[Linux] SEAndroid基础学习

最新推荐文章于 2024-03-15 02:25:49 发布
最新推荐文章于 2024-03-15 02:25:49 发布
阅读量2.3k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Android系统开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FightFightFight/article/details/82744311
本文介绍了SEAndroid的基础知识,重点关注权限拒绝信息的分析及如何通过修改权限或安全上下文解决问题。内容包括SEAndroid相关文件如system/sepolicy目录、te文件、上下文描述文件和BoardConfig.mk文件的作用,以及如何查看和处理权限拒绝日志。通过实例展示了权限配置和安全上下文修改的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

SEAndroid是在Android 4.3版本中开始引入的基于SELinux的系统安全机制。

关于SELinux的一些基础已经在SELinux基础中总结了。
在平时工作中,遇到SEAndroid最多的,就是一些权限问题,因此,本文的主要目标,是如何查看SELinux权限拒绝信息、如何修改添加权限。

1.SEAndroid相关文件

1.system/sepolicy目录

该目录是SEAndroid的核心,该目录中的文件在编译后会包含 SELinux 内核安全政策,并涵盖上游 Android 操作系统。
一般来说,不能直接修改system/sepolicy文件,而是添加或修改自己的设备专用政策文件,即在/device/xxx/xxx/sepolicy文件。

2.te文件

以.te结尾的文件是SEAndroid的政策文件,在文件位于/system/sepolicy中,用来定义域(domain)和标签.如在/system/sepolicy/public/init.te中:

# Create and mount on directories in /.
allow init rootfs:dir create_dir_perms;
allow init {
    rootfs cache_file cgroup storage_file system_data_file system_file vendor_file postinstall_mnt_dir }:dir mounton;
allow init cgroup_bpf:dir {
    create mounton };
...
# Init should not access sysfs node that are not explicitly labeled.
neverallow init sysfs:file {
    open read write };

allow语句和neverallow语句用来定义规则,具体含义参见在SELinux中的说明.

1.一般情况下,不能修改/system/sepolicy下的.te文件,而是在/device/xxx/xxx/s

最低0.47元/天 解锁文章
Android学习_SEAndroid
qq_39858619的博客
05-26 186
Android SEAndroid 1.简单介绍: 介绍SEAndroid之前先介绍下SELinuxSELinux是安全增强型 Linux(Security-Enhanced Linux)的简称。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统,当打开强制访问控制(MAC)后,所有进程想在SELlinux下干任何事,必须要在安全策略配置文件中配置对应的权限,如果没有配置,则该进程没有运行时会报错。而SEAndroid是基于SELinux修改后,在Android平台上运行的子系统,在架构上
SEAndroid策略分析
热门推荐
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
SEAndroid基本实现
joy
01-21 1156
“即使root权限被篡夺,只要阻止应用的恶意行为即可”。   SEAndroid是将selinux移植到android操作系统,并根据android特性进行改进的操作系统。 Seandroid中加入了selinux如下访问控制,也开发了android特有的中间件层访问控制   SE Linux通过事先定义每个进程的允许操作,禁止其进行越轨的操作(图A-1)。SEAndroid沿袭了这
SEAndroid 浅谈
sunnywalden
03-07 4055
1 绪论 在引入SEAndroid之前,Android的安全处理机制分为应用程序和内核两个部分。应用程序部分安全机制就是通常所说的permission,相应的权限在AndroidManifest.xml中设置,当应用需要使用系统服务的时候会提示用户来确认。内核部分的安全机制就是传统的Linux UID/GID机制。在Linux UID/GID机制中,文件的权限控制在所有者的手中。因此,这
SEAndroid
gbmaotai的博客
08-21 816
SEAndroid安全机制所要保护的对象是系统中的资源,这些资源分布在各个子系统中,例如我们经常接触的文件就是分布文件子系统中的。 实际上,系统中需要保护的资源非常多,除了前面说的文件之外,还有进程、socket和IPC等等。 在用户空间中,SEAndroid包含有三个主要的模块,分别是安全上下文(Security Context)、安全策略(SEAndroid Policy)和安全服务(Se...
SEAndroid app
03-18 1068
SELinux app权限配置 untrusted_app http://blog.csdn.net/zhudaozhuan/article/details/509648321.SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):(1)untrusted_app 第三方app,没有Android平
SELinux System - 2nd Edition + SELinux 详解 SEAndroid基础
01-23
**SEAndroid基础** SEAndroid是Android操作系统中的SELinux实现,旨在增强移动设备的安全性。与传统的SELinux相比,SEAndroid更关注于移动环境的特有挑战,如应用隔离和权限管理。在SEAndroid中,每个应用程序都有...
深入理解SELinuxSEAndroid基础教程
在讨论《SELinux System - 2nd Edition》以及SEAndroid基础时,我们可能需要关注以下知识点: 1. SELinux的基本概念:包括安全上下文(例如用户、角色、类型和安全级别)、策略规则、访问向量和审计日志等。 2. ...
深入理解Android SEAndroid安全机制
"SEAndroid安全机制是Android为了提升系统安全性,从4.3版本开始引入的一种基于SELinux(Security-Enhanced Linux)的强化安全模型。它旨在限制各个应用程序和服务的权限,防止恶意软件和安全漏洞对系统造成破坏。在...
Android SEAndroid
Android系统攻城狮
04-14 821
根据SELinux规范,完整的SContext字符串为: user:role:type[:range] 注意,方括号中的内容表示可选项。s0属于range中的一部分。下文再详细介绍range所代表的Security Level相关的知识。 看,SContext的核心其实是前三个部分:user:role:type。 刚才说了,MAC基本管理单位是TEAC(Type Enf
Android 系统SELinuxSEAndroid
tq501501的博客
06-25 4725
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
SEAndroid使用
WEINILUO的博客
12-15 1344
SEAndroid
智能终端信息安全概念(十一):内核安全(3)SElinux应用分析——SEAndroid
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-31 853
为允许的Intent分发。
SEAndroid那点事
学如不及,犹恐失之
04-28 683
SEAndroid那点事 SEAndroid那点事 概述 DAC和MAC DAC–自主访问控制 MAC–强制访问控制 DAC和MAC的区分和联系 权限的添加策略 SecurityContext te文件 file_contexts 案例 总结 学习资料 概述 Android平台的基础Linux内核,android每个应用都运行在自己的沙盒中,在Android4....
Android学习12 -- SEAndroid
最新发布
fanged的专栏
03-15 490
SELinux(Security-Enhanced Linux),提供了内核级的安全访问,比以前ACL强很多。从上图可以看出,实际上andorid selinux就是在访问文件时,内核中有一些回调钩子,如果配置了,就会去检查。就这么简单。安全上下文是 SELinux 的核心。安全上下文我自己把它分为「进程安全上下文」和「文件安全上下文」。一个「进程安全上下文」一般对应多个「文件安全上下文」。只有两者的安全上下文对应上了,进程才能访问文件。它们的对应关系由政策中的规则决定。查询文件的上下文,ls -Z。
SEAndroid学习
woai110120130的专栏
11-27 1113
selinux 学习
概述----SEAndroid in Android 5.x
苞谷猿的技术bug
12-02 851
SEAndroid,源自SELinuxSELinux最大的作用就是让人在网上发贴问如何关闭它(误。。!)。因为它太难搞了,普通linux系统里,su一下,大概一切都搞定了,但是开启 了SELinux的系统里。。。它不让我们做什么事,我们也只能不做了。于是,被剥夺了上帝视角的猴子们愤怒了。我们要杀掉这个奇怪的selinux。回 正题,su之后依然会受到限制,这就是SELinux和SEAndroi
Binder中的SEAndroid控制
内核工匠
07-29 1250
前言Binder 也即Android独有的进程间通信方式,在 Android 系统中无处不在。区别于共享内存、socket、管道等其他进程间通信的手段,Binder 的实现较为独特。从本质上讲,Binder 是借由对/dev/binder 的一系列操作实现的,在内核中作为驱动存在,当然其权限控制可以正常借由Linux的安全模块实现。同时,由于所有系统服务都需要在Servi...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值