SELinux_Treble学习记录

最新推荐文章于 2024-03-22 16:58:08 发布
最新推荐文章于 2024-03-22 16:58:08 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: andorid 开发 文章标签: android selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34930451/article/details/121588049
版权
本文介绍了Android 8.0中引入的Treble架构如何改进了SELinux策略,使得制造商更新系统更为便捷。SELinux是一个控制权限的标签系统,8.0后实现了策略模块化,降低了修改成本。主要涉及命令行工具、策略配置及自定义policy文件的路径和方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SELinux_Treble学习记录

参考文档:https://source.android.google.cn/security/selinux/images/SELinux_Treble.pdf

android-8.0在android框架上有了大的改动,引入了Treble元素,旨在让制造商以更低的成本更轻松、更快速地将设备更新到新版 Android 系统。其中一点就是SELinux的改动。

SELinux是一个用于控制路径、设备、文件、进程、socket的读写权限标签系统,这个标签也被称为context。

android-4.4至android7.0将全部的SELinux策略(platform 和 non-platform)build到了root目录下的一个文件中,这样一来每当有policy改动时SoC vendor和ODM partners就不得不改动boot.img(non-A/B devices)或system.img(A/B devices)。可想而知引起的改动之大。

android-8.0后实现了策略模块化,vendors和partners只需要改动涉及他们对应的分区内容。

android 设备的分区

在这里插入图片描述

分区归属说明是否必须
bootloader.imgODM用于启动kernelY
odm.imgODM包含设备特定代码和配置N
boot.imgandroid platform(kernel/ramdisk)包含linux kernel + android pacthesY
recovery.imgandroid platform刷机N
system.imgandroid platform包含多数android frameworkY
verdor.imgSOC Vendor包含 SoC特定代码和配置N
radioSOC Vendor包含专有调制N
oem.imgOEM包含DEM和运营商先关配置N

主要路径:

一、SElinux的toybox命令行

@ /external/toybox/toys/android/

设置当前 SELinux 模式:

@ /external/toybox/toys/android/setenforce.c
命令:setenforce 0,或者 setenforce permissive,设置为宽容模式。
命令:setenforce 1,或者 setenforce enforcing,设置为强制模式。
注意,前提是selinux 是 enable的。

获取当前 SELinux 模式:

@external/toybox/toys/android/getenforce.c
命令:getenforce,会获取到三种状态,Disable,Enforcing,Permissive。

其他命令

getprop、load_policy、log、restorecon、runcon、sendevent、setprop、start等。

二、selinux的配套命令行工具实现

@ external/selinux,
1)toybox命令调用的具体实现,@external/selinux/libselinux/
2)检测(chkcon)和执行(libsepol)二进制安全策略,@external/selinux/libsepol/
3)SELinux编译器,依赖libsepol,@external/selinux/checkpolicy/

三、android SELinux策略配置

@system/sepolicy/,该目录一般不允许修改。
编译后会包含 SELinux 内核安全策略,并涵盖上游 Android 操作系统。
包含:

  1. 上下文描述文件(xxx_contexts),为对象指定标签。
  2. 策略文件(*.te),用于定义域(domain)及其标签(lable)。
  3. Android.bp/.mk,build 逻辑。

四、自定义policy文件

@/device/manufacturer/device-name/sepolicy/
新增policy时需要在device目录下目录,然后注意修改/device/manufacturer/device-name/BoardConfig.mk以引用 sepolicy 子目录和每个新的policy文件。

内核中启用 SELinux

CONFIG_SECURITY_SELINUX=y

Android P 系统 SELinux 报错修改
BOJUE01的专栏
03-08 367
sourcecontext指的是“scontext=u:r:gocsdk:s0”的gocsdk,targetcontext 指的是“tcontext=u:object_r:device:s0” 中的device, class指的是“tclass=lnk_file”中的lnk_file,operation指的是“{}”中的create,PS:如demo仅仅是资源文件,可以直接在file_context做匹配字段,在device/fsl/imx8m/sepolicy/file.te上可以看到所有的文件类型。
Android HAL深入探索(6): HIDL 添加SELinux 完整调试过程
我其实什么都不会
09-11 1333
在本文中,我将介绍如何为一个新的HIDL服务添加SELinux策略(分享标准和平台方式),以确保它能够在Android系统中正常运行。我将以`canbus`服务为例,展示从报错到解决的完整流程。
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性)
02-05
Android8.0 sepolicy权限新特性介绍,sepolicy权限再Android8.0上面新的变化
Android Treble 计划技术文档
omnispace的博客
01-26 804
Android TrebleAndroid O (8.0) 开始推广的一个新架构, 目的在于解决android的碎片化的问题。 这篇博文主要收集了网络上对于Treble 计划及其相关技术的分析。 Android HIDL 官方文档(一)—— 概述(Overview)Android HIDL 官方文档(二)—— 接口与包(Interfaces & Packages)Android
SELinux详解.pdf
11-22
《SELinu详解》讲解了关于SELinux的重点知识内容,部分重点内容带有书签,这部分内容在SEAndroid中足够使用,学习这部分即可
SELinux for Android 8.0_中文版.doc (Android8.0 sepolicy权限新特性,权限配置指导)
04-16
SELinux for Android 8.0_中文版.doc (Android8.0 sepolicy权限新特性,权限配置指导)
SeLinux详解
m0_37571604的博客
07-23 780
SELinux的全称是:安全加强的Linux (Security-EnhancedLinux)。Android通过SELinux对所有的进程、甚至是拥有root/superuser特权的进程加强访问约束。通过SELinuxAndroid可以更好地保护和限制系统服务对应用数据和系统日志的访问,从而减少恶意软件的影响。SELinux遵循默认拒绝的原则:任何没有被策略文件允许的操作都是被拒绝的。如果某个进程想访问指定的文件需要在策略文件中明确地指出。
Android O环境下SELinux策略配置与实现指南
通过对这些文档的学习和理解,开发者和安全专家能够更好地掌握在Android O上配置和使用SELinux的方法,从而提升系统的安全性。同时,这些文档也可能提供了在设计和开发Android应用时,如何与SELinux安全策略兼容的...
Android 中的安全增强型 Linux(selinux
10-03
随着版本的升级,Android 不断强化了 SELinux 政策,例如在 6.0 版本中增强了用户隔离和 IOCTL 过滤,在 7.0 版本中细化了应用沙盒,并在 8.0 版本中与 Treble 架构相结合,使得供应商代码与系统框架分离,以提高...
Android O 8.0 selinux特性 Google介绍文档
12-26
Android O 8.0 selinux特性 Google介绍文档,帮助学习最新selinux规则
SELinux4AndroidO
02-05
该文档包含如下: m4.pdf/configuring-selinux-policy-report.pdf/implementing-selinux-as-linux-security-module-report.pdf/The_SELinux_Notebook-4th_Edition.pdf/SEAndroid-NDSS2013.pdf/abs2014_seforandroid_smalley.pdf/SELinux_Treble.pdf
SELinux for Android 8.0 中文版
05-04
Android4.4到Android7.0,SELinux策略的构建流程是将所有的策略(平台和非平台)合并在一起,最后将合并生成的文件统一放在root目录下(即boot.img)。但这种方式有悖于Android 8.0的预定设计目标;Android8.0设计的初衷是允许合作方可以独立的更新他们自有的策略,即在Android8.0之后Google允许合作方将自有的策略部分与系统原有的进行分离,如合作方可以将自有的部分解耦到vendor.img分区中,在需要更新的情况下只需更新vendor部分即可实现
SELinux详解中文版
07-21
SELinux详解中文版》对于想要深入了解SELinux的朋友来说绝对是一本好书。这本书本身就是讲解SELinux方面的权威。SELinux代表linux安全方向全新的探索。希望大家喜欢。
toybox-cli:生成实时重新加载环境的命令行界面,用于练习和测试 JavaScript 技术面试问题
06-10
ToyBox-cli ToyBox-cli 是玩具问题的环境生成器。 安装 安装模块: $ npm install -g toybox-cli 入门 生成一个新的玩具箱: $ toybox init 如果它提到找不到 gulp 运行npm install -g gulp 然后在新目录中运行toybox start以启动实时重新加载服务器。 (它会在保存文件时重新加载窗口) 拉和推 从 0.2.0 开始, toybox init现在为您添加上游远程,您现在可以访问 pull 和 push 方法。 toybox pull - 从 HR 的上游遥控器中toybox pull任何新的玩具问题 toybox push - 提示提交消息并将任何更改推送到您的原始主机 支持 如果您有任何问题或建议,请打开问题。
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 3309
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
Android-版本说明-安全隐私-9.0
深度安全实验室
02-06 1112
Android 9 版本说明 | Android 开源项目 | Android Open Source Project https://source.android.com/setup/start/p-release-notes#security_features 安全功能 应用签名 v3 APK 签名方案支持 APK 密钥轮换。 生物识别支持 Android 9 包含公共类BiometricPrompt,应用可以使用该类采用与设备和模态无关的方式集成生物识别身份验证支持。如需详...
android13(T) 增加开机启动脚本
cczhengv
04-28 3408
android13(T) 增加开机启动脚本
selinux_enabled = is_selinux_enabled(); sehandle = selinux_android_service_context_handle(); selinux_status_open(true); 源码分析
最新发布
09-12
关于源码分析 `selinux_enabled`, `sehandle`, 和 `selinux_status_open` 的功能,这里并未直接给出具体的代码示例,但可以基于所给的上下文信息进行解读: 1. `selinux_enabled()` 函数的作用可能是检测当前设备上SELinux的状态。如果返回True,表示SELinux正在启用;如果是False,可能表示在许可模式(permissive)或已禁用。这通常是通过查询操作系统内核或安全策略配置来确定的。 ```c // 假设这是一个假设的函数实现 bool selinux_enabled() { // 检查系统配置或/proc文件系统以判断SELinux状态 if (selinux_is_enforcing()) { return true; } else { return false; } } ``` 2. `sehandle` 可能是用来获取与SELinux相关的权限上下文或服务关联的句柄。在Android环境中,这个操作可能涉及到与Magisk模块交互,因为提到它是用于管理SELinux权限的。 ```c void* sehandle = selinux_android_service_context_handle(); // 这里可能涉及到与Magisk模块通信,获取特定服务的 SELinux 安全上下文 ``` 3. `selinux_status_open(true)` 可能是一个函数调用来打开或初始化与SELinux相关的资源,特别是当需要对安全上下文进行操作时。参数true可能指示开启一个会话或打开一个权限检查。 ```c // 假设selinux_status_open() 是为了创建一个SELinux上下文环境 void selinux_status_open(bool enforce) { if (enforce) { setenforce(1); // 将SELinux设置回强制模式 } else { setenforce(0); // 或者切换到许可模式 } } ``` 然而,这些函数的具体实现取决于Linux内核API和相应的SELinux库,以及与Magisk集成的代码。如果你想要了解更详细的源码分析,应查阅相关的开源项目文档或查看实际的C/C++代码。另外,注意这些操作需要谨慎对待,尤其是涉及降低系统安全性的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值