6、深入探索SELinux策略加载与SELinuxFS

最新推荐文章于 2025-10-16 13:48:10 发布
最新推荐文章于 2025-10-16 13:48:10 发布
阅读量21 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 深入Android安全核心 文章标签: SELinux 策略加载 SELinuxFS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/grpc6streamer/article/details/153900327

深入探索SELinux策略加载与SELinuxFS

1. Android设备的启动与策略加载

1.1 启动流程概述

Android设备的启动顺序与*NIX系统类似。启动加载器会启动内核,内核最终执行 init 进程。 init 进程负责通过 init 脚本和守护进程中的一些硬编码逻辑来管理设备的启动过程。与所有进程一样, init 进程的入口点是 main 函数,这也是第一个用户空间进程的起点,其代码位于 system/core/init/init.c

1.2 策略加载代码分析

init 进程进入 main 函数时,它会处理命令行参数,挂载一些 tmpfs 文件系统(如 /dev )和一些伪文件系统(如 procfs )。对于支持SELinux的Android设备, init 进程会在启动过程中尽早将策略加载到内核中。SELinux系统的策略并非内置于内核,而是存放在一个单独的文件中。在Android早期启动时,唯一挂载的文件系统是根文件系统,它是一个内置在 boot.img 中的ramdisk,策略文件可以在根文件系统的 /sepolicy 路径下找到。以下是相关代码: 


                

                
                
        

    


  


        

                

                  

                  

                  

                  
                  
                  订阅专栏 解锁全文
                   
                    
                      
                      会员秒杀
                      ¥9.9
                        重磅福利
                        
                    

                  
                    
                    超级会员免费看
                  
                  

                

            
            
            
        


    



                



	

		

			

				
					
Android SELinux——安全策略(三)

				
			

			

				

					小旭的专栏
				

				

					10-10
					
					1503
					
				

			

		

		

			
				
安全标签(Security Labels):每个文件、目录、进程等都有一个安全标签。标签包含类型(Type)、角色(Role)、用户(User)和类别(Category)等信息。安全策略(Security Policies):SELinux 支持多种安全策略,包括:1)Targeted Policy:针对特定类型的系统(如服务器、桌面系统)。2)Strict Policy:更严格的策略,适用于高度安全的环境。3)MLS Policy:多级安全策略,支持多级分类的安全需求。

			
		

	



                

            
              



	

		

			

				
					
【Android】细数Linux和Android系统中的伪文件系统

				
			

			

				

					Shujie
				

				

					01-23
					
					1671
					
				

			

		

		

			
				
做了好些年Android开发,你了解过Linux伪文件系统吗?不妨来学习一下,增强我们的技术垂直度。

			
		

	



              


  
              

                


	

		

			

				
					
selinux源码分析

				
			

			

				

					bruk_spp的博客
				

				

					07-11
					
					5724
					
				

			

		

		

			
				
首先来一幅lsm的逻辑图:

上幅图来至:Linux Security Module Framework一文,很清晰的描述了LSM的逻辑,从用户空间到系统调用再到selinux模块接口。
selinux驱动模块位置:
			\linux-4.5-rc1\security

1.selinux核心驱动的加载
1)selinux文件节点的创建:
		在selinuxfs.c文件中,__initcall(init_sel_fs)驱动模块的加载,会注册文件节点。这些节点作为内核用户空间通信的接口。其核心API调用

			
		

	





	

		

			

				
					
7、深入探索SELinux文件系统审计日志

					
最新发布

				
			

			

				

					grpc6streamer的博客
				

				

					10-16
					
					17
					
				

			

		

		

			
				
本文深入探讨了SELinux的文件系统接口(SELinuxFSProcFS,详细介绍了状态文件、访问向量缓存、布尔值管理、类初始上下文目录、策略能力等核心组件。同时,文章剖析了SELinux审计子系统的工作原理,展示了如何通过auditd收集和分析AVC拒绝日志,并结合实际步骤说明系统升级、补丁应用及策略编写方法。此外,还涵盖了Java SELinux API的使用限制以及读取安全上下文的方法,旨在帮助开发者和系统管理员更好地理解、调试和优化SELinux策略,提升AndroidLinux系统的安全

			
		

	



		

			
		



	

		

			

				
					
SELinux的基础知识

				
			

			

				

					
				

				

					09-22
					
					564
					
				

			

		

		

			
				
SELinux(Security-Enhanced Linux) 一、常见的读取控制机制 1. DAC (Discretionary Access Control: 任意式读取控制)       在DAC架构下,每一个对象都会记录一个拥有者的信息,只要是对象的拥有者,就可以获得对该对象完整控制的能力。传统的Unix系统提供的安全机制,就是操作DAC的思维。     

			
		

	





	

		

			

				
					
SELinux 学习总结

				
			

			

				

					eo_rsgfd的博客
				

				

					02-02
					
					3567
					
				

			

		

		

			
				
什么是SELinux
SELinux 即Security-Enhanced Linux, 是一套强制性安全审查机制,Linux Kernel 2.6 版本后, 有直接整合进入SELinux, 搭建在Linux Security Module(LSM)基础上
SELinux 基本架构原理.
SELinux 是典型的MAC-Mandatory Access Controls 实现, 对系统中每个对象都生成一个安全上下文(Security Context), 每一个对象访问系统的资源都要进行安全上下文审查。审查

			
		

	





	

		

			

				
					
SELinux安全子系统

				
			

			

				

					教Linux的李老师
				

				

					09-06
					
					2738
					
				

			

		

		

			
				
SELinux安全子系统

			
		

	





	

		

			

				
					
javaSE:Linux系统基础配置操作

				
			

			

				

					m0_52338152的博客
				

				

					05-17
					
					542
					
				

			

		

		

			
				
目录



1、linux配置安装java jdk



1、linux配置安装java jdk

1、首先安装好XShell和Xftp软件,方便对linux系统进行图形化界面操作和从本机Windows系统向linux系统上传文件。

点击后在搜索框搜索下载XShell和Xftp。相关软件使用教程有很多,下载好后匹配好inux系统ip地址,建立连接,然后将下载好的jdk压缩包上传到linux系统/usr/local下。

2、配置环境变量

在/usr/local解压压缩包,然后vi编译器编译环境变量文件

			
		

	





	

		

			

				
					
SELinux详解

				
			

			

				

					不知道
				

				

					03-25
					
					1万+
					
				

			

		

		

			
				
SELinux详解
什么是SELinux
当初设计的目标:避免资源的误用
传统的文件权限账号主要的关系:自主访问控制(DAC)
以策略规则制定特定进程读取特定文件:强制访问控制(MAC)
SELinux的运行模式
安全上下文
进程文件SELinux类型字段的相关性
SELinux 3种模式的启动、关闭查看
三种模式的运行状态
SELinux的启动关闭
SELinux策略内的规则管理
SELinux各个规则的布尔值查询getsebool
SELinux类型查询seinfo、sesearch
seinf

			
		

	





	

		

			

				
					
深入理解 SELinux:通过 Nginx 和 SSH 服务配置实践安全上下文端口策略

				
			

			

				

					持续更新~
				

				

					05-29
					
					1744
					
				

			

		

		

			
				
本文通过三组实验演示 SELinux 在服务配置中的核心应用

			
		

	





	

		

			

				
					
Linux报错「Permission denied」:文件系统权限SELinux策略的冲突排查

				
			

			

				

					shejizuopin的博客
				

				

					05-13
					
					1529
					
				

			

		

		

			
				
错误的本质是文件系统权限SELinux策略的双重约束文件系统权限:通过chmodchownsetfacl精细控制权限。SELinux策略:通过chconsemanage解决策略冲突。调试工具链:使用nameistrace定位问题根源。最佳实践开发阶段:在Permissive模式下测试SELinux策略。集成阶段:通过自动化脚本定期检查文件上下文和ACL配置。生产阶段:启用Enforcing模式并记录所有策略变更。通过系统性地应用上述方法,可显著降低。

			
		

	





	

		

			

				
					
深入理解SELinux SEAndroid.docx

				
			

			

				

					04-17
				

			

		

		

			
				
1. SELinux策略的编译和加载策略文件通过`sepolgen`工具编译成二进制格式,然后在系统启动时加载到内核中。 2. 审计系统:当进程尝试进行未授权的操作时,审计子系统会记录这些事件,这对于调试和分析系统行为非常...

			
		

	





	

		

			

				
					
Linux安全之SELinux理解

				
			

			

				

					mengmeng_921的博客
				

				

					09-30
					
					3091
					
				

			

		

		

			
				
安全增强式 Linux(SELinux)是一种强制访问控制的实现。它的作法是以最小权限原则为基础,在 Linux 核心中使用 Linux 安全模块。它并非一个 Linux 发行版,而是一组可以应用在类 Unix 操作系统(如 Linux、BSD 等)的修改。SELinux 更能遵从最小权限的理念安全增强式SELinux是一个在内核中实践的强制访问控制安全性机制Linux安全之SELinux理解两种访问控制DAC:自主访问控制MAC:强制访问控制SELinux有两种工作级别。

			
		

	





	

		

			

				
					
selinux 操作详解

				
			

			

				

					qq_23587541的博客
				

				

					12-08
					
					789
					
				

			

		

		

			
				
1. 查看SELinux状态

1.1 getenforce

getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,setenforce命令相反。
setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效


[root...

			
		

	





	

		

			

				
					
SELinux介绍

				
			

			

				

					内核工匠
				

				

					06-04
					
					1万+
					
				

			

		

		

			
				
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Po...

			
		

	





	

		

			

				
					
2019/02/26 SELinux02

				
			

			

				

					qq_42227818的博客
				

				

					09-29
					
					204
					
				

			

		

		

			
				
targeted放了关于selinux的信息,比如安全上下文

default_type 默认类型,systemd_contexts 安全上下文

角色:类型(什么样的角色生成什么样的文件,有对应的类别

启用禁用selinux
启用

permissi相当于半禁用,等于selinux不起作用,但是违反了策略会报警,并不起到阻止你的作用
disable彻底禁用
可以临时切换状态

sestatu...

			
		

	





	

		

			

				
					
Selinux小结

					
热门推荐

				
			

			

				

					~山之歌~
				

				

					11-30
					
					1万+
					
				

			

		

		

			
				
目   录
前绪    2
一、Selinux基础概述    2
		二、什么是Selinux?    2
		三、SELinux Policy语言    3
		1、安全属性——SContext    3
		2、TE简介    4
		1). 客体类别和许可:    4
		2). 访问向量规则:    5
		3). AV规则    5
		四、SElinux策略文件

			
		

	





	

		

			

				
					
SELinux相关操作

				
			

			

				

					月光游侠
				

				

					06-09
					
					811
					
				

			

		

		

			
				
SELinux是个经过安全强化的Linux操作系统,实际上,基本上原来的运用软件没有必要修改就能在它上面运行。真正做了特别修改的RPM包只要50 多个。像文件系统EXT3都是经过了扩展。对于一些原有的命令也进行了扩展,另外还增加了一些新的命令,接下来我们就来看看这些命令。
文件操作
1)ls命令
在命令后加个 -Z 或者加 –context
[root@python azureus]# l

			
		

	





	

		

			

				
					
深入理解SELinux策略编写系统安全管理

				
			

			

				

					
				

			

		

		

			
				
SELinux通过其安全策略定义了不同的安全上下文,每个进程和文件都被分配了一个安全上下文,这样就可以控制进程如何文件和其他进程交互。SELinux的安全策略是由一系列规则组成的,这些规则基于角色、类型、用户等...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值