文件的安全上下文 ---- SEAndroid in Android 5.x

最新推荐文章于 2025-10-21 16:23:23 发布
原创 最新推荐文章于 2025-10-21 16:23:23 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Android系统中如何设置文件的安全上下文,包括通过`file_contexts`设定ROM内文件上下文,`genfs_contexts`配置虚拟文件系统上下文,以及`mac_permissions.xml`和`seapp_contexts`来管理应用程序数据文件的安全上下文。通过示例展示了如何为特定应用添加新的安全域。
Android系统中的文件生成方式有两种:
1.ROM里面预设的。对于ROM里面预设的文件,我们使用预先定义的方式来确定他们的安全上下文。
2.动态生成的。对于动态生成的文件,原则上继承父目录的安全上下文。但有一些特别的情况下,我们会遵循预先设定的规则来设置他们的安全上下文。

在SEAndroid使用三种方式来设置文件的安全上下文。
1.设置打包在ROM里面的文件的安全上下文
            external/sepolicy/file_contexts
      文件部分内容如下:
# Root
                u:object_r:rootfs:s0

# Data files
/adb_keys            u:object_r:adb_keys_file:s0
/default\.prop            u:object_r:rootfs:s0
/fstab\..*            u:object_r:rootfs:s0
/init\..*            u:object_r:rootfs:s0
/res(/.*)?            u:object_r:rootfs:s0
/ueventd\..*            u:object_r:rootfs:s0
这个文件中的所有路径都是定义在ROM中的,而不是在系统运行时动态生成的。也就是说,这些路径的安全上下文必须预先设置好。这个文件编译好之后,会存放在$OUT/root/file_contexts
路径按照最佳匹配的原则进行匹配,当遇到类似下面这种时,选择最符合的那一项:
/dev/block(/.*)?      u:object_r:block_device:s0
/dev/block/loop[0-9]*      u:object_r:loop_device:s0
/dev/block/ram[0-9]*      u:object_r:ram_device:s0


  2. 设置虚拟文件系统的安全上下文
external/sepolicy/genfs_contexts
文件内容如下:
# Label inodes with the fs label.
genfscon rootfs / u:object_r:rootfs:s0
# proc labeling can be further refined (longest matchingprefix).
genfscon proc / u:object_r:proc:s0
genfscon proc /net u:object_r:proc_net:s0
genfscon proc /net/xt_qtaguid/ctrl u:object_r:qtaguid_proc:s0
genfscon proc /cpuinfo u:object_r:proc_cpuinfo:s0
genfscon proc /sysrq-trigger u:object_r:proc_sysrq:s0
genfscon proc /sys/fs/protected_hardlinksu:object_r:proc_security:s0
genfscon proc /sys/fs/protected_symlinksu:object_r:proc_security:s0
genfscon proc /sys/fs/suid_dumpableu:object_r:proc_security:s0
genfscon proc /sys/kernel/core_patternu:object_r:usermodehelper:s0
genfscon proc /sys/kernel/dmesg_restrictu:object_r:proc_security:s0
genfscon proc /sys/kernel/hotplugu:object_r:usermodehelper:s0
genfscon proc /sys/kernel/kptr_restrictu:object_r:proc_security:s0
genfscon proc /sys/kernel/modprobeu:object_r:usermodehelper:s0
genfscon proc /sys/kernel/modules_disabledu:object_r:proc_security:s0
genfscon proc /sys/kernel/poweroff_cmdu:object_r:usermodehelper:s0
genfscon proc /sys/kernel/randomize_va_spaceu:object_r:proc_security:s0
genfscon proc /sys/kernel/usermodehelperu:object_r:usermodehelper:s0
genfscon proc /sys/net u:object_r:proc_net:s0
genfscon proc /sys/vm/mmap_min_addru:object_r:proc_security:s0
genfscon proc /sys/vm/dirty_ratio  u:object_r:proc_dirty_ratio:s0
# selinuxfs booleans can be individually labeled.
genfscon selinuxfs / u:object_r:selinuxfs:s0
genfscon cgroup / u:object_r:cgroup:s0
# sysfs labels can be set by userspace.
genfscon sysfs / u:object_r:sysfs:s0
genfscon inotifyfs / u:object_r:inotify:s0
genfscon vfat / u:object_r:vfat:s0
genfscon debugfs / u:object_r:debugfs:s0
genfscon fuse / u:object_r:fuse:s0
genfscon pstore / u:object_r:pstorefs:s0
genfscon functionfs / u:object_r:functionfs:s0
genfscon usbfs / u:object_r:usbfs:s0

3. 设置应用程序数据文件的安全上下文
首先查看external/sepolicy/mac_permissions.xml
分析这个文件: 
<!-- Platform dev key in AOSP -->
< signer signature="@PLATFORM" >
    < seinfo value="platform" />
< /signer>

按照上面的signer的内容,表明当APP签名为@PLATFORM的时,则这个APP的seinfo为platform。
关于@PLATFORM的具体内容,在/external/sepolicy/keys.conf当中:
[@PLATFORM]
ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/platform.x509.pem
这个路径也就是:/build/target/product/security/platform.x509.pem
再看下面的default部分的内容,表明不符合上面筛选条件的APP,最后都会得到seinfo为default。 
<!-- All other keys -->
<default>
    <seinfo value="default" />
</default>

然后根据seinfo的内容platform,查看external/sepolicy/seapp_contexts,内容如下:
isSystemServer=true domain=system_server
user=system domain=system_app type=system_app_data_file
user=bluetooth domain=bluetooth type=bluetooth_data_file
user=nfc domain=nfc type=nfc_data_file
user=radio domain=radio type=radio_data_file
user=shared_relro domain=shared_relro
user=shell domain=shell type=shell_data_file
user=_isolated domain=isolated_app
user=_app seinfo=platform domain=platform_apptype=app_data_file
user=_app domain=untrusted_app type=app_data_file
根据匹配最符合项的规则,当一个签名为@PLATFORM的app安装时会得到seinfo=platform,对应这一行:
user=_app seinfo=platform domain=platform_apptype=app_data_file
该应用的进程domain就是platform_app ,该应用的数据文件的type就是app_data_file。
而一般的第三方应用得到的seinfo是default,并没有这个seinfo的条目,根据最匹配规则,则会对应到:
user=_app domain=untrusted_app type=app_data_file
进程domain为untrusted_app,应用的数据文件的type为app_data_file。


如果我们想要在系统中为自己的应用们增加一个特定的domain,名为anrom,那么需要做的事情是:
1./build/target/product/security/目录下,增加我们的签名pem文件:anrom.pem

2.在/external/sepolicy/keys.conf当中,增加我们的pem条目:
[@ANROM]
ALL : $DEFAULT_SYSTEM_DEV_CERTIFICATE/anrom.pem

3.在external/sepolicy/mac_permissions.xml中,增加筛选我们的应用的内容:
    
<signer signature="@ANROM" >

    <seinfo value="anrom" />

    <package name="com.anrom.aaa">
        <seinfo value="aaa" />
    </package>  

    <package name="com.anrom.bbb">
        <seinfo value="bbb" />
    </package>  

</signer>

<!-- All other keys -->
<default>
    <seinfo value="default" />
</default>


signature="@ANROM",表示签名为@ANROM的APP,会进入这个标签筛选的范围中。
signer标签中有三个部分:
第一部分: 直接给出了一个seinfo
第二部分和第三部分:分别给出了两个package name "com.anrom.aaa" 和 "com.anrom.bbb"他们分别对应着seinfo "aaa" 和 "bbb"。
根据第二部分的内容,当一个APP签名为@ANROM,包名为“com.anrom.aaa”,这个APP会得到seinfo为aaa。
第三部分作用类似。
而其他签名为@ANROM的APP,则根据第一部分的内容,得到seinfo为anrom。

4.在external/sepolicy/seapp_contexts中,为seinfo指定domain和type。
user=_app seinfo=anrom domain=anrom_apptype=anrom_app_data_file
user=_app seinfo=aaa domain=aaa_app type=aaa_app_data_file
user=_app seinfo=bbb domain=bbb_app type=bbb_app_data_file

5.在external/sepolicy/路径下,创建新文件anrom_app.te,aaa_app.te和bbb_app.te
具体的文件内容,可以在platform_app.te的基础上进行修改。

6.在app.te文件中查看neverallow部分是否有不符合我们需求的部分,比如我们可能需要在neverallow规则中去掉anrom_app,那就需要我们将文件中所有出现的
neverallow { appdomain -platform_app}
全部改成
neverallow { appdomain -platform_app -anrom_app}

7.在file.te中,增加
type anrom_app_data_file, file_type, data_file_type;
type aaa_app_data_file, file_type, data_file_type;
type bbb_app_data_file, file_type, data_file_type;

8.在installd.te里面,为installld增加anrom_app_data_file类文件的操作权限(这里只列举anrom_app_data_file,剩下两个type类似操作)
allow installd { system_app_data_file bluetooth_data_filenfc_data_file radio_data_file shell_data_file app_data_fileanrom_app_data_file }:dir { create_dir_perms relabelfrom relabelto};
allow installd { system_app_data_file bluetooth_data_filenfc_data_file radio_data_file shell_data_file app_data_fileanrom_app_data_file }:lnk_file { create setattr getattr unlinkrename relabelfrom relabelto };
allow installd { system_app_data_file bluetooth_data_filenfc_data_file radio_data_file shell_data_file app_data_fileanrom_app_data_file }:{ file sock_file fifo_file } { getattr unlinkrename relabelfrom relabelto setattr };


Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3557
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
Sepolicy学习(一)
qq_42282862的博客
05-07 7602
sepolicy 规则介绍 sepolicy的规则针对的是linux系统中的进程和文件。进程是主动的,而文件是被动的。所以有对应的进程的规则和文件规则,分别定义进程的合法行为和文件被访问的权限。 SELIUNX中,每个对象(进程和文件)被赋予安全的属性。SContext是一个字符串,对于进程的SContext,SContext的格式是"u:r:type[:range]", 进程可以ps -Z获得。 ...
QQ聊天记录分析(换新机QQ数据备份还原/Tim迁移)
热门推荐
jonhy的专栏
03-31 10万+
因为很多原因需要备份/导出手机QQ的聊天记录。最近因为腾讯推出了TIM,大部分用户转用TIM,在手机上几年的聊天记录很难转移,因为腾讯不开放聊天记录转移的方案。 最近在酷安网看到一个 “QQ聊天记录导出” 和“微信聊天记录导出”的软件,看了一下他备份的包就是普通的zip备份了QQ应用数据的databases文件夹。(/data/data/com.tencent.mobileqq/datab...
12、Android 安全配置文件:mac_permissions.xml、keys.conf 与 seapp_contexts 详解
最新发布
grpc6streamer的博客
10-21 44
本文详细解析了Android系统中三个关键的安全配置文件:mac_permissions.xml、keys.conf和seapp_contexts,涵盖其作用、格式规则与实际配置方法。通过示例和实验展示了如何实现签名密钥到SELinux上下文的映射、应用权限控制及自定义安全域的创建,并提供了常见问题解决方案与最佳实践建议,帮助开发者提升Android系统的安全性。
SEAndroid策略分析
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
进程的安全上下文----SEAndroid in android 5.x
苞谷猿的技术bug
12-02 2046
SEAndroid使用两种方式为进程设置安全上下文 1.为独立进程静态的设置安全上下文        这和传统的LInux系统很像。android系统中的每个独立进程都对应着一个可执行文件。        以init为例,查看init进程的启动脚本system/core/rootdir/init.rc,部分内容如下: on early-init     ...........     # Set
SEAndroid安全机制中的文件安全上下文关联分析
810364804
07-21 518
前面一篇文章提到,SEAndroid是一种基于安全策略的MAC安全机制。这种安全策略实施在主体和客体的安全上下文之上。这意味着安全策略在实施之前,SEAndroid安全机制中的主休和客体是已经有安全上下文的。在SEAndroid安全机制中,主体一般就是进程,而客体一般就是文件文件安全上下文的关联有不同的方式。本文主要分析文件安全上下文的设置过程,接下来的一篇文章再分析进程安全上下文的设置过程...
Android-SEAndroid权限
qq_34888036的博客
08-29 1840
前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是任何进程想在SELinux系统中干任何事,都必须先在安全策略的配置文件中赋予权限。凡是没有在安全策略中配置的权限,进程就没有该项操作的权限。在SELinux出现之前,Linux的安全模型是DAC(DiscretionaryAccess Control),
Android提权root漏洞,Android Binder Driver UAF 漏洞实现 Root 提权分析(CVE-2019-2215- 嘶吼 RoarTalk – 回归最本质的信息安全,互...
weixin_28679635的博客
05-29 1689
0x00 漏洞描述当Project Zero紧急发布CVE-2019-2215漏洞公告时,我决定将漏洞利用代码复制到本地设备上进行复现分析。我正好有一个存在漏洞的Pixel 2手机。我需要做的就是编译漏洞exp并通过ADB运行exp代码。我下载了最新的Android NDK并编译了PoC:[grant~/Downloads/android-ndk-r20>>./toolchai...
浅谈SEAndroid安全机制及应用方法
阿路
04-05 1231
浅谈SEAndroid安全机制及应用方法 内容提纲: ➢SEAndroid/SELinux简介 ➢SEAndroid/SELinux框架 ➢SELinux Policy介绍 ➢安全策略文件(TE文件) ➢SELinux安全问题分析 ​ ➢SELinux设备文件权限解决办法 ​ ➢SELinux服务权限解决办法 ​ ➢SELinux可执行权限解决办法 ➢补充 ​ ➢客体类型添加 一.SEAn...
Android系统10 RK3399 init进程启动(三十二) SeAndroid实战之策略更新和验证
ldswfun的专栏
07-20 1141
上一个章节介绍了如何定义策略, 并编译得到目标文件, 这些目标文件需要在开发上进行更新验证。
RK3399 Android系统10.0 init进程启动
11-30
课程简述  Android是目前最为流行的移动操作系统之一,它的开发涉及到多个知识领域。本课程将深入介绍Android系统启动过程中的重要组成部分——init进程,并探讨与之相关的多项关键技术。我们还将提供实际的开发案例,以RK3399开发板为例,通过演示Android产品配置、init启动流程、selinux权限管理、init.rc启动脚本定制等实际案例,让学员深入理解这些技术在实际产品开发中的应用场景和实现方法,提高学员的实际开发能力和经验,从而更好地应对实际产品开发中遇到的问题和挑战。知识运用方向学习Android启动方面的知识,可以参与如下实际开发工作项:启动流程定制: 根据产品需求调整Android启动流程,包括修改init.rc脚本、修改启动顺序和等待时间、加入自定义服务等。属性系统定制: 通过Android属性系统定制化启动流程,例如增加产品版本信息、定制开机音量等。日志系统分析: 掌握日志的捕捉、分析和排错技术,在启动过程中,需要加入调试信息来方便开发人员进行调试,同时需要进行日志的优化,避免日志输出过多占用过多的系统资源。selinux安全策略定制:在Android系统中,selinux是一种安全机制,用于保护系统的敏感资源和数据。在实际开发中,可能需要对selinux策略进行定制,以确保系统的安全性和稳定性。课程内容主要内容简述1, RK3399 开发板操作这部分内容重点介绍如何在FIreFly开发板上将Android 10系统运行起来, 包含编译FireFly的Android源码下载和编译, 镜像烧录运行,内核和模块编译,以及RK3399内核启动init进程的过程。2, 产品定制这部分讲解获取到方案商或者原厂提供的源码后, 如何定制一个新的产品,产品配置文件和模型, 原始代码中的配置文件和定制化东西3, Android日志代码编写之前讲过Android的日志系统, 并没涉及到代码编写, 这个部分重点讲解C/C++, java代码编写日志的API和代码4, 属性系统在Android中,属性使用的非常频繁的,可以用来作为进程间通信,也可以用于一些行为控制, 这个部分会重点介绍属性系统框架, API接口, 属性文件等知识点5selinux进程对文件进行访问时,Android 4.3就开始集成了selinux权限管控, 如果需要启动某个脚本或者服务, selinux的配置就避免不了,并且Android8之后, Android系统对进程访问的权限管控的非常严格。6, init.rc脚本Android定义的一种脚本, 改脚本是有init进程启动, 是非常重要的一个脚本, 会包含系统中的其他很多脚本, 在我们系统开发时, 我们经常通过这个脚本进行一些定制化动作。7, init进程代码分析想要了解一个系统,就必须对源码进行分析和理解, 这个章节,带大家去跟读init进程代码, 这样,换了另外一个Android版本,完全就可以去读代码, 知道有什么变化。 
Android Selinux权限之genfscon
weixin_44021334的博客
03-18 2792
genfscon标签相关说明参考我的理解,genfscon 用于给设备节点打标签。说人话:它可以改变设备类型,如把某一个节点从 u:object_r:sysfs:s0 改为 u:object_r:sysfs_dev:s0。举个例子。在读写设备节点时,碰到了 Selinux 权限问题,根据 log 添加了,编译后触发了neverallow报错。不过CTS认证的话,可以根据编译报错直接修改 system/sepolicy/ 目录的文件。因为要过CTS认证,。所以另寻他法,就用到了genfscon。
SEAndroid策略
移动编程
05-21 745
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
Selinux小结
~山之歌~
11-30 1万+
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言    3 1、安全属性——SContext    3 2、TE简介    4 1). 客体类别和许可:    4 2). 访问向量规则:    5 3). AV规则    5 四、SElinux策略文件
SELinux策略配置语言
miroku_it的专栏
01-02 7852
http://book.csdn.net/bookfiles/574/10057418866.shtml3.SELinux策略配置语言策略是一套指导SELinux安全引擎计算安全决策的规则,它定义了文件客体的类型、进程的域、使用限制进入域的角色及访问许可的规则表达式等。策略的源代码用SELinux配置语言进行描述。3.2.1  基本概念1.主体和客体主体(subject)
genfscon使用翻译
steel0205的专栏
03-06 333
selinux genfscon翻译
Android 10 App启动分析之进程创建篇(一)
zzz777qqq的博客
05-26 1101
系统在完成所有的初始化工作后,会通过 mAtmInternal.startHomeOnAllDisplays(currentUserId, "systemReady"); 这条语句,来启动android系统的第一个App,即Launcher应用。这篇文章,我们便以Launcher为引子来探讨一下App的启动流程,在启动App时,系统究竟做了哪些操作? 在AMS调用startHomeOnAllDisplays方法后,经过层层追溯,我们最终将目光定位到RootActivityContainer中的startHo
深入理解SELinux SEAndroid之二
Innost的专栏
02-21 7万+
接第一部分的内容(http://blog.csdn.net/innost/article/details/19299937)。今天公司年会,哥高兴,所以发布第二部。SELinux/SEAndroid一共分三部分。第一和第二部分是SELinux的基础知识,第三部分是SEAndroid的工作源码分析。        深入理解SELinux/SEAndroid 第二部分3)  File/File Sys
saohu.cn-kaixin0410 DLL文件解析与应用
根据给出的文件信息,我们可以分析出以下IT知识点: ...以上是对给定文件信息的详细分析和相关知识点的整理,由于文件信息有限,更多的细节和背景知识需要根据实际的开发环境和上下文来进一步获取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值