linux selinux代码分析

已于 2025-01-20 18:05:04 修改
阅读量888 收藏 11
点赞数 8
文章标签: c语言
于 2025-01-18 01:06:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/syn_dyf/article/details/139567680
版权

这个博客主要留给自己参考用的,不指望帮助到其他人。

内核版本 5.4.83

1、首先注册了sel_fs_type文件系统,提供了一系列接口,这里只分析了sel_load_ops,这个用来解析规则数据库,解析到的数据会放到avtab_node结构体的变量中,然后将变量插入到一个表中。


init_sel_fs
    sel_fill_super
        selinux_fs_info_create
                fsi->state = &selinux_state;
                fsi->sb = sb;
                sb->s_fs_info = fsi;

    
        sel_write_load
            security_load_policy(fsi->state, data, count);
                policydb = &state->ss->policydb;
                policydb_read(policydb, fp);
                    avtab_read(&p->te_avtab, fp, p);
                        avtab_read_item(a, fp, pol, avtab_insertf, NULL); //avtab_insertf
                            avtab_insert(a, k, d);
                                avtab_insert_node(h, hvalue, prev, cur, key, datum);
                                        struct avtab_node *newnode;
                                        newnode->key = *key;
                                        newnode->datum.u.data = datum->u.data;    
                                        struct avtab_node **n = &h->htable[hvalue];
                                        *n = newnode;

2、selinux作为一个安全模块,需要相关配置才能生效。初始化流程主要注册了一系列回调函数。
selinux_init
    selinux_ss_init(&selinux_state.ss);
    selinux_avc_init(&selinux_state.avc);
    security_add_hooks(selinux_hooks, ARRAY_SIZE(selinux_hooks), "selinux");
    

3、这里只分析了一个回调函数。主要是根据ssid, tsid, tclass在表中找到相应的规则数据,然后判断操作是否允许。state->avc是一个缓存器。

selinux_inode_create
    may_create(dir, dentry, SECCLASS_FILE);
        avc_has_perm(&selinux_state, sid, dsec->sid, SECCLASS_DIR,  DIR__ADD_NAME | DIR__SEARCH,  &ad);
            avc_has_perm_noaudit(state, ssid, tsid, tclass, requested, 0, &avd);
                //node = avc_lookup(state->avc, ssid, tsid, tclass);
                //memcpy(avd, &node->ae.avd, sizeof(*avd));
                
                avc_compute_av(state, ssid, tsid, tclass, avd, &xp_node);
                    security_compute_av(state, ssid, tsid, tclass, avd, &xp_node->xp);
                        context_struct_compute_av(policydb, scontext, tcontext, tclass, avd, xperms);
                            node = avtab_search_node(&policydb->te_avtab, &avkey);
                            avd->allowed |= node->datum.u.data;

                    avc_insert(state->avc, ssid, tsid, tclass, avd, xp_node);
                
                
                //denied = requested & ~(avd->allowed);
                //rc = avc_denied(state, ssid, tsid, tclass, requested, 0, 0, flags, avd);
                return rc;
               

syn_dyf
关注
SELinux零知识学习三、SELinux应用层源码下载、编译和安装
phmatthaus的专栏
03-31 1155
SELinux零知识学习三、SELinux应用层源码下载、编译和安装
selinux源码分析
04-12
selinux入门教程,系统地介绍了selinux的历史以及特点并详细地分析了其hook函数。
linux-selinux功能及源码分析
03-22
该书详细介绍了linux中关于selinux部分功能的实现流程和关键代码分析
SElinux解析
weixin_34080903的博客
09-27 131
SElinux1.SElinux简述 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是为了结束DAC(自主访问控制,任何程序对其资源享有完全的控制权,每个用户或进程可以随意修改自己的文件的权限,将其他权限授予给任何其他人而具有任意的访问机制.标准Linux访问控制、所有/组+权限标记(例如rwx)通常被称...
linux源码结构分析,Linux系统中SELinux的架构、原理及代码解析
weixin_36286567的博客
05-12 722
SELinux全称为安全增强式 Security-Enhanced Linux(SELinux),是一个在内核中实践的强制存取控制(MAC)安全性机制。SELinux 首先在 CentOS 4 出现,并在其后的 CentOS 发行版本获得重大改善。这些改善代表用 SELinux 解决问题的方法亦随著时间而改变。1、SELinux的原理与架构SELinux的整体架构和原理都比较简单,使用也不复杂。其...
SELinux详解
热门推荐
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
Linux Selinux详解
广阔天地,大有作为
09-10 1905
Linux SELinux是一种安全增强的Linux,它可以让用户和管理员对访问控制有更多的控制。它是一种标签机制,可以对文件和其他对象提供高级别的安全保护,防止未授权的进程或者没有必要访问的授权进程进行滥用。SELinux最初是由美国国家安全局(NSA)开发的,作为一系列使用Linux安全模块(LSM)的Linux内核补丁。SELinux于2000年发布给开源社区,并于2003年集成到上游Linux内核中。SELinux的工作原理是,它为系统上的应用程序、进程和文件定义了访问控制。
掌控Linux安全:SELinux策略管理全解析
08-06
1. **开源**:Linux的源代码对所有人开放,任何人都可以查看、修改和重新发布。 2. **跨平台**:Linux可以在多种硬件平台上运行,包括个人电脑、服务器、移动设备、嵌入式系统等。 3. **多用户和多任务**:Linux支持...
Linux 内核源码分析】关于Linux内核源码目录结构
C/C++Linux、音视频、DPDK
01-05 2416
需要注意的是,Linux 内核的初始化代码不仅限于 init 目录,还分布在其他各个目录中。在 Linux 内核源码中,由于主要关注于内核本身的开发,usr 目录下的工具和库文件可能相对有限,不同的 Linux 发行版或用户空间环境可能会有自己独特的目录结构和文件组织方式。在 Linux 内核源码中,tools 目录是一个非常重要的目录,它包含了许多用于开发、调试和分析内核的工具。在 Linux 内核源码中,include 目录包含了大量的头文件,这些头文件定义了内核中使用的结构体、函数原型、常量等。
深入理解SELinux/SEAndroid
Fybon的专栏
07-15 2573
二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。   1. 编译sepolicy Android平台中: external/sepolicy:提供了Androi
SELINUX工作原理详解
09-14
主要介绍了SELINUX工作原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Linux内核源码分析(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
hackeroink的博客
12-10 2214
Linux内核是一个操作系统(OS)内核,本质上定义为类Unix。它用于不同的操作系统,主要是以不同的Linux发行版的形式。Linux内核是第一个真正完整且突出的免费和开源软件示例。Linux 内核是第一个真正完整且突出的免费和开源软件示例,促使其广泛采用并得到了数千名开发人员的贡献。Linux 内核由芬兰赫尔辛基大学的学生 Linus Torvalds 于 1991 年创建。随着程序员调整其他自由软件项目的源代码以扩展内核的功能,它迅速取得了进展。
深入理解SELinux SEAndroid(第一部分) .
shchen的专栏
12-27 308
权限
Android SELinux——上下文Context源码(十)
小旭的专栏
10-16 1206
通过前面的文章我们知道,SELinux 中的上下文(contexts)包含很多类型,这里我们就来看看Androd 源码中 上下文 SELinux Contexts 的代码结构。
SELinux 开源项目教程
gitblog_00767的博客
09-01 374
SELinux 开源项目教程 selinuxcommon selinux implementation项目地址:https://gitcode.com/gh_mirrors/sel/selinux 1. 项目的目录结构及介绍 SELinux 项目的目录结构如下: /selinux ├── AUTHORS ├── CONTRIBUTING.md ├── COPYING ├── Makefile ├...
SElinux内核态的实现-数据库部分-class篇
weixin_40440749的博客
06-28 64
文章目录前言SELinux内核态简介SELinux数据库的实现安全上下文sidsid与安全上下文映射关系的保存class与permissionclass的实现公用class私有classclass与permission的关联--selinux_mappingselinux_mapping的初始化class查询的优化基于c...
SElinux操作
yuchenxueyue的博客
09-10 837
SELinux是个经过安全强化的Linux操作系统,实际上,基本上原来的运用软件没有必要修改就能在它上面运行。真正做了特别修改的RPM包只要50 多个。像文件系统EXT3都是经过了扩展。对于一些原有的命令也进行了扩展,另外还增加了一些新的命令,接下来我们就来看看这些命令。 文件操作 1)ls命令 在命令后加个-Z 或者加 –context [root@python azureus]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值