SEAndroid策略分析(二):类和许可

最新推荐文章于 2022-10-31 23:15:00 发布
原创 最新推荐文章于 2022-10-31 23:15:00 发布 · 621 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #seandroid #selinux

本文深入探讨了安全增强的Linux SELinux机制,包括客体类别声明、许可声明和访问向量语法,详细解释了通用许可、特别类别许可及联合许可的使用方式,并通过SELinux实例展示了具体应用。
  • 客体类别声明

文件名:security_classes

class filesystem

class file

class dir

class fd

class lnk_file

class chr_file

class blk_file

class sock_file

class fifo_file

.......

 

  • 声明许可

1.通用许可,它允许我们创建与客体类别一起作为一个组的许可,通用许可在类似的客体类别(如文件和符号连接)共享一套访问许可时很有用;

 文件名:access_vectors

通用许可集:

commonfile   (通用许可名)此处的file并不是类名,而是通用许可名,这一点要注意

{

      ioctl

      read

      write

      create

      getattr

      setattr

      lock

      relabelfrom

      relabelto

      append

      unlink

      link

      rename

      execute

      swapon

      quotaon

      mounton

}

2.特别类别许可

第二种方法叫做特定类别许可,它允许我们单独为客体类别声明特定的许可 

class filesystem

{

      mount

      remount

      unmount

      getattr

      relabelfrom

      relabelto

      transition

      associate

      quotamod

      quotaget

}

 

三种方法将客体类别和许可关联(访问向量)

1.        特别类别许可(看上面)

2.        使用通用许可

class socket

inherits socket

将通用许可集socket中的许可分配给类socket。

 

3.        联合许可

class dir

inherits file

{

      add_name

      remove_name

      reparent

      search

      rmdir

      open

      audit_access

      execmod

}

 

访问向量语法:class类别名[inherits通用许可集名][{许可集}]

参考文献:SELinux实例:使用安全增强的Linux:http://book.51cto.com/art/200810/94193.htm

浅谈SEAndroid安全机制及应用方法
阿路
04-05 1229
浅谈SEAndroid安全机制及应用方法 内容提纲: ➢SEAndroid/SELinux简介 ➢SEAndroid/SELinux框架 ➢SELinux Policy介绍 ➢安全策略文件(TE文件)SELinux安全问题分析 ​ ➢SELinux设备文件权限解决办法 ​ ➢SELinux服务权限解决办法 ​ ➢SELinux可执行权限解决办法 ➢补充 ​ ➢客体型添加 一.SEAn...
关于Selinux详解
段小苏的学习之路
04-03 5602
目 录 前绪    2 一、Selinux基础概述    2 、什么是Selinux?    2 三、SELinux Policy语言  ...
SELinux策略语言--客体类别许可
MyArrow的专栏
08-19 1万+
1. 简介     SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 客体类别许可
Android 安全攻防(一):SEAndroid的编译
nayao-net
12-19 397
SEAndroid的编译 SEAndroid概述 SEAndroid(Security-Enhanced Android),是将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。可以用来强化Android操作系统对App的存取控管,建立似沙箱的执行隔离效果,来确保每一个App之间的独立运作,也因此可以阻止恶意App对系统或其它应用程序的攻击。 S...
SEAndroid策略分析(一):概述SEAndroid
苞谷猿的技术bug
12-09 810
本系列乃本猿当年刚学习SEAndroid时,学到的知识得到的经验,一己之见,不敢保证完全正确,如果在学习中发现错误,再回来修改。 SEAndroid继承于SELinux,将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。可以用来强化Android操作系统对App的存取控管,建立似沙箱的执行隔离效果,来确保每一个App之间的独立运作
SEAndroid策略分析(三):型强制角色声明
苞谷猿的技术bug
12-09 2116
型强制 TE规则语法: 规则名称源型目标型:客体类别许可 规则名称    allow,dontaudit,auditallowneverallow。 源型      授予访问的型,通常是进程尝试访问的域型。 目标型    客体型,它被授权可以访问源型。 客体类别    客体类别许可        表示主体对客体访问时允许的操作型(也叫做访问向量)。  
智能终端信息安全概念(十一):内核安全(3)SElinux应用分析——SEAndroid
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-31 920
为允许的Intent分发。
Android-SEAndroid权限问题指南
热门推荐
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
linux内核安全策略,SELinux 安全策略解析
weixin_30045055的博客
05-02 419
1、简介SELinux 是 Security-Enhanced Linux 的简称,是美国国家安全局(NSA=The National Security Agency) SCC(Secure Computing Corporation)开发的基于 Linux 的一个强制访问控制安全模块扩展。原先是在 Fluke 上开发的,2000 年以 GNU GPL 协议发布。对于目前可用的 Linux 安...
Selinux SeAndroid理解
sam0535的专栏
12-06 330
SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation (SCC) MITRE直接参与开发,以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制,该系统最初是作为一款通用访问软件,发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后,有直接整合
SEAndroid:增强Android安全性的MAC机制
这种扩展增强了现有的权限模型,使得安全策略不仅限于用户界面级别的许可,还能深入到系统服务底层组件,从而提供更全面的保护。 论文通过详尽的分析,展示了SEAndroid如何有效地缓解已公开的针对Android的各种...
精选资源
SELinux详解-中文版.pdf
10-18
第四章“对象许可”解释了如何通过对象许可控制内核资源。第五章“型增强策略”是SELinux最重要的特性,讲述了如何利用策略语言编写型增强规则。第六章“角色用户”涉及基于角色的访问控制,展示了...
深入理解Android SEAndroid安全机制
3. 实践SEAndroid配置:通过实验环境设置修改AndroidSEAndroid策略。 4. 分析调试:学习如何分析SEAndroid的审计日志,找出并解决权限问题。 5. 应用开发与适配:学习如何在开发Android应用时考虑到SEAndroid...
进程的安全上下文----SEAndroid in android 5.x
苞谷猿的技术bug
12-02 2040
SEAndroid使用两种方式为进程设置安全上下文 1.为独立进程静态的设置安全上下文        这传统的LInux系统很像。android系统中的每个独立进程都对应着一个可执行文件。        以init为例,查看init进程的启动脚本system/core/rootdir/init.rc,部分内容如下: on early-init     ...........     # Set
设置文件安全上下文的代码实现 ---- SEAndroid in android 5.x
苞谷猿的技术bug
12-09 1801
一.设置ROM中的文件的安全上下文        以system.img为例,生成system.img的命令在build/core/Makefile文件中: BUILT_SYSTEMIMAGE := $(systemimage_intermediates)/system.img .......... $(BUILT_SYSTEMIMAGE): $(FULL_SYSTEMIMAGE_DEP
文件的安全上下文 ---- SEAndroid in Android 5.x
苞谷猿的技术bug
12-02 1743
Android系统中的文件生成方式有两种: 1.ROM里面预设的。对于ROM里面预设的文件,我们使用预先定义的方式来确定他们的安全上下文。 2.动态生成的。对于动态生成的文件,原则上继承父目录的安全上下文。但有一些特别的情况下,我们会遵循预先设定的规则来设置他们的安全上下文。 在SEAndroid使用三种方式来设置文件的安全上下文。 1.设置打包在ROM里面的文件的安全上下文        e
安全策略的生成----SEAndroid in Android 5.x
苞谷猿的技术bug
12-09 1061
android系统中第一个启动的进程是init进程,这个进程会执行系统初始化,其中就包括加载SEAndroid安全策略,查看文件system/core/init/init.c的main函数,其中有:   unionselinux_callback cb; cb.func_log= log_callback; selinux_set_callback(SELINUX_CB_L
概述----SEAndroid in Android 5.x
苞谷猿的技术bug
12-02 877
SEAndroid,源自SELinuxSELinux最大的作用就是让人在网上发贴问如何关闭它(误。。!)。因为它太难搞了,普通linux系统里,su一下,大概一切都搞定了,但是开启 了SELinux的系统里。。。它不让我们做什么事,我们也只能不做了。于是,被剥夺了上帝视角的猴子们愤怒了。我们要杀掉这个奇怪的selinux。回 正题,su之后依然会受到限制,这就是SELinuxSEAndroi
设置进程安全上下文的代码实现 ---- SEAndroid in android 5.x
苞谷猿的技术bug
12-09 806
应用程序进程是由ActivityManagerService请求Zygote进程创建的。ActivityManagerService在请求Zygote进程创建应用程序进程的时候,会传递很多参数,其中就包括seinfo。当ActivityMangerService需要创建应用程序进程的时候,就会调用ActivityMangerService的成员函数startProcessLocked,查看这个函
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值