Selinux和Sepolicy

最新推荐文章于 2025-04-02 16:42:12 发布

什么遮蔽了双眼

最新推荐文章于 2025-04-02 16:42:12 发布

阅读量406

点赞数

本文链接：https://blog.youkuaiyun.com/ambitions666/article/details/115345097

版权

本文介绍了Android系统中的SELinux（安全增强型Linux）和Sepolicy，讲解了SELinux的标签、规则和域，以及访问向量（AV）规则的概念。详细阐述了如何开启SELinux，声明类型，以及如何关联类型和属性。同时，提到了dmesg命令的使用，以及如何分析和解决SELinux问题的方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

规则和域

selinux的规则采用一下形式：

allow domains types:classes actions

domains ：域，可以理解成一个容器，存放不同主体subject。不同主体可以同属一个域

types：被访问对象（客体）的标签

classes：客体的不同类型

actions：需要执行的操作

启动第三方可执行程序
start exttv-0-1

android中selinux的te简介

2.1 开启SELinux

首先必须先开启SELinux功能，google提供了开启该选项的开关。在BoardConfig.mk里面会定义如下变量：

1 BOARD_SEPOLICY_DIRS  += build/target/board/generic/sepolicy

对应路径下面就会有很多TE文件来描述进程对资源的访问许可。

2.2 声明类型

1 type 类型名称
2 
3 type system_app;

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

什么遮蔽了双眼

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Android SELinux——Sepolicy基础语法（四）

小旭的专栏

10-11

1236

Linux 中有两种东西，一种死的（Inactive），一种活的（Active）。活的东西就是进程，而死的东西就是文件（Linux 哲学，万物皆文件。注意，万不可狭义解释为 File，普通文件、特殊文件、套接字等都属于文件范畴）。他们之间就是一种使用（操作）与被使用（被操纵）的关系，进程能发起动作（例如它能打开文件并操作它），而文件只能被进程操作。

android sepolicy 打包生成,构建 SELinux 政策

weixin_29045585的博客

05-28

1003

本文介绍了如何构建 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行构建。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策构建流程合并了所有 sepolicy Fragment，然后在根目录中生成了整体文件。这意味着 SoC 供应商和 ODM 制造商每次修改政策时，都修改了 boot.img(针对非 A/...

参与评论您还未登录，请先登录后发表或查看评论

SELinux_Treble.pdf (Android8.0 sepolicy权限新特性，权限配置指导)

02-28

详细介绍了Android8.0 sepolicy权限新特性，sepolicy权限在Android8.0上面新的变化，指导开发者对Android8.0 sepolicy权限进行配置

android中sepolicy, selinux学习笔记

shellshell13的专栏

02-19

9168

android sepolicy selinux规范学习，相关问题debug

SELinux

最新发布

2302_77791905的博客

04-02

925

SELinux，即 Security-Enhanced Linux，意为安全强化的 Linux，由美国国家安全局（NSA）主导开发。开发初衷是防止系统资源被误用。在 Linux 系统中，系统资源的访问均通过程序进行。例如，当/var/www/html/目录的权限被设置为 777 时，所有程序都能访问该目录。若此时 Web 服务器软件已启动，其触发的进程便可以写入该目录，而该进程面向整个互联网提供服务，存在安全风险。

selinux-sepolicy配置

卓越之路

01-21

6456

一、概念 1. 运行模式 Selinux有两种运行模式：Permissive和Enforcing。未明确配置权限，当访问时默认权限是拒绝。为方便开发调试权限配置，单个domain可设置为permissive模式，permissivedomain。语法格式 Selinux依赖于标签来匹配操作和策略，标签决定什么是允许的，套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略，label的格式：user:role:type:m...

SELinux sePolicy

大雄不爱吃肉

08-14

4460

基础知识 SEAndroid在架构和机制上与SELinux完全一样，考虑到移动设备的特点，所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy policy

Linux内核学习笔记——SELinux介绍（SELinux Policy是什么？）

ZP1015

07-01

2475

本文主要描述了SELinux的原理，以及在android中的使用。第一部分首先介绍了SELinux的基础框架；第二部分介绍了SELinux的基础理论；第三部分简单介绍了SELinux Policy。本文主要基于android系统的SELinux讲解，水平有限,如果有错误，敬请指正。一、SELinux Overview 1. SELinux 来源 SELinux 即Security-Enhanced Linux，由美国国家安全局(NSA)发起，Secure Computing Corporation

Rockchip_Developer_Guide_Android_SELinux(Sepolicy)_CN.pdf

12-02

Sepolicy 是 Android 操作系统的安全策略，旨在控制 Android 应用程序的访问权限和安全性。 1. SeAndroid 简介 SeAndroid 是 Android 操作系统的安全模型之一，旨在控制 Android 应用程序的访问权限和安全性。从 ...

android sepolicy（selinux）快速配置方法

10-29

### Android sepolicy（SELinux）快速配置方法 #### 概述在Android系统中，Security Enhanced Linux (SELinux) 是一种强大的安全机制，用于管理应用程序的权限和资源访问。当应用试图执行某些被SELinux策略禁止的...

一文学会Sepolicy（Selinux）快速修改验证

weixin_36389889的博客

01-29

1223

一文学会Sepolicy（Selinux）快速修改验证

Android Selinux详解[八]--常用sepolicy函数和权限组说明

weixin_41028555的博客

03-28

2169

Selinux中有很多函数，比如domain_auto_trans, r_dir_file等等，可以见源码中定义的地方举例一两个看一下。

快速修改验证Sepolicy（Selinux）

jiangchaobing_2017的博客

06-05

1308

需要注意的是，SELinux的工作模式可以在/etc/selinux/config文件中进行配置。在此模式下，SELinux仍然监控所有进程和文件访问，但即使检测到违反策略的行为，也不会阻止它们。SELinux（Security-Enhanced Linux）有三种主要的工作模式，这些模式决定了SELinux在系统上实施安全策略的方式。此外，SELinux日志的记录需要借助auditd.service这个服务，因此请不要禁用它，以确保SELinux能够正常工作并记录所有必要的信息。

Sepolicy学习（一）

qq_42282862的博客

05-07

7126

sepolicy 规则介绍 sepolicy的规则针对的是linux系统中的进程和文件。进程是主动的，而文件是被动的。所以有对应的进程的规则和文件规则，分别定义进程的合法行为和文件被访问的权限。 SELIUNX中，每个对象(进程和文件)被赋予安全的属性。SContext是一个字符串，对于进程的SContext，SContext的格式是"u:r:type[:range]", 进程可以ps -Z获得。 ...

Android系统下在te文件中为指定服务添加sepolicy权限

热门推荐

一程山水一程歌

05-04

1万+

【正文】　　设备在播放视频时有异常，使用Logcat查看日志时发现了如下记录：04-27 14:01:59.136 2825 2825 E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0 tcontext=u:object_r:display_servi

Android Sepolicy 介绍及配置

qq_45527937的博客

03-11

1748

SeAndroid 指的是安卓系统中的安全增强功能，全称为 Security-Enhanced Android。它是基于SELinux（Security-Enhanced Linux）的安全机制，在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面：强化安全性：SeAndroid通过实施强制访问控制（MAC）策略，限制了应用程序和进程对系统资源（如文件、设备、网络等）的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。

SELinux策略语言--编写TE规则

行知致简的专栏

02-02

1635

neverallow规则也支持通配符来代表所有的类型，求补算操作符（~）也表示所有的类型，除了明确列出的之外。这条规则是最常见的使用type_change规则的示例，它在用户登陆时重新标记终端设备，login程序会通过一个内核接口查询SELinux模块中的策略，传递类型sysadm_t和tty_device_t，接收sysadm_tty_device_t类型作为重新标记的类型，这个机制允许在一个新的登陆会话过程中，登陆进程以用户的名义标记tty设备，将特殊的类型封装到策略中，而不用硬编码到应用程序中。

探索Android安全新维度：setools-android与sepolicy-inject工具链

gitblog_00010的博客

05-27

522

探索Android安全新维度：setools-android与sepolicy-inject工具链 setools-android Unofficial port of setools to Android with additional sepolicy-inject utility included ...

sepolicy 配置和快速验证

kanyou222的专栏

04-28

2400

sepolicy修改后快速验证编译：（只针对 .te 的文件，如果file_contexts service_contexts 这种文件好像不行） make selinux_policy -j8 // vendor 和system 都修改了 make selinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后，只需要替换如下文件 vendor_sepolicy.cil，即可快速验证 /vendor/etc/selinux/vend...

Android 8.0 sepolicy权限新特性解析与配置指导

通过以上内容的介绍，开发者能够全面掌握Android 8.0中SELinux sepolicy权限的新特性和配置方法，从而更好地保护应用和系统的安全。文档“SELinux_Treble_DataSheet.pdf”将作为数据手册或数据表的形式，可能包含...