Android系统10 RK3399 init进程启动(二十五) SeAndroid 安全上下文文件

最新推荐文章于 2025-11-07 20:20:42 发布
原创 最新推荐文章于 2025-11-07 20:20:42 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#瑞星微RK3399 #Android系统 #Android selinux #SeAndroid

本文详细介绍了Android系统中SeAndroid的安全上下文文件,包括file_contexts、property_contexts、genfs_contexts、service_contexts、mac_permission.xml和seapp_contexts的用途和位置。在Android 8.0后的Treble项目中,这些文件被分为平台和非平台部分。开发者通常只修改厂商定义的规则,以避免平台策略错误。在系统启动时,plat_sepolicy.cil和vendor_sepolicy.cil会被动态编译并执行。

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

本章节介绍SeAndroid中常见的几个安全上下文文件。

一,安全上下文文件

在Android源码中会存在几个重要的上下文文件, 用来描述系统和属性,服务等的上下文信息, 路径在system/sepolicy

file_contexts

根系统中所有文件的安全上下文, 如/system/bin, /system/etc等文件,源码路径如: system/sepolicy/private/file_contexts

property_contexts

属性的安全上下文,源码路径如: system/sepolicy/private/property_contexts

genfs_contexts

Genera
最低0.47元/天 解锁文章
SEAndroid 策略文件 ping.te
黑山老妖
01-06 5040
最近在研究SEAndroid,略懂皮毛,发几篇帖子和大家交流下 ping.te type ping, domain; permissive ping; type ping_exec, file_type; domain_auto_trans(shell, ping_exec, ping) unconfined_domain(ping)
深入理解 SEAndroid:应用程序目录的 SELinux 安全上下文与访问控制机制
fromair的专栏
03-22 1918
系统进程只能访问特定的系统资源,而应用程序只能访问自己专属的数据目录,且通过 SELinux 策略加以保护。是 SELinuxAndroid 系统中的实现,它增强了 Android 系统安全性,防止了诸如恶意软件、特权提升等潜在的安全威胁。在 Android 中,DAC 使用的是传统的。在 SEAndroid 中,SELinux 提供了强大的访问控制机制,确保每个应用程序的数据都被隔离和保护。通过这种方式,每个应用的数据目录都被分配了一个独特的安全上下文,以确保应用之间的数据隔离。
解决华为手机termux安装在chroot的ubuntu系统,开启SSH 客户端连接上后无法读取写入但能删,报什么key问题之类的,设置selinux为宽容模式
最新发布
zaixingxing2539的博客
11-07 771
sepolicy-inject 是 Android 平台上的一个重要工具,主要用于修改和注入 SELinux 策略规则。以下是关于该工具的详细扩展说明: 功能概述 sepolicy-inject 主要用于动态修改 SELinux 策略,允许开发者在运行时添加新的策略规则,而无需重新编译整个 SELinux 策略文件。这在调试或定制 Android 系统时非常有用。 使用场景 调试 SELinux 策略 当某个进程由于 SELinux 限制无法访问资源时,可以使用 sepolicy-inject 临时添加
Android设置守护进程安全上下文
u013234805的专栏
04-30 2727
前面我们已经介绍了客体的安全上下文是通过文件file_contexts来指定的。但是作为主体的进程,它的安全上下文又是在哪里指定的呢?我们知道,启动进程有两种方式,一种是通过init进程启动守护进程,另一种是通过Zygote来启动应用进程。 在“7.1.2节 启动Service进程”中介绍service_star()t函数时有一段代码是关于获得守护进程安全上下文的,让我们一起来看看:
Android系统app的domain(安全上下文)设定方法
code/decode的博客
09-21 4925
背景 在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。 在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下...
Android SELinux
weixin_45754428的博客
03-11 1366
MAC 权限由系统策略强制管理,即使 Root 进程也需遵守规则。,其核心目标是通过细粒度的权限策略限制进程和资源访问,即使进程拥有 Root 权限也无法绕过规则。• MAC 场景:即使恶意应用有 Root 权限,若 SELinux 策略禁止其访问。:掌握安全上下文、策略语言(TE)、调试工具链(audit2allow)。• DAC 场景:某恶意应用获取 Root 权限后,可任意删除系统文件。:多级安全(MLS)策略中的安全级别(Android 默认未启用)。,决定进程域与资源类型的访问权限。
Android系统10 RK3399 init进程启动(二十二) SEAndroid 框架
ldswfun的专栏
05-07 1135
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍SEAndroid(Security Enhanced for Android Selinux整体框架, 了解整体,再去看细节就容易很多. 一, 框图介绍: ​ SEAndroid框架是由用户空间和内核空间组成, 用户空间安全保护机制中主要包含安全上下文(Security...
Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录
ldswfun的专栏
06-28 1794
本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录和文件,以及编译规则
Android系统10 RK3399 init进程启动(三十一) SeAndroid实战之定义策略
ldswfun的专栏
07-20 1059
通过实战例子来验证理论, 本章节重点介绍如何定义策略。
Android系统10 RK3399 init进程启动(二十三) 初识Selinux 安全策略
ldswfun的专栏
05-07 1128
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux安全策略的基本规则, 先入为主的了解最简单的东西, 然后再慢慢深入更细节东西。 一, 最简单的安全策略规则 配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK...
SEAndroid安全机制中的文件安全上下文关联分析
810364804
07-21 521
前面一篇文章提到,SEAndroid是一种基于安全策略的MAC安全机制。这种安全策略实施在主体和客体的安全上下文之上。这意味着安全策略在实施之前,SEAndroid安全机制中的主休和客体是已经有安全上下文的。在SEAndroid安全机制中,主体一般就是进程,而客体一般就是文件文件安全上下文的关联有不同的方式。本文主要分析文件安全上下文的设置过程,接下来的一篇文章再分析进程安全上下文的设置过程...
Android设置应用进程安全上下文
u013234805的专栏
04-30 3884
理解了守护进程安全上下文的创建过程后,我们再看看应用进程安全上下文是如何创建的。应用进程是通过Zygote进程fork出来的,但是不会调用exec。在前面介绍Zygote进程时我们已经知道了创建应用进程时会调用函数ForkAndSpecializeCommon(),这个函数则通过调用selinux_android_setcontext()函数来设置应用进程安全上下文,如下所示: rc =
[Android]设置进程安全上下文
aaajj的专栏
12-31 1431
为了能够清楚的理解进程上下文,我们来做一个试验, 通过在rc文件中进行注册启动一个进程,即让init进程来fork出一个进程。 以/system/bin/service程序为例,我们在里面增加一个长时间的sleep,以便于我们观察。 增加service.te #service.te typemTestService, domain, domain_deprecated, m
SEAndroid的各种策略文件
u013234805的专栏
04-30 2584
在external/sepolicy目录存放了很多SELinux的策略定义文件。通过这些文件我们能了解到SEAndroid更多的细节,下面我们一起看看这些文件的内容。 1.   角色定义文件roles 角色定义文件用来定义SELinux系统的角色。文件roles的内容如下: role r; role r types domain; 从这里可以看到,SEAndroid实际上只定义了一种
Android 12 S 系统开机流程分析 - SetupSelinux(二)
weixin_41028555的博客
11-08 1117
本文接着上文开始讲解,上文中最后一步执行后会执行init启动过程中的第二步SetupSelinux(Selinux配置阶段),这样又会走到main.cpp中的main方法。
adb调试问题集锦
汽车以太网和SOA
08-23 7007
adb调试问题集锦
Android C++服务创建和HIDL的生成
jamecer的博客
03-24 8642
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录Android C++服务创建和HIDL的生成一、HIDL的生成二、c++服务的创建三、SElinux总结 Android C++服务创建和HIDL的生成 总结c++创建服务和HIDL生成的一些步骤,本文未使用指令去生成创建hidl和对应的服务文件。 一、HIDL的生成 1.首先,在vendor/mediatek/proprietary/hardware/interfaces中创建文件夹testofhidl/1.0, 在上述.
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 4421
当APP需要做一些系统系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值