中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Android中的SELinux怎么使用

發布時間:2022-04-18 14:19:03 來源:億速云 閱讀:982 作者:iii 欄目:開發技術

今天小編給大家分享一下Android中的SELinux怎么使用的相關知識點,內容詳細,邏輯清晰,相信大部分人都還太了解這方面的知識,所以分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后有所收獲,下面我們一起來了解一下吧。

一、SELinux資源訪問基本概念

 SELinux使用類型強制來改進強制訪問控制。所有的主體(程序進程)對客體(文件/socket等資源)的訪問都有一條TE規則來許可。當程序訪問一個資源的時候,系統會搜索所有的TE規則集,并根據結果進行處理。這個規則集是由訪問向量規則(AV, Access Vector)來描述的。

內核向外部暴露允許訪問的資源權限,由TE來描述主體擁有什么樣的訪問權。SELinux定義了30個不同的客體類別:

security process system capability filesystem file dir fd lnk_file chr_file blk_file socket_file ... 

每個客體類別都定義了操作許可,比如針對file有19個操作許可:

ioctl read write create getattr setattr lock relablefrom relableto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint

 這兩個內容在后面介紹常用語法的時候會涉及到。所以對于file的操作許可,我們可以看到基本上是對文件的操作方法,所以程序調用這些功能的時候,系統會檢查是否有一個TE規則,授予了該程序權限來使用該功能。

二、Android中的SELinux

2.1 開啟SELinux

首先必須先開啟SELinux功能,google提供了開啟該選項的開關。在BoardConfig.mk里面會定義如下變量:

BOARD_SEPOLICY_DIRS += build/target/board/generic/sepolicy

對應路徑下面就會有很多TE文件來描述進程對資源的訪問許可。

2.2 聲明類型

type 類型名稱 
type system_app;

2.3 關聯類型和屬性

有兩種方法可以將某個類型跟某個屬性關聯起來。

一,在聲明類型的時候就關聯已經定義的屬性。

type system_app, domain;

這個就在定義system_app的時候就將它跟已經定義的domain屬性關聯起來了。

typeattribute platform_app mlstrustedsubject;

如果已經定義了類型platform_app,可以用typeattribute將它和已經定義的mIstrustedsubject關聯起來。

注意:所有的屬性和類型都共用一個命名空間,所以命名的時候不要出現同名的屬性和類型哦。

三、訪問向量(AV)規則

AV用來描述主體對客體的訪問許可。通常有四類AV規則:

allow:表示允許主體對客體執行許可的操作。

neverallow:表示不允許主體對客體執行制定的操作。

auditallow: 表示允許操作并記錄訪問決策信息。

dontaudit:表示不記錄違反規則的決策信息,切違反規則不影響運行

通用的類型規則語法位:

allow platform_app debugfs:file { read ioctl };

表示類別為platform_app的程序進程,對debugfs類型的文件執行read和ioctl操作。

四、一些特殊的配置文件:

external/sepolicy/attributes -> 所有定義的attributes都在這個文件 
external/sepolicy/access_vectors -> 對應了每一個class可以被允許執行的命令 
external/sepolicy/roles -> Android中只定義了一個role,名字就是r,將r和attribute domain關聯起來 
external/sepolicy/users -> 其實是將user與roles進行了關聯,設置了user的安全級別,s0為最低級是默認的級別,mls_systemHigh是最高的級別 
external/sepolicy/security_classes -> 指的是上文命令中的class,個人認為這個class的內容是指在android運行過程中,程序或者系統可能用到的操作的模塊 
external/sepolicy/te_macros -> 系統定義的宏全在te_macros文件 
external/sepolicy/*.te -> 一些配置的文件,包含了各種運行的規則

五、selinux有兩種工作模式

 “permissive”:所有操作都被允許(即沒有MAC),但是如果有違反權限的話,會記錄日志
“enforcing”:所有操作都會進行權限檢查

六、其他

在te文件中經常出現如下的函數:

unix_socket_connect(platform_app, agpsd, mtk_agpsd);

這個其實是一個宏。它定義在文件名為te_macros的文件里面,經過全局搜索這個宏,發現如下定義:

 unix_socket_connect($1, qmuxd, qmux)
 allow qmux $1_qmuxd_socket:sock_file { getattr unlink };
 ')

其實也是一個allow訪問向量。

以上就是“Android中的SELinux怎么使用”這篇文章的所有內容,感謝各位的閱讀!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會為大家更新不同的知識,如果還想學習更多的知識,請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

博客| 奉化市| 晋州市| 太谷县| 通化县| 报价| 景谷| 鹿邑县| 教育| 新邵县| 临江市| 甘谷县| 大丰市| 白银市| 泗水县| 香河县| 江山市| 卢氏县| 高要市| 察隅县| 璧山县| 屏山县| 广东省| 慈利县| 宁远县| 连江县| 大石桥市| 博湖县| 越西县| 思茅市| 云龙县| 安乡县| 星座| 晴隆县| 侯马市| 筠连县| 龙游县| 大渡口区| 阿拉善右旗| 镶黄旗| 鄢陵县|