Android SELinux开发入门指南之SELinux基础知识

最新推荐文章于 2025-10-26 11:22:09 发布
原创 最新推荐文章于 2025-10-26 11:22:09 发布 · 6k 阅读 · 58 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SELinux #avc #denied #allow #platform_app

本文详细介绍SELinux在Android系统中的应用,包括SEAndroid的三种模式、状态查看、权限分配原则及策略构建方法,旨在帮助开发者掌握Android系统安全控制的核心技术。

   Android SELinux开发入门指南之SELinux基础知识


Android SELinux开发多场景实战指南目录:

Android SELinux开发入门指南之SELinux基础知识
Android SEAndroid权限问题指南
Android SELinux开发入门指南之如何增加Java Binder Service权限
Android SELinux开发入门指南之权限解决万能规则
Android SELinux开发入门指南之如何增加Native Binder Service权限
Android SELinux开发入门指南之正确姿势解决访问data目录权限问题
正确姿势临时和永久关闭Android的SELinux


引言

   SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,其被设计的主要意图就是用来来完善自主访问模型中只要取得root权限就可以为所欲为的情况。那么SELinux究竟是何方神圣呢,老规矩认识一个事物我们通常会从它是什么,怎么使用它,最后深入它的三个步骤来进行,我们这里对SELinux也是如此,秉承三部曲的节奏来进行!

我们先对SELinux来一个整体的概述那就是SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是任何进程想在SELinux系统中干任何事,都必须先在安全策略的配置文件中赋予权限。凡是没有在安全策略中配置的权限,进程就没有该项操作的权限。在SELinux出现之前,Linux的安全模型是DAC(DiscretionaryAccess Control),译为自主访问控制。其核心思想是进程理论上所拥有的权限与运行它的用户权限相同。比如,以root用户启动shell,那么shell就有root用户的权限,在Linux系统上能干任何事。这种管理显然比较松散。在SELinux中,如果需要访问资源,系统会先进行DAC检查,不通过则访问失败,然后再进行MAC权限检查。



一. SELinux基础知识

SELinux涉及的基本知识比较多,下面让我们来一一细说。

1.1 SELinux的三种模式

SELinux分为三种模式,下面我们看看究竟是那三种模式:

  • Disable模式
    此种模式关闭SELinux检测,不进行任何SELinux权限检查,畅通无阻。

  • Permissive模式
    宽容模式,当权限检查不通过时,不决绝资源访问,只打印avc log日志。

  • Enforceing模式
    强制模式,此种模式下权限检查不通过时,拒绝资源访问,并打出avc log,这个是最恨模式。


1.2 查看SELiux状态和关闭SELinux

查看SElinux的状态:
查看SELinux状态比较简单,可以通过命令行查看SELinux状态:

adb  shell getenforce

还有一种就是通过avc log来确认SELinux的状态:
如果是avc log结尾有permissive=1/0的标识,如果permissive=1说明是Permissive模式模式,如果permissive=0则说明是Enforce模式。

关闭SELinux:
关于怎么关闭SELinux可以参考如下的博文

最低0.47元/天 解锁文章
Android SELinux
学无止境
12-21 2708
SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。强制模式:权限拒绝事件会被记录下来并强制执行。
Android定制修改SELinux权限:实现enforcing和permissive模式在不同版本中的切换
PynRlang的博客
09-27 1094
本文介绍了在Android嵌入式系统中定制修改SELinux权限的方法,实现在不同版本中enforcing和permissive模式的切换。对于userdebug版本(permissive模式),我们修改sepolicy文件将所有的"enforcing"关键字替换为"permissive",然后重新加载SELinux策略以切换到permissive模式。对于user版本(enforcing模式),我们将备份的sepolicy文件还原,并重新加载SELinux策略以切换到enforcing模式。
Android SELinux 权限相关问题
jwg1988的博客
03-30 1576
adb push out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux到设备的/system/etc/和/vendor/etc/目录,重启设备即可生效。验证方法如上述,可是,死活就是不成功,错误一点都没变,说明添加的一直未生效,最后生生就在这卡了一天,增量编,整编都试了,最后问题出在。再做OTA的时候,需要zip包放在data/ota_package下,再操作的时候,报错如下。
Android】【底层原理】深入解析SELinux模块
最新发布
沐怡旸的专栏
10-26 861
遏制漏洞:即使一个应用通过漏洞获得了root权限,SELinux策略也会将其限制在其域内,防止其对系统其他部分进行横向攻击。 最小权限原则:每个进程只能拥有完成其本职工作所必需的最少权限,别无其他。 防御纵深:SELinux与Linux DAC、Capabilities、App Sandbox等共同构成了Android的纵深防御体系。 审计能力:详细的AVC日志为安全审计和问题排查提供了宝贵信息。
Android selinux 入门学习
xss534890437的博客
11-19 948
selinux 入门 android 标签
Android Senlinux 基础说明
New_Mobi的博客
08-02 809
②在SELinux已经运行的模式下只能够在Enforcing和Permissive两种模式之间进行切换,而不能直接关闭SELinux(Disabled),如果你使用getenforce发现当前SELinux模式为Disabled时,请立即到/etc/selinux/config文件中将SELinux改为Enforcing,然后重新启动系统。因为SELinux是整合到内核中的。功能查看当前SELinux的运行模式。更多内容详情请关注#...
Android SELinux开发入门指南之如何增加Java Binder Service权限
IT先森
07-05 1758
  Android SELinux开发入门指南之如何增加Java Binder Service权限 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。Android Binder的重要性,这个...
Android SELinux开发入门指南之如何增加Native Binder Service权限
IT先森
07-05 2902
  Android SELinux开发入门指南之如何增加Native Binder Service权限 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。Android Binder的重要性,这...
Android P SELinux (一) 基础概念
headwind的博客
08-14 5416
在处理了一些SELinux相关的问题之后,深深厌恶这个东西,一打开就报一大堆权限问题,添加te权限还特别麻烦,第一次搞下来没有1-2天是不行的。 抽时间查阅相关资料后,结合理论知识和源码进行分析,随着在项目中不断处理了一些CTS neverallow的失败项,慢慢地对SELinux有了更深入的理解,接下来的内容将分别介绍基础概念、SELinux开机初始化、SELinux编译相关和实际案例分享,让大家对SELinux有更加深入的认识。 学习一个模块的东西,我更喜欢从实际的问题出发去探索,因为目标很明确,不会.
A133 Android 10基础组件开发与SDK指南
综上所述,“A133基础组件开发指南”不仅仅是一份简单的操作手册,而是构建在一个完整嵌入式Android开发体系之上的知识宝库。它覆盖了从芯片级驱动开发到系统级功能集成,再到生产测试与后期维护的全生命周期技术...
RH135---Linux系统管理及网络服务之 linux中内核及加强型火墙管理 --Selinux
Lue的博客
05-28 361
########## 一.Selinux的功能 ############### 1.观察现象 当Selinux未开启时 在/mnt中建立文件被移动到/var/ftp下可以被vsftpd服务访问 匿名用户可以通过设置后上传文件 当使用ls -Z /var/ftp查看文件时显示"?" ps auxZ | grep vsftpd 时显示: - root 8546 0.0 0.0 26952 408 ? Ss 10:35 0:00 /usr/sbin/ vsftpd /etc...
SELinux详解-中文版.pdf
10-18
讲解selinux的作用,生效机制,并详细介绍了如何编写selinux策略模块 中文版
selinux中文手册和详细解说
11-15
中文selinux手册和selinux详细解说,非常适合入门学习,很受用。
SELinux详解中文版
07-21
SELinux详解中文版》对于想要深入了解SELinux的朋友来说绝对是一本好。这本本身就是讲解SELinux方面的权威。SELinux代表linux安全方向全新的探索。希望大家喜欢。
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 4459
APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题。
Android 系统SELinux
jjx_fight的博客
10-22 2564
借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。格式如下:avc: denied { 操作权限 } for comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。– 类型绑定: external/sepolicy/file_contexts;
Andorid 的SELinux策略
xiaowang_lj的博客
10-13 853
定义type格式:type 类型名称 [alias 别名集] [,属性集];[]表示可省略;属性集也叫做域。比如:type aa;#定义aa类型#定义aa类型,并声明别名#定义aa类型,并赋予aa给XX域#定义aa类型,声明别名,并赋予aa给XX域。
linux 第三本第二章 selinux
weixin_43803940的博客
07-30 229
1.实验前准备 rm -fr /etc/vsftpd/ dnf reinstall vsftpd -y systemctl restart vsftpd vim /etc/vsftpd/vsftpd.conf 12行改为yes 29取消注释 systemctl restart vsftpd 1.Selinux的功能 内核上开启的一个保护型的功能插件 Selinux的安全上下文: /mnt/westoslee mv /var/ftp s...
评论 10
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值