SElinux策略文件配置

SELinux策略配置与调试
最新推荐文章于 2025-12-13 11:39:09 发布
原创 最新推荐文章于 2025-12-13 11:39:09 发布 · 362 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

2025博客之星年度评选已开启 10w+人浏览 807人参与

SElinux策略文件配置

经过前面的一大堆理论的学习,我们知道,还需要编写相关的规则文件,才能通过 SElinux 的检测

Selinux权限配置及安全上下文文件目录:
在这里插入图片描述
在这里插入图片描述

编译selinux_policy

所以在device下搜索emulator_x86_64的关键字,因为device是产品配置相关的目录:
在这里插入图片描述
上面导入的是build/make/target/board/emulator_x86_64/BoardConfig.mk,于是需要在这个文件中配置sepolicy所在的路径,这样系统可以将其加入编译到selinux_policy

在这里插入图片描述
在这里插入图片描述

编译

在这里插入图片描述
编译后会得到两个结果
第一个:上下文标签
第二个:编译后的二进制策略文件precompiled_sepolicy
但是,这个文件是放在哪个目录下呢:请用以下指令搜索

dzz@ubuntu:~/aosp/out/target/product/emulator_x86_64$ find . -name "precompiled_sepolicy"
./obj/ETC/precompiled_sepolicy_intermediates/precompiled_sepolicy
./vendor/etc/selinux/precompiled_sepolicy
dzz@ubuntu:~/aosp/out/target/product/emulator_x86_64$

可以得到的是 ./vendor/etc/selinux/precompiled_sepolicy
在这里插入图片描述
避免遗漏,把整个 selinux 文件push 到android 模拟器上面就好
在这里插入图片描述

调试

查看sedemo_dev设备文件的上下文标签

ls -laZ /dev/sedemo_dev_dzz

在这里插入图片描述
为什么不是前面定义的标签?(sedemo_dev_dzz_t)
在这里插入图片描述
> ls -lZ /vendor/bin/sedemo
在这里插入图片描述
显然,通过 restorecon 切换,上下文标签已经是我们定义的了

但是这样麻烦,我们期望他能自己切换域;添加一句即可

domain_auto_trans(shell, sedemo_dt_exec, sedemo_dt)

因为切换进程域的时候,如果是由shell指令去切换,将切换成对应的sedemo_dt这个域,sedemo_dt_exec是类型
然后继续编译:

make selinux_policy -j16

然后重复上面的push:

adb push out/target/product/emulator_x86_64/vendor/etc/selinux /vendor/etc/

重启设备,让系统根据file_contexts的内容自动打标签:

adb reboot

运行

//如果不是宽容模式,先切换到宽容模式(为方便调试)
setenforce 0

touch /dev/sedemo_dev_dzz
restorecon /dev/sedemo_dev_dzz

ls -lZ /dev/sedemo_dev_dzz
ls -lZ /vendor/bin/sedemo_dzz

开两个终端,左边抓log ,右边运行,先在宽容模式下调试 logcat | grep "avc" | grep -E "sedemo_dzz|sedemo"
在这里插入图片描述
在这里插入图片描述
做到之后,使用 audit2allow 转换为 allow

先安装audit2allow
sudo apt install policycoreutils-python-utils

屏蔽以下4个语句 :
sudo vim /usr/bin/audit2allow  //打开文件,屏蔽以下几行
350             self.__parse_options()                                                                                                                                       |~                             
351             #if self.__options.policy:                                                                                                                                   |~                             
352             #    audit2why.init(self.__options.policy)                                                                                                                   |~                             
353             #else:                                                                                                                                                       |~                             
354             #    audit2why.init() 


转换成te策略:
audit2allow -i avc.txt > hello.te

在这里插入图片描述
运行转换后的结果
在这里插入图片描述
加到te 文件,重新编译
在这里插入图片描述

make selinux_policy -j16
adb reboot

重启完成后,就可以使用强制模式执行了

setenforce 1    //切换到强制模式
getenforce
runcon u:r:sedemo_dt:s0 /vendor/bin/sedemo_dzz

在这里插入图片描述
可以看到代码中的死循环没有退出,另一个终端,也能看到文件写入的内容了

SELinux 理论基础和 SElinux 策略文件配置实战
嵌入式wu
08-26 1083
SEAndroid基础概念与实战摘要 SEAndroidSELinuxAndroid中的实现,通过强制访问控制(MAC)机制增强系统安全。与传统的自主访问控制(DAC)不同,SEAndroid采用最小权限原则,即使root权限也无法随意访问系统资源。系统通过scontext标签标识主体(进程)和客体(资源),由SecurityServer和Linux内核LSM模块进行权限验证。实战部分演示了如何为自定义程序和设备节点配置SELinux策略,包括创建.te策略文件、定义文件上下文、编译策略等关键步骤。该案
Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 1259
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
配置selinux策略_selinux详解及配置文件
weixin_39852276的博客
12-24 1076
selinux详解selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ;如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w...
配置selinux策略_selinux策略配置
weixin_33668998的博客
12-24 912
SELinux (Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行...
配置selinux策略_SELinux入门
weixin_42509793的博客
01-09 700
初识SELinux什么是SELinux说专业一点: 安全性增强的Linux(SELinux)是Linux内核中强制性访问控制机制的一种实现, 它在检查了标准的自由访问控制后检查允许的操作. SELinux可以基于定义的策略对Linux系统中的文件和进程及其动作实施规则.说的通俗一点: SELinux在大多数情况下可以理解为一个以进程为主体的资源访问白名单.再絮叨几点:额外的安全层: SE...
配置selinux策略_Android SeLinux安全策略配置
weixin_35765731的博客
01-14 773
众所周知,自从Android4.3版本引入SeLinux后,这一新的安全机制会对进程的权限进行最小化的限制,以保证即使受到攻击,也不会对系统整体造成太大的影响。对于SeLinux的具体机制分析不是本文的重点,这里不做赘述。前阵子商务的同事送样机去客户处测试,客户方面为安全考虑提出需要关闭root,接到这样一个需求,因为我们的系统(Android5.1)并未开放superuser权限,只是把seli...
配置selinux策略_SELinux安全策略的设置及应用
weixin_42519497的博客
12-24 1560
今天给大家分享的可能是很多人觉得没什么意义的一项内容,其实不是它没什么意义,而是说它使用起来比较麻烦,因为启用SELinux安全策略之后,每个应用程序的访问域和文件的安全标签都是需要严格匹配后,才能执行访问操作的,所以如果稍有设置上的不当,便会导致应用程序出错,但任何事情都是双面性的,自己设置起来比较麻烦的同时,也给相应的应用程序数据提供了足够的安全保障,比如说,我们给web服务启用SELinux...
配置selinux策略_SELinux入门和基本配置
weixin_34647584的博客
12-24 400
SElinux的概念:SELinux[Security Enhanced Linux (安全强化 Linux)],是工作在内核中的MAC (Mandatory Access Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防...
配置selinux策略_使用semanage管理SELinux安全策略
weixin_36277054的博客
01-09 383
Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映射到SELinux用户身份以及对象(如网络端口,接口和主机)的安全上下文映射。简介Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映射到SELinux用户身份以及对象(如网络端口,接口和主机)的安全上下文映射。实验环境Ce...
android 9.0 selinux 策略配置
zhbpd的专栏
10-19 2398
主要配置: (1)文件; 在 file.te 中声明一个文件类型; type my_file, file_type, data_file_type, core_data_file_type; 在 file_contexts 文件中关联实际的文件路径和文件类型; /data/my_file(/.*)? u:object_r:my_file:s0 注意 my_file 的类型,如果是data目录下的,要添加 core_data_file_type; 是 vendor目
操作系统安全:实验配置selinux策略(实验一).docx
06-02
操作系统安全是IT领域中的核心议题,特别是在服务器管理与网络服务中。SELinux(Security-Enhanced Linux)是一...在日常运维中,理解并灵活运用SELinux策略能够有效地保护系统免受潜在威胁,提升整体的安全防护能力。
20251211给飞凌OK3588-C开发板跑飞凌Android14时让OV5645摄像头以1080p录像
南岭笑笑生之家
12-11 633
本文记录了在飞凌OK3588-C开发板上修改Android14系统配置,使OV5645摄像头支持1080p录像的过程。首先通过source命令初始化编译环境,选择ok3588_c-userdebug构建目标,执行make install clean清理后运行build.sh脚本。关键修改在于media_profiles_V1_0.xml配置文件,将其从默认480p调整为1080p分辨率。操作步骤包括:定位/vendor/etc目录下的配置文件,确认摄像头支持更高分辨率后修改对应参数,最终通过重启验证修改效果
Android FrameWork】第二十八天:Activity 的 UI 绘制全过程
u012739527的博客
12-11 837
Activity → PhoneWindow → DecorView → ContentParent → 开发者布局(如 R.layout.activity_main),形成 “Activity - 窗口 - 根视图 - 自定义布局” 的四层 UI 载体结构,为后续绘制奠定基础。载体初始化:Activity 创建时初始化 PhoneWindow,PhoneWindow 创建 DecorView 并确定 ContentParent。布局加载。
android 为什么revoke权限会杀进程,grant 权限不会杀进程
fuyinghaha的专栏
12-10 51
Android对权限授予和撤销采取不同处理:授予权限时保持进程运行以保障兼容性和用户体验,应用可通过回调处理新权限;而撤销权限时强制终止进程,确保立即切断访问能力,防止数据泄露并重置应用状态。这种差异设计既遵循安全原则,又优化了使用体验,通过实时权限检查、组件生命周期管理等机制实现平衡。
Android FrameWork】延伸阅读:Activity生命周期
u012739527的博客
12-08 952
本文详细介绍了Android中Activity生命周期回调的实现方式,包括核心回调方法的作用、执行顺序和具体实现。主要内容涵盖: 生命周期回调的基础认知:系统通过回调机制管理Activity的创建、可见性和交互状态三个阶段 核心回调方法实现: onCreate():初始化资源和界面 onStart()/onStop():处理可见性变化 onResume()/onPause():管理交互状态 onDestroy():释放资源 状态保存与恢复方法 提供了Kotlin和Java两种语言的完整实现示例,包含日志记录
android15 休眠唤醒过程中有时候屏幕显示时间一闪而过
大小白
12-10 338
摘要:针对Android15开发中默认关闭锁屏后休眠唤醒时屏幕闪烁的问题,可通过代码设置默认关闭"收到通知时唤醒屏幕"选项。解决方案是在SettingsApplication.java的onCreate()方法中添加Settings.Secure.putInt(getContentResolver(), DOZE_ENABLED, 0)代码,该设置会禁用屏幕唤醒功能,从而避免闪烁现象。这种方法比手动在设置界面关闭该选项更高效,实现了系统级的默认配置
Qt ---- Qt6.5.3 连接MySQL数据库
m0_72753035的博客
12-13 457
编译文件夹的路径为 : \Qt\6.5.3\Src\qtbase\src\plugins\sqldrivers\build\Desktop_Qt_6_5_3_MinGW_64_bit-Debug\plugins\sqldrivers。将这些文件复制粘贴到 Qt\6.5.3\mingw_64\plugins\sqldrivers 中以及 Qt\Tools\QtCreator\bin\plugins\sqldrivers 中。首先我们需要下载mysql数据库,此文章不展示如何下载mysql数据库。
3.MySQL 数据库集成
最新发布
m0_71207979的博客
12-13 649
一个库里有多个表,每个表存一类数据(比如 “超市数据” 库里有:✅ 会员表(存会员 ID、姓名、电话);一个 MySQL 里可以建多个 “库”,每个库对应一个业务(比如 “超市数据” 库、“员工考勤” 库),互相隔离;SQL(结构化查询语言)是和 MySQL 对话的 “语言”,你输入指令,MySQL 执行对应的操作(增 / 删 / 改 / 查数据)。为了区分每一行数据,给表指定一个 “唯一标识字段”(比如会员表的 “ID”),保证每行都不一样(不会有两个 ID=1 的张三)。
安卓进阶——原理机制
Meteors.的博客
12-10 294
Android核心机制解析 本文系统梳理了Android开发的四大核心机制: 事件传递机制:详细分析了ViewGroup和View的事件分发流程,包括dispatchTouchEvent、onInterceptTouchEvent等关键方法,并提供了滑动冲突解决方案的实战代码。 View绘制流程:完整解析了measure、layout、draw三大阶段,重点讲解了MeasureSpec机制和性能优化技巧,如避免过度绘制和对象复用。
SELinux 策略文件一般在哪
07-19
Android 系统中,SELinux 策略文件的存储位置通常由构建配置中的系统变量指定,这些变量定义了平台公共、平台私有、设备特定以及系统级别的策略文件路径。 平台公共 SELinux 策略文件路径通常指向 `system/sepolicy/public`,该目录包含适用于所有设备的通用 SELinux 策略定义[^2]。平台私有 SELinux 策略文件路径则通常指向 `system/sepolicy/private`,此目录存放的是特定于 Android 平台但不对外公开的策略规则。设备特定的 SELinux 策略文件路径一般位于 `device/{厂商}/{设备名称}/sepolicy/`,这里包含了针对特定设备或厂商定制的 SELinux 策略文件[^2]。对于系统级别的 SELinux 策略文件路径,它通常也指向 `system/sepolicy`,作为整个系统策略的基础部分。 这些目录结构和路径设置允许 Android 构建系统在编译过程中正确地收集和处理不同来源的 SELinux 策略文件,以生成最终部署到设备上的策略文件。此外,`BoardConfig.mk` 文件负责指定这些路径,确保构建过程能够识别并使用正确的策略文件集[^2]。 ### SELinux 策略文件的作用 - **public 目录** 中的策略文件提供了所有设备共享的基础策略,比如对标准系统服务和组件的安全策略定义。 - **private 目录** 包含了非公开的平台策略,可能涉及更敏感或特定的功能实现。 - **vendor 特定目录** 允许硬件制造商添加其设备所需的独特安全策略,这有助于保持核心平台策略的干净和通用性。 - **system/sepolicy 目录** 作为主策略目录,整合了来自其他目录的策略片段,形成完整的 SELinux 策略集。 通过这种方式,Android 系统实现了灵活而细粒度的安全控制机制,使得每个运行中的进程(主体)对文件、目录和套接字等资源(客体)的访问都受到严格限制,从而保障了系统的整体安全性[^1]。 ```bash # 示例:在 BoardConfig.mk 中定义 SELinux 策略路径 BOARD_PLAT_PUBLIC_SEPOLICY_DIR := system/sepolicy/public BOARD_PLAT_PRIVATE_SEPOLICY_DIR := system/sepolicy/private BOARD_VENDOR_SEPOLICY_DIRS := device/manufacturer/device-name/sepolicy/ BOARD_SEPOLICY_DIRS := device/manufacturer/device-name/sepolicy/ BOARD_SYSTEM_SEPOLICY_DIRS := system/sepolicy ``` 上述配置示例展示了如何在 `BoardConfig.mk` 文件中定义用于构建 SELinux 策略的各个目录路径。这种组织方式不仅简化了策略文件的管理,也为不同层级的策略定制提供了良好的支持。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值