不能直接修改软链接文件...
Android获取selinuxsetprop权限修改SystemProperties
最新发布
zmlovelx(帅得不敢出门 程序员群31843264)
08-23 1617
自定义了个SystemProperties的属性,需要在system应用中修改它,介绍MTK及展锐的设置方法,可扩展到其他平台. 比如代码中要这么设置 ```java SystemProperties.set("property_name", "value"); ``` 默认会引发selinux无权限的报错.
selinuxselinuxprop,hal层读取
qq_38091632的博客
02-18 5405
1 需求 工厂测试app需要新增一个属性,app可以设置这个prop,hal层进行读取,用于切换snd_device 2 prop文件路径 代码中有三个sepolicy文件夹,对应不同平台创建的。 目前我的需求是用于工厂测试,所以在oem目录下。 3 创建prop 文件路径:android\vendor\oem\sepolicy\property_contexts vendor.audio.dualmic.factorytest u:object_r:exported_system_prop:s
安卓系统开机运行shell脚本
PC小能手的博客
04-24 6397
在安卓系统上很多业务需求是通过shell脚本实现的,开机自启动一般做法是创建安卓service服务,然后通过该服务调用执行shell脚本。
androidR或 android11 修改代码关闭selinuxseandroid的方法 展锐平台验证OK
kerrycat1986的博客
09-25 1173
比如在展锐sc9863a平台(其它芯片平台应该也是这个地方的这个文件)修改文件为: system/core/init/selinux.cpp,增加//add this line 部分的内容 bool IsEnforcing() { return false; //add this line { int fd(open("/mboot/selinux", O_RDONLY | O_CLOEXEC | O_BINARY)); if (fd
SEAndroid问题快速分析
12-17
标题“SEAndroid问题快速分析”和描述“快速定位、分析和解决Android系统SELinux相关的权限问题”提示我们,本文档是关于如何高效地解决与SEAndroid相关的问题,特别是SELinux权限问题。SEAndroidSecurity ...
SEAndroid-for-share
10-17
了解SEAndroid的基本原理后,开发者可以通过修改安全策略文件来增强应用程序的安全性。例如,可以通过调整安全策略文件来限制敏感数据的访问权限,或者阻止某些应用程序访问网络资源。 ##### 实践步骤 1. **获取...
基于SELinuxSEAndroid
10-14
5. Android与DAC的结合:Android限制了应用程序对系统功能的使用(例如蓝牙、网络、存储访问),这通常需要内核修改和“特殊”的组ID。每个已安装的应用都有唯一的用户和组ID,这些ID被分配给应用程序进程和文件。...
SELinux System - 2nd Edition + SELinux 详解 SEAndroid基础
01-23
学习SELinuxSEAndroid,不仅需要理解其基本原理,还要掌握如何编写和修改策略,以及如何在实际环境中应用这些知识。通过阅读《SELinux System Administration -- 2nd Edition》和《SELinux详解》,读者将能够熟练...
深入理解SELinux SEAndroid(第一部分)
Venus 的博客
12-17 1057
深入理解SELinuxSEAndroid SEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统。 NSA最初设计的安全模型叫FLASK,全称为Flux Advanced Security Kernel(由Uta大学和美国国防部开发,后来由NSA将其开源),当时这套模型针对DTOS系统。后来,NSA觉得Linux更具发.
xxxxxxxxxxxxxxxxx
热门推荐
陪咖啡喝女人
09-01 10万+
今年也参加了把XCON,看到了很多外国人,也看到了两个外国PLMM,其中一个好似亚裔血统的外国MM,居然还是从BlackHat上来的。不得不承认--自古女子,不爱红装爱武装的还是大有人在,只是这个MM吸烟,俺不怎么喜欢吸烟的女生,再加上本身听不懂英语这门鸟语,失去了“交流”的机会,再说我也不敢去“交流”啊。。。每个XX的男人背后都有一个凶悍的女人,虽然本人还没有到XX的地步,但已经隐约的感觉到自己
selinux命令行使用初步总结
liying96的博客
08-25 984
SELinux的策略与规则管理相关命令1.seinfo(1)seinfo -useinfo -uXXX -x(2)seinfo -rseinfo -rXXX_t -x(3)seinfo -tXXX_t -x(4)seinfo -b2.sesearchsesearch [-A/--allow/...] -s [name] -t[name]3.semanageimportexportloginsema...
Mybatis(一)
qq_44476929的博客
12-25 693
mybatis(一)初体验 一、mybatis简介 MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架。 MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。 MyBatis可以使用简单的XML或注解用于配置和原始映射,将接口和Java的POJO(Plain Old Java Objects,普通的Java对象)映射成数据库中的记录 二、为什么使用mybatis MyBatis是一个半自动化的持久化层框架。 jdbc编程---当我们使用jdbc
init_shell.te
lz2133的专栏
08-27 657
{ # ========= sdcard =========== # avc: denied { read } for pid=3824 comm="killall" scontext=u:r:qti_init_shell:s0 tcontext=u:r:platform_app:s0:c512,c768 tclass=file permissive=0 #缺少什么权限: { exe...
【项目一、xxx病虫害检测项目】2、网络结构尝试改进:Resnet50、SE、CBAM、Feature Fusion
qq_38253797的博客
04-20 1万+
目录前言一、整体1.2、Resnet502.1、整体网络结构2.2、ResNet502.2.1、BasicBlock2.2.2、Bottleneck2.3、SE2.4、CBAM2.5、Feature Fusion2.2.3、ResNetReference 前言 马上要找工作了,想总结下自己做过的几个小项目。 先总结下实验室之前的一个病虫害检测相关的项目。选用的baseline是SSD,代码是在这个仓库的基础上改的 lufficc/SSD.这个仓库写的ssd还是很牛的,github有1.3k个star。 选择
SSH连接服务器:Could not connect to ‘xxx.xxx.xx.xx‘ (port 22): Connection failed.
panlupeng的博客
03-18 6583
Could not connect to 'xxx.xxx.xx.xx' (port 22): Connection failed
SEAndroidAndroid安全进阶之钥
它允许开发者通过修改安全策略文件来定制系统的安全规则,确保应用程序在特定的权限范围内运行,防止恶意软件或不受信任的应用滥用系统资源。在Android 4.4及后续版本中,了解并掌握SEAndroid的工作原理和配置方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值