Selinux Rule

最新推荐文章于 2023-04-14 21:00:00 发布
最新推荐文章于 2023-04-14 21:00:00 发布
阅读量521 收藏
点赞数
分类专栏: 技术总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhzhangnews/article/details/102766801
版权

DAC和MAC

SELinux出现之前,Linux上的安全模型叫DAC,全称是Discretionary Access Control,翻译为自主访问控制。DAC的核心思想很简单,就是:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情;

MAC(Mandatory Access Control),强制访问控制,即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限;
e.g: allow netd sysfs:file write;

DAC:

1.自主访问控制
2.主体(Process)的权限Capability决定了它能访问和操作什么ROOT进程可以访问和操作一切!
3.传统(legacy)Linux的安全模式,基于UID/GID/Capability

MAC:

1.强制访问控制
2.系统的Policy决定了主体能操作访问哪些客体
3.即便是ROOT进程,系统Policy配置了你能做什么,你只能做什么,在下MAC模式,ROOT进程和普通进程是无区别对待的。

Selinux Code:

system/sepolicy

查看Selinux

adb shell getenforce
Enforcing

•enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了;
•permissive:宽容模式:代表 SELinux 运作中,不过仅会有警告讯息并不会实际限制 domain/type
的存取。这种模式可以运来作为 SELinux 的 debug 之用; •disabled:关闭,SELinux 并没有实际运作。

关闭Selinux

setenforce [enforcing,permissive,1,0]

关掉Selinux, 查看问题是否和Selinux相关

device/qcom/xxx/BoardConfig.mk
BOARD_KERNEL_CMDLINE += androidboot.selinux=permissive

常见错误修改

  • ServiceManager add_service SELinux Permission Denied

E SELinux : avc: denied { add } for service={com.zhidao.services.radio.ZDRadioService} scontext=u:r:system_server:s0 tcontext=u:object_r:default_android_service:s0 tclass=service_manager

device/qcom/sepolicy/common/service.te
type car_service, system_api_service, system_server_service, service_manager_type;

device/qcom/sepolicy/common/service_contexts
com.zhidao.services.radio.ZDRadioService u:object_r:car_service_service:s0

如果是system_app需要add权限,需要如下操作:

device/qcom/sepolicy/common/system_app.te
allow system_app {
atfwd_service
atfwd_quec_service dun_service
# access to color service SDK
color_service
car_service //添加此权限
}:service_manager add;

  • write SELinux Permission Denied

avc:denied { write } for pid=2646 comm=“gfslog” name="/" dev=“mmcblk0p21” ino=2 scontext=u:r:gfslog:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

一般按照规则 allow scontex tcontex:tclass action 来改即可

allow gfslog system_data_file:dir write

安全上下文

由四部分内容组成:SELinux用户、SELinux角色、类型、安全级别
格式为“user:role:type:sensitivity”

文件init.rc的安全上下文类似如下:( $ls -Z /init.rc)

-rwxr-x— root root u:object_r:rootfs:s0 init.rc

进程init的安全上下文类似如下:($ps -Z)

LABEL USER PID PPID NAME
u:r:init:s0 root 1 0 /init

进程的安全上下文中,用户固定为 u,角色固定为 r。
文件的安全上下文中,用户固定为 u,角色固定为 obejct_r

在SELinux中,安全级别是可选的,也就是说,可以选择启用或者不启用。通常在进程及文件的安全上下文中安全级别都设置为s0。

进程的安全上下文的类型称为domain,文件的安全上下文中的类型称为file_type

上面我们看到进程init的安全上下文为u:r:init:s0,type为init
在Android中我们可以通过如下语句定义type:

type init domain;
即将domain设置为init的属性,这样就可以用init为type来描述进程的安全上下文了

Seapp_contexts

用于声明APP进程和创建数据目录的安全上下文,O上将该文件拆分为plat和nonplat 前缀的两个文件,plat前缀的文件用于声明system app,nonplat前缀的文件用于声明vendor app。
seinfo可以从mac_permissions.xml查看
对于使用平台签名的App来说,它的seinfo为“platform”。这样我们就可以知道,使用平台签名的App所运行在的进程domain为“platform_app”,并且它的数据文件的file_type为“platform_app_data_file”。

安全策略

SEAndroid安全机制又称为是基于TE(Type Enforcement)策略的安全机制。所有安全策略都存放在.te结尾的文件中,一般放在 /system/sepolicy/private/,厂商定制的一般放在/device/xxx/common/sepolicy/下
一个Type所具有的权限是通过allow语句来描述的,SEAndroid使用的是最小权限原则,也就是说,只有通过allow语句声明的权限才是允许的,而其它没有通过allow语句声明的权限都是禁止,这样就可以最大限度地保护系统中的资源。

语句格式为:allow scontex tcontex:class action

除了allow还有:neverallow (检查并记录是否有违反这条策略的)、allowaudit(检查记录权限成功及失败的操作,默认只记录检查失败的)、dontaudit(不记录权限检查失败的记录),后三个仅是检查及记录,并不赋予或禁止权限

小二哥m
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hidl service selinux rule
02-07
Android HIDL模型下HAL Service添加SELinux规则所有相关改动
Android启动过程中执行一个C语言的应用程序或者执行shell脚本
海月汐辰
12-18 2248
Android启动过程中执行一个C语言的应用程序或者执行shell脚本 一、Android启动过程中去对系统做一些设置,如修改某些文件夹的属性和文件的权限,可在init.rc中增加service执行shell脚本,从而可在shell脚本中完成大部分操作。或者也可以执行c语言应用程序。 二、实际测试 1、在init.xxxx.rc中增加执行脚本的servic...
Android8.1 Selinux权限配置说明
Godke的博客
12-02 1120
一.系统自带服务,程序报错 场景: 打开Selinux后, 客户APP 无法运行, 查看log发现是Selinux 权限报错. 过滤日志: logcat | grep avc 错误日志 m.veb.facecheck: type=1400 audit(0.0:66): avc: denied { execute } for path="/data/data/com.veb.facecheck/.jiagu/libjiagu.so" dev=“mmcblk1p17” ino=16090 scontext=u:
深入理解SELinux SEAndroid(第一部分)
热门推荐
Innost的专栏
02-16 13万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
Android系统init进程启动及init.rc全解析
zhonglunshun的专栏
11-23 6万+
这是一篇用心写的博客,也希望大家用心看并帮忙找到文章的改进之处,谢谢;服务启动机制 system/core/init/init.c文件main函数中parse_config_file(init.rc)读取并解析init.rc文件内容。将service信息放置到system/core/init/init_parser.cpp的service_list中 system/core/init/init.c文
SEAndroid流程分析
Venus 的博客
04-14 428
init会解析/file_context文件的内容,将相关信息填充到入参rec的data成员中。与设置app文件安全上下文的selinux_android_setfilecon不同的是,设置app进程安全上下文的函数selinux_android_setcontext会根据符合的规则的domain去设置进程的domain,而selinux_android_setfilecon会根据符合的规则的type去设置文件的type,安全上下文其他部分user,role,level的设置差别不大。
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
selinux 基础介绍
最新发布
11-01
介绍基础的selinux背景、策略规则等
关闭selinux命令
01-25
关闭selinux命令
SELinux Cookbook
02-02
This book contains numerous chapters on the various aspects of SELinux handling and policy development in a recipe-based approach that allows every person to quickly dive into the details and ...
Android——init.rc脚本
03-24
NULL 博文链接:https://folksy.iteye.com/blog/1093567
Selinux 权限策略定制
shichaog的专栏
12-22 7736
Selinux 语言: 左边的一列是Security Context。 u:r:init:s0的意思是 u为user。SEAndroid中定义了一个SELinux,值为ur为role的意思。一个u可以属于多个r,不同的role具有不同的权限。init 表示该进程所属的domain 为init。s0和SELinux是为了满足军用和教育行业而设计的MultiLevel Security。
Linux安全机制之Selinux
陈子陌的博客
11-20 3882
一、引言 1.1、什么是Selinux Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。 本文下面讲的类似内容,有安卓源码的小伙伴可以到类似目录(android/device/softwinne
SELinux报错修改篇
liyanfei123456的博客
02-23 2729
2016-01-05 15:04 1110人阅读 评论(1) 收藏 举报 版权声明: 作者:alex wang 个人网站:http://cnskyline.tech/ 版权:本文版权归作者和CSDN共有 转载:欢迎转载,为了保存作者的创作热情,请按要求【转载】,谢谢 要求:未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任 I.S
SELinux的策略规则
haohaoxuexiyai的博客
02-21 4116
目录一、SELinux Targeted、MLS和Minimum策略Target 策略MLS 策略Minimum 策略二、SELinux策略规则查看方法(seinfo和sesearch)三、SELinux策略规则的开启和关闭查询策略规则是否开启修改规则的开启状态SELinux导致vsftpd不能正常登录 一、SELinux Targeted、MLS和Minimum策略 对于 SELinux 来说,所选择的策略类型直接决定了使用哪种策略规则来执行主体(进程)可以访问的目标(文件或目录资源)。不仅如此,策略类型
SElinux权限配置
哈哈一笑
01-13 5458
运行[email protected]时错误Log如下: avc: denied { add } for interface=vendor.test.biometrics::ITestFingerprint pid=7848 scontext=u:r:shell:s0 tcontext=u:object_r:default_android_hwservice:s0...
android添加自定义的系统服务供上层调用
Venus 的博客
12-31 3185
文章目录1.前言2.实现步骤2.1、定义 aidl 文件2.2 实现aidl 接口2.3 添加新的服务2.4、 创建新的service的管理类2.5 注册服务2.6 配置修改 Selinux 权限2.7 编译3.验证 1.前言 其本质,就是通过binder 方式进行通信。 大体流程: 创建一个binder接口,可通过aidl方式。 创建接口的实现类,即为服务类。 添加服务到系统 创建service管理类到 manager 注册服务对应的manager,以供调用者使用。 配置修改 SELinux 权限。(在
android 5.x Native Service SELinux 调试记录
dolphin的专栏
12-08 2750
在开发android项目时,需要在init.rc中加入我们自己的native service xxx;但是在android 5.x系统上添加服务后发现服务没有正常启动,log中会报avc: denied错误。被SELinux拒绝权限了。所以我们就需要添加权限了。 与之前android版本一样,修改init rc文件添加我们需要的服务 service xxx/system/vendor/
selinux chon
07-06
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)安全模块,用于保护 Linux 操作系统中的敏感资源和服务。它通过在 Linux 内核中添加安全策略并对进程、文件和网络流量进行访问限制来提供高级的系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值