Android 应用(1)——安全策略sepolicy

原创 已于 2023-11-29 18:52:06 修改 · 3.2k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

于 2021-04-22 09:58:21 首次发布
本文详细介绍了SEAndroid中app的分类(untrusted_app、platform_app、system_app)、domain和type的作用,以及sepolicy配置中的标签、规则和域TypeClass。重点讲解了如何通过seapp_contexts和avc问题的解决方法。

文章目录

SEAndroid app分类

参考链接:
http://www.voidcn.com/article/p-stzeacwv-xe.html

SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):

1)untrusted_app 第三方app,没有Android平台签名,没有system权限
2)platform_app 有android平台签名,没有system权限
3)system_app 有android平台签名和system权限

从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app

查看当前运行的应用信息:

rk3399_all:/ # ps -Z
u:r:untrusted_app:s0:c512,c768   u0_a64    3208  357   1775224  120616  SyS_epoll_  76b9259b80  S  com.forlinx.changelogo

domain:untrusted_app
user:u0_a64

APP的domain和type

查看seapp_contexts文件,APP的domain和type由user和seinfo两个参数决定

system/sepolicy/seapp_contexts

isSystemServer=true domain=system_server
user=system seinfo=platform domain=system_app type=system_app_data_file
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file
user=nfc seinfo=platform domain=nfc type=nfc_data_file
user=radio seinfo=platform domain=radio type=radio_data_file
user=shared_relro domain=shared_relro
user=shell seinfo=platform domain=shell type=shell_data_file
user=_isolated domain=isolated_app levelFrom=user
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
user=_app isAutoPlayApp=true domain=autoplay_app type=autoplay_data_file levelFrom=all
user=_app isPrivApp=true domain=pri
最低0.47元/天 解锁文章
Android SELinux——安全策略(三)
小旭的专栏
10-10 1500
安全标签(Security Labels):每个文件、目录、进程等都有一个安全标签。标签包含类型(Type)、角色(Role)、用户(User)和类别(Category)等信息。安全策略(Security Policies):SELinux 支持多种安全策略,包括:1)Targeted Policy:针对特定类型的系统(如服务器、桌面系统)。2)Strict Policy:更严格的策略,适用于高度安全的环境。3)MLS Policy:多级安全策略,支持多级分类的安全需求。
Android SELinux——Sepolicy基础语法(四)
小旭的专栏
10-11 1495
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
浅谈SEAndroid安全机制及应用方法
阿路
04-05 1229
浅谈SEAndroid安全机制及应用方法 内容提纲: ➢SEAndroid/SELinux简介 ➢SEAndroid/SELinux框架 ➢SELinux Policy介绍 ➢安全策略文件(TE文件) ➢SELinux安全问题分析 ​ ➢SELinux设备文件权限解决办法 ​ ➢SELinux服务权限解决办法 ​ ➢SELinux可执行权限解决办法 ➢补充 ​ ➢客体类型添加 一.SEAn...
12、Android 安全配置文件:mac_permissions.xml、keys.conf 与 seapp_contexts 详解
最新发布
grpc6streamer的博客
10-21 37
本文详细解析了Android系统中三个关键的安全配置文件:mac_permissions.xml、keys.conf和seapp_contexts,涵盖其作用、格式规则与实际配置方法。通过示例和实验展示了如何实现签名密钥到SELinux上下文的映射、应用权限控制及自定义安全域的创建,并提供了常见问题解决方案与最佳实践建议,帮助开发者提升Android系统的安全性。
国产平台之T507 开发板Android 安全策略漫谈 -飞凌嵌入式
key_qt1的博客
12-03 1915
国产平台之T507 开发板Android 安全策略漫谈,飞凌嵌入式 T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。本文主要讲解Android 安全策略的脉络,以及飞凌嵌入式 T507 开发板 Android系统下自定义安全策略
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 2075
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android安全策略
u012378167的专栏
12-03 938
开发一款app,保证app安全很重要,别人可以通过反编译查看你的代码获得与服务器的交互的接口,攻击服务器,监听数据报文; 下面是几种方式保证app的安全性的策略: 1.代码混淆 这样可以防止反编译时看到你的代码逻辑,修改逻辑重新打包,具体可以详见http://blog.youkuaiyun.com/u012378167/article/details/49683173 2.AndroidManifest
android sepolicy 打包生成,Android Sepolicy 相关工具
weixin_39947396的博客
05-28 457
文章参考 Android 9.0 源码,以翻译为主,留做备用参考。Sepolicy 工具位于 system/sepolicy/tools/build_policies.sh为多个目标并行构建SELinux策略的工具。这对于在多个目标上快速闫增新的测试或Neveralow规则很有用。用法:./build_policies.sh ~/android/master ~/tmp/build_policie...
Android SELinux——添加策略实例(十五)
小旭的专栏
10-21 827
通过前面的文章,我们基本了解在 Android 系统中 SELinux 策略配置和基本语法,这里我们就来看一些常见的问题及其解决方案。这里我们主要看通过 allow 添加策略的方案。
Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 1236
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
Android sepolicy实战演练
lidepeng139的博客
09-20 390
service.te添加type rcu_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;system_server.te中添加allow system_server default_android_service:service_manager add;service_contexts添加rcu u:object_r:rcu_service:s0。
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
Android 安全防护:深度解析应用保护策略
u011464172的专栏
06-28 1344
Android 应用安全防护是一个持续的迭代过程,需要开发者不断学习,不断完善。本教程提供了一些基础的安全防护策略和方法,希望能够帮助开发者更好地理解 Android 应用安全,构建安全可靠的应用。记住,安全无小事,安全意识是保障应用安全的关键。
Android系统下在te文件中为指定服务添加sepolicy权限 ~~~~mark 详细
weixin_42082222的博客
12-12 2065
Android系统下在te文件中为指定服务添加sepolicy权限 发布时间:2018-01-18 来源:网络 上传者:用户 关键字: sepolicy 指定 权限 添加 Android 文件 系统 服务 发表文章 摘要:【正文】设备在播放视频时有异常,使用Logcat查看日志时发现了如下记录:04-2714:01:59.13628252825ESELinux:avc:denied{...
Android安全策略
yangxuehui1990的专栏
12-12 2596
这篇文章是讲解Android安全策略。          Android系统的安全策略是基于安全机制的逻辑。策略的核心内容则在Java服务库的PackageManagerService中实现。从PackageManagerService.java的源码类的注释中可以看到如下的的注释:          /* * * Keep track of all those .apks everywhe
Android sepolicy规则
maokunlove的专栏
07-25 5607
1. 节点访问权限 [77037.274119] [(2015-01-20 09:17:42.876329323 UTC)] [cpuid: 2] type=1400 audit(1421745462.859:2172964): avc: denied { write } for pid=15848 comm=“system_server” name=“enable” dev=“sysf
Android Safety 系列专题【SELinux语法解析】
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值