Android中的SELinux

最新推荐文章于 2025-06-06 15:59:27 发布
原创 最新推荐文章于 2025-06-06 15:59:27 发布 · 2.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #linux

SELinux (Security Enhanced Linux)是由美国NSA(国安局)和 SCC 开发的 Linux 的一个扩张强制访问控制安全模块,目的是最大限度减少系统中服务进程可访问的资源。Google 在 Android 4.4 上正式添加以 SELinux 为基础的系统安全机制,命名为SEAndroid。SEAndroid 在架构和机制上与 SELinux 完全一样,基于移动设备的特点,SEAndroid 的只是所以移植 SELinux 的一个子集。

DAC与MAC

自主访问权限(DAC)

当程序要操作文件时,系统根据程序的 Owner/Group,对比文件的权限,若通过权限检查,则可操作文件,但可能造成问题:

  • root 具有最高权限,若某程序属于root,则该程序可操作系统的任何文件
  • 使用者可利用程序来变更文件的权限
强制访问控制(MAC)

以进程为主体,任何进程想在系统上干任何事情,都必须在《安全策略文件》中赋予权限。

  • TEAC(Type Enforcement Accesc Control):一般用TE表示,是MAC的基础管理思路。根据Security Context中的 type 进行权限审查, 审查 subject type 对 object type 的某个class 类型中某种 permission 是否具有访问权限
  • Role Based Accesc Control:MAC的高级管理思路基于角色控制,RBAC 是基于 TE 的

模式

  • Enforcing:强制模式:SELinux在运行中,且已经开始限制domain/type之间的验证关系
  • Permisssive:宽容模式:SELinux在运行中,如果验证不正确会发出警告
  • Disabled:关闭模式,SELinux并没有实际运行
//获取SeLinux模式
adb shell getenforce

//设置SeLinux模式为Enforcing(只允许Enforcing和Permissive之间切换)
adb shell setenforce 1

//设置SeLinux模式为Permisssive
adb shell setenforce 0

sContext

组成

SELinux 安全策略是建立在对象安全上下文的基础上的,对象可以分为两种:

  • 主体(Subject):通常指进程。
  • 客体(Objcet):指通常要访问的资源,如文件、进程、socket等。

在 SELinux 中,每种东西都会被 Policy 赋予一个安全属性,官方说法叫做 Security Context(sContext),sContext 是一个字符串。根据 SELinux 规范,完整的 sContext 字符串主要由三个部分组成:user:role:type[:range]

  • user:Android中只定义了一个SELinux用户,即u
  • role:一个user可以属于多个role,不同role具有不同权限,即MAC的
最低0.47元/天 解锁文章

200万优质内容无限畅学
Android 关闭SElinux权限
hyg55555的博客
01-09 564
【代码】Android 关闭SElinux权限。
Android SELinux——基础介绍(一)
小旭的专栏
10-09 1318
SELinux(Security-Enhanced Linux)是一种基于强制访问控制 MAC 的安全增强模块,最初由美国国家安全局(NSA)开发,用于提高 Linux 操作系统的安全性。它基于 FLASK(Flux Advanced Security Kernel)模型,这是一个由美国国防部门开发的安全内核模型。SELinux 通过 LSM 接口集成到 Linux 内核中,提供了比传统的自主访问控制 DAC 更强的安全性和灵活性。
Android SELinux
学无止境
12-21 2586
SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。强制模式:权限拒绝事件会被记录下来并强制执行。
Selinux SeAndroid理解
lansehai的专栏
04-18 1万+
SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation (SCC) 和 MITRE直接参与开发,以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制,该系统最初是作为一款通用访问软件,发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后,有直接整合
SELinux 各模块简要说明
最新发布
OLiverDing的博客
06-06 697
为文件/目录分配唯一的 SELinux 类型(如),决定哪些进程有权访问。示例表示可执行文件的安全上下文为。
Android 系统SELinux(SEAndroid
tq501501的博客
06-25 4911
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
Android 系统SELinux
jjx_fight的博客
10-22 2277
借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。格式如下:avc: denied { 操作权限 } for comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。– 类型绑定: external/sepolicy/file_contexts;
简述AndroidSELinux的TE
08-27
SELinux中,所有的主体(程序进程)对客体(文件、socket等资源)的访问都有一条TE规则来许可。当程序访问一个资源的时候,系统会搜索所有的TE规则集,并根据结果进行处理。这个规则集是由访问向量规则(AV,...
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 2760
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限。
SEAndroid策略分析
热门推荐
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
Android系统SELinux详解
star_nwe的博客
10-25 1996
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
SeLinux android
aige1234的博客
02-17 332
转载:http://blog.youkuaiyun.com/innost/article...
Android seLinux 设置
weixin_34138139的博客
03-06 430
android O上添加服务。在访问一些路径的时出现了权限的问题,将seLinux关闭之后运行成功。所以需要设置相关的权限。 参考文档: http://blog.youkuaiyun.com/tung214/article/details/72734086 主要查看dmsg中关于avc的错误,根据对应的错误在对应的文件中添加权限。 关于权限的文件位于device/xxxx/sepolicy/common目录...
android selinux
简单
01-10 537
1.涉及文件 android/device/qcom/sepolicy/common/*.te android/external/sepolicy/*.te 2.检查是否为selinux权限问题 seteforce 0 // 关闭selinux W/vold ( 338): type=1400 audit(0.0:34): avc: denied { create } for name=
Android中的SELINUX
愿有岁月可回首,且以深情共白头
10-26 720
启动路径: android/system/core/init/init.cpp 在Android6.0上存在disable的判断,在Android7.1.1上去掉了,通过Android.mk中的init_options += -DALLOW_PERMISSIVE_SELINUX=1来进行允许关闭。 ...
Android 8.0 SELinux: Changes and Customizations
本文档主要探讨了SELinux(Security-Enhanced Linux)在Android 8.0版本中的应用和变化,特别是其安全策略的更新与定制。SELinuxLinux内核的一个安全模块,它提供了强制访问控制(Mandatory Access Control, MAC)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值