Android系统10 RK3399 init进程启动(二十五) SeAndroid 安全上下文文件

最新推荐文章于 2025-11-07 20:20:42 发布
原创 最新推荐文章于 2025-11-07 20:20:42 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#瑞星微RK3399 #Android系统 #Android selinux #SeAndroid

本文详细介绍了Android系统中SeAndroid的安全上下文文件,包括file_contexts、property_contexts、genfs_contexts、service_contexts、mac_permission.xml和seapp_contexts的用途和位置。在Android 8.0后的Treble项目中,这些文件被分为平台和非平台部分。开发者通常只修改厂商定义的规则,以避免平台策略错误。在系统启动时,plat_sepolicy.cil和vendor_sepolicy.cil会被动态编译并执行。

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

本章节介绍SeAndroid中常见的几个安全上下文文件。

一,安全上下文文件

在Android源码中会存在几个重要的上下文文件, 用来描述系统和属性,服务等的上下文信息, 路径在system/sepolicy

file_contexts

根系统中所有文件的安全上下文, 如/system/bin, /system/etc等文件,源码路径如: system/sepolicy/private/file_contexts

property_contexts

属性的安全上下文,源码路径如: system/sepolicy/private/property_contexts

genfs_contexts

Genera
最低0.47元/天 解锁文章
SEAndroid 策略文件 ping.te
黑山老妖
01-06 5040
最近在研究SEAndroid,略懂皮毛,发几篇帖子和大家交流下 ping.te type ping, domain; permissive ping; type ping_exec, file_type; domain_auto_trans(shell, ping_exec, ping) unconfined_domain(ping)
深入理解 SEAndroid:应用程序目录的 SELinux 安全上下文与访问控制机制
fromair的专栏
03-22 1918
系统进程只能访问特定的系统资源,而应用程序只能访问自己专属的数据目录,且通过 SELinux 策略加以保护。是 SELinuxAndroid 系统中的实现,它增强了 Android 系统安全性,防止了诸如恶意软件、特权提升等潜在的安全威胁。在 Android 中,DAC 使用的是传统的。在 SEAndroid 中,SELinux 提供了强大的访问控制机制,确保每个应用程序的数据都被隔离和保护。通过这种方式,每个应用的数据目录都被分配了一个独特的安全上下文,以确保应用之间的数据隔离。
解决华为手机termux安装在chroot的ubuntu系统,开启SSH 客户端连接上后无法读取写入但能删,报什么key问题之类的,设置selinux为宽容模式
最新发布
zaixingxing2539的博客
11-07 772
sepolicy-inject 是 Android 平台上的一个重要工具,主要用于修改和注入 SELinux 策略规则。以下是关于该工具的详细扩展说明: 功能概述 sepolicy-inject 主要用于动态修改 SELinux 策略,允许开发者在运行时添加新的策略规则,而无需重新编译整个 SELinux 策略文件。这在调试或定制 Android 系统时非常有用。 使用场景 调试 SELinux 策略 当某个进程由于 SELinux 限制无法访问资源时,可以使用 sepolicy-inject 临时添加
SeLinux 的编译逻辑
littleyards的博客
04-02 2024
收集 PLAT_PRIVATE_POLICY和 PLAT_PUBLIC_POLICY 目录下的 文件,通过transform-policy-to-conf 进行宏展开,得到plat_policy.conf文件。一文中,我们知道,在init进程Selinux的处理过程中,会将precompiled_sepolicy或者动态编译相关目录下的cil文件得到的compiled_sepolicy写入给内核。再来看一下cil文件的生成过程,以built_plat_cil 为例,其它的都类似。最终根目录系统结构为。
Android设置守护进程安全上下文
u013234805的专栏
04-30 2727
前面我们已经介绍了客体的安全上下文是通过文件file_contexts来指定的。但是作为主体的进程,它的安全上下文又是在哪里指定的呢?我们知道,启动进程有两种方式,一种是通过init进程启动守护进程,另一种是通过Zygote来启动应用进程。 在“7.1.2节 启动Service进程”中介绍service_star()t函数时有一段代码是关于获得守护进程安全上下文的,让我们一起来看看:
Android系统app的domain(安全上下文)设定方法
code/decode的博客
09-21 4925
背景 在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。 在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下...
Android系统10 RK3399 init进程启动(二十二) SEAndroid 框架
ldswfun的专栏
05-07 1135
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍SEAndroid(Security Enhanced for Android Selinux整体框架, 了解整体,再去看细节就容易很多. 一, 框图介绍: ​ SEAndroid框架是由用户空间和内核空间组成, 用户空间安全保护机制中主要包含安全上下文(Security...
Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录
ldswfun的专栏
06-28 1794
本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录和文件,以及编译规则
Android系统10 RK3399 init进程启动(三十一) SeAndroid实战之定义策略
ldswfun的专栏
07-20 1059
通过实战例子来验证理论, 本章节重点介绍如何定义策略。
Android系统10 RK3399 init进程启动(二十三) 初识Selinux 安全策略
ldswfun的专栏
05-07 1128
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux安全策略的基本规则, 先入为主的了解最简单的东西, 然后再慢慢深入更细节东西。 一, 最简单的安全策略规则 配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK...
Android SELinux
weixin_45754428的博客
03-11 1366
MAC 权限由系统策略强制管理,即使 Root 进程也需遵守规则。,其核心目标是通过细粒度的权限策略限制进程和资源访问,即使进程拥有 Root 权限也无法绕过规则。• MAC 场景:即使恶意应用有 Root 权限,若 SELinux 策略禁止其访问。:掌握安全上下文、策略语言(TE)、调试工具链(audit2allow)。• DAC 场景:某恶意应用获取 Root 权限后,可任意删除系统文件。:多级安全(MLS)策略中的安全级别(Android 默认未启用)。,决定进程域与资源类型的访问权限。
SEAndroid安全机制中的文件安全上下文关联分析
810364804
07-21 521
前面一篇文章提到,SEAndroid是一种基于安全策略的MAC安全机制。这种安全策略实施在主体和客体的安全上下文之上。这意味着安全策略在实施之前,SEAndroid安全机制中的主休和客体是已经有安全上下文的。在SEAndroid安全机制中,主体一般就是进程,而客体一般就是文件文件安全上下文的关联有不同的方式。本文主要分析文件安全上下文的设置过程,接下来的一篇文章再分析进程安全上下文的设置过程...
Android设置应用进程安全上下文
u013234805的专栏
04-30 3884
理解了守护进程安全上下文的创建过程后,我们再看看应用进程安全上下文是如何创建的。应用进程是通过Zygote进程fork出来的,但是不会调用exec。在前面介绍Zygote进程时我们已经知道了创建应用进程时会调用函数ForkAndSpecializeCommon(),这个函数则通过调用selinux_android_setcontext()函数来设置应用进程安全上下文,如下所示: rc =
[Android]设置进程安全上下文
aaajj的专栏
12-31 1431
为了能够清楚的理解进程上下文,我们来做一个试验, 通过在rc文件中进行注册启动一个进程,即让init进程来fork出一个进程。 以/system/bin/service程序为例,我们在里面增加一个长时间的sleep,以便于我们观察。 增加service.te #service.te typemTestService, domain, domain_deprecated, m
SEAndroid的各种策略文件
u013234805的专栏
04-30 2584
在external/sepolicy目录存放了很多SELinux的策略定义文件。通过这些文件我们能了解到SEAndroid更多的细节,下面我们一起看看这些文件的内容。 1.   角色定义文件roles 角色定义文件用来定义SELinux系统的角色。文件roles的内容如下: role r; role r types domain; 从这里可以看到,SEAndroid实际上只定义了一种
RK3399 Android系统10.0 init进程启动
11-30
课程简述  Android是目前最为流行的移动操作系统之一,它的开发涉及到多个知识领域。本课程将深入介绍Android系统启动过程中的重要组成部分——init进程,并探讨与之相关的多项关键技术。我们还将提供实际的开发案例,以RK3399开发板为例,通过演示Android产品配置、init启动流程、selinux权限管理、init.rc启动脚本定制等实际案例,让学员深入理解这些技术在实际产品开发中的应用场景和实现方法,提高学员的实际开发能力和经验,从而更好地应对实际产品开发中遇到的问题和挑战。知识运用方向学习Android启动方面的知识,可以参与如下实际开发工作项:启动流程定制: 根据产品需求调整Android启动流程,包括修改init.rc脚本、修改启动顺序和等待时间、加入自定义服务等。属性系统定制: 通过Android属性系统定制化启动流程,例如增加产品版本信息、定制开机音量等。日志系统分析: 掌握日志的捕捉、分析和排错技术,在启动过程中,需要加入调试信息来方便开发人员进行调试,同时需要进行日志的优化,避免日志输出过多占用过多的系统资源。selinux安全策略定制:在Android系统中,selinux是一种安全机制,用于保护系统的敏感资源和数据。在实际开发中,可能需要对selinux策略进行定制,以确保系统安全性和稳定性。课程内容主要内容简述1, RK3399 开发板操作这部分内容重点介绍如何在FIreFly开发板上将Android 10系统运行起来, 包含编译FireFly的Android源码下载和编译, 镜像烧录运行,内核和模块编译,以及RK3399内核启动init进程的过程。2, 产品定制这部分讲解获取到方案商或者原厂提供的源码后, 如何定制一个新的产品,产品配置文件和模型, 原始代码中的配置文件和定制化东西3, Android日志代码编写之前讲过Android的日志系统, 并没涉及到代码编写, 这个部分重点讲解C/C++, java代码编写日志的API和代码4, 属性系统Android中,属性使用的非常频繁的,可以用来作为进程间通信,也可以用于一些行为控制, 这个部分会重点介绍属性系统框架, API接口, 属性文件等知识点5,selinux进程文件进行访问时,Android 4.3就开始集成了selinux权限管控, 如果需要启动某个脚本或者服务, selinux的配置就避免不了,并且Android8之后, Android系统进程访问的权限管控的非常严格。6, init.rc脚本Android定义的一种脚本, 改脚本是有init进程启动, 是非常重要的一个脚本, 会包含系统中的其他很多脚本, 在我们系统开发时, 我们经常通过这个脚本进行一些定制化动作。7, init进程代码分析想要了解一个系统,就必须对源码进行分析和理解, 这个章节,带大家去跟读init进程代码, 这样,换了另外一个Android版本,完全就可以去读代码, 知道有什么变化。 
本地编译selinux权限验证
Thatgriler的博客
06-20 810
本地编译验证selinux
android sepolicy 最新小结
流水mpc
04-13 982
两种模式 SELinux initialization 标签、规则和域 实现 SELinux neverallow 规则 编译sepolicy Source files Platform public sepolicy Platform private sepolicy Platform private mapping sepolicy兼容性 Object ownership and labeli...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值