Android Selinux详解[四]--新增服务标签相关

已于 2024-03-13 16:29:49 修改
阅读量1.3k 收藏 16
点赞数 18
CC 4.0 BY-SA版权
分类专栏: Selinux Android 文章标签: android
于 2024-03-13 15:59:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41028555/article/details/136681812

在工作过程中,SElinux常用的有以下几个文件可用于新增标签

可用于加标签的文件名含义对应的声明文件名(一般会声明的地方,根本上放哪里都可以)
file_contexts给 文件/目录/节点 新增标签file.te
genfs_contexts给节点新增标签,与上一个不同的是,不用执行restorecon操作file.te
hwservice_contexts给hal服务新增标签hwservice.te
property_contexts给属性新增标签property.te
seapp_contexts给APP新增标签untrusted_app.te app.te...等等
service_contexts给系统服务新增标签service.te

service有以下几种声明,相应解释如下

service type声明类型解释
system_server_service All service_manager types created by system_server
app_api_serviceservices which should be available to all but isolated apps
ephemeral_app_api_serviceservices which should be available to all ephemeral apps
system_api_serviceservices which export only system_api
protected_serviceservices which are explicitly disallowed for untrusted apps to access
vendor_serviceservices which served by vendor and also using the copy of libbinder on system (for instance via libbinder_ndk). services using a different copy of libbinder currently need their own context manager (e.g. vndservicemanager)
 
service_manager_type由于系统服务最后都是添加到service manager中管理的,所以系统服务的type声明都会有携带此type。

Android源码中有很多服务相关的标签声明,比如如下:

http://aospxref.com/android-12.0.0_r3/xref/system/sepolicy/public/service.te

可以看到,有如下几种标签声明

service manage直接add的service
type audioserver_service,       service_manager_type;

system server创建的service,如果是新增的java层系统服务,并且由system server拉起,则基本都是如下声明
type battery_service, system_server_service, service_manager_type;

带有system_api_service的说明只有system api的服务
type adb_service, system_api_service, system_server_service, service_manager_type;

带有app_api_service的声明说明除了isolated apps外,其他APP都可以访问的
type alarm_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;

hal服务声明
type hal_audio_service, vendor_service, protected_service, service_manager_type;
type hal_audiocontrol_service, vendor_service, service_manager_type;

在sepolicy/public/service.te这里还有一个neverallow,此neverallow意思为不允许domain与对非service_manager_type vndservice_manager_type类型的service进行add find权限。

# servicemanager handles registering or looking up named services.
# It does not make sense to register or lookup something which is not a service.
# Trigger a compile error if this occurs.
neverallow domain ~{ service_manager_type vndservice_manager_type }:service_manager { add find };

服务的type声明是和你的功能强相关的,你可以根据你的功能去进行相应的type声明。

假如你新增了一个系统java service,那么一般声明如下,也就是说必须携带system_server_service和service_manager_type,其他的看情况

type xxx_service, system_server_service, service_manager_type;

type xxx_service, system_api_service, system_server_service, service_manager_type;

type xxx_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;

假设你新增了一个native层service,那么一般的声明如下,也就是说必须携带service_manager_type,并且不能携带system_server_service:

type yyy_service, service_manager_type;

type yyy_service, app_api_service, service_manager_type;

type yyy_service, app_api_service, system_api_service, service_manager_type;

所以经过上述解释,是否对服务该怎样进行type有一定的了解了呢。

假设你新增了一个hal层service,那么一般的声明如下,也就是说必须携带vendor_service和service_manager_type:

type zzz_service, vendor_service, service_manager_type;

rk3568 HAL3--Camera seLinux权限
weixin_35723192的博客
12-26 1248
rk3568 Android11 在特定场景发现 camera HAL3 的 RGA 无法正常调用,查看内核日志会发现某些服务缺少相关 seLinux 权限致使调用失败,按照正常情况则需要补齐就好。某些场景则需要增加新权限才能匹配相应功能;如果在 HAL 增加系统属性读取,就需要增加专属的 seLinux 权限申请。
【QNX+Android虚拟化方案】00 - 系列文章链接汇总
|~~~热爱生活、努力学习的小伙汁~~~|
08-20 8259
【QNX+Android虚拟化方案】00 - 系列文章链接汇总
Android 添加service selinux
dk_work的博客
06-15 1896
1. android-dev\external\sepolicy\service.te Add: type mytest_service, system_api_service, system_server_service, service_manager_type; 2. android-dev\external\sepolicy\service_contexts Add: ...
简述AndroidSELinux的TE
08-27
SELinux使用类型强制来改进强制访问控制。这篇文章给大家介绍了AndroidSELinux的TE的相关知识,感兴趣的朋友一起看看吧
Android Selinux详解[二]--新增文件标签相关
weixin_41028555的博客
03-07 3232
在工作过程中,SElinux常用的有以下几个文件可用于新增标签restorecon在Selinux中是一个非常常用的命令,其解释如下"restorecon" 是一个用于恢复文件或目录的 SELinux 安全上下文的命令。在使用 SELinux(Security-Enhanced Linux)时,每个文件和目录都有一个安全上下文,它描述了文件或目录的安全属性和访问权限。如果由于某种原因安全上下文发生了改变,例如文件被移动或复制,可能导致安全上下文不一致。
service获取selinux权限_Android : 为系统服务添加 SeLinux 权限 (Android 9.0)
weixin_42573113的博客
12-29 1028
一、SElinuxAndroid 8.0后的差异:从Android 4.4到Android 7.0的SELinux策略构建方式合并了所有sepolicy片段(平台和非平台),然后在根目录生成单一文件,而Android 8.0开始关于selinux架构也类似于HIDL想把系统平台的selinux策略和厂商自己维护的策略剥离开来, 允许合作伙伴单独自己的策略,构建他们的镜像(.img)引导,这样便可...
Android 11 添加Service服务SELinux问题
我其实什么都不会
06-29 8875
d
MTK Android为某个APP单独添加selinux配置文件
zmlovelx(帅得不敢出门 程序员群31843264)
03-15 1527
test是一个system APP, 涉及到许多个selinux的权限,不想影响所有的system APP的权限,需要单独为test设定selinux
Selinux-篇4 标签 android版本(csdn)————程序.pdf
12-03
在本文中,我们将深入探讨如何为Android应用程序设置SELinux规则,以及如何通过SELinux策略增强应用程序的安全性。SELinux(安全增强型Linux)是一种安全机制,提供了强制访问控制(MAC)安全策略框架,被用于...
Android系统SELinux详解
最新发布
u010345983的博客
02-10 3884
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
Android中的SELinux
麦芽的博客
01-16 2134
SELinux (Security Enhanced Linux)是由美国NSA(国安局)和 SCC 开发的 Linux 的一个扩张强制访问控制安全模块,目的是最大限度减少系统中服务进程可访问的资源。Google 在 Android 4.4 上正式添加以 SELinux 为基础的系统安全机制,命名为SEAndroid。SEAndroid 在架构和机制上与 SELinux 完全一样,基于移动设备的特点,SEAndroid 的只是所以移植 SELinux 的一个子集。
Android Selinux 自定义Java系统服务
Rainman博的专栏
06-27 306
com.test.myservice本来就是system app,其实完全可以添加下面一句就完事儿:但是如果这么做的话,就相当与允许了所有system_app来向系统注册test_server了,显然这样做是不合理的。因此需要为com.test.myservice定义一个自己的selinux app上下文# 说明:# user=system seinfo=platform 表示是系统应用,并有签名# name: 应用包名# domain:我们自己起的域名。
linux 文件添加标签,SELinux——有趣的标签
weixin_29131709的博客
04-29 2126
·配置SELinuxSELinux是否启用给文件重新打标给端口设置安全标签设定某些操作的布尔型特性SELinux的日志管理1、SELinux的状态:·enforcing:强制,每个受限的进程都必然受限·permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志·disabled:关闭·相关命令:sestatus查看selinux的状态getenforce:获取当前seli...
linux selinux策略管理与标签
爱死亡机器人
03-24 6754
1. selinux 策略 #打开80/tcp 、443/tcp端口 firewall-cmd --permanent --add-service=http --add-service=https firewall-cmd --reload 文件系统权限:任何DocumentRoot必须由apache用户或用户组读取,大部分情况下,不允许apache用户或组写入。 selinux:默认selinux策略会限制httpd读取上下文,web服务器默认上下文是httpd_sys_content_t semana
ServiceManager add_service SELinux Permission Denied
热门推荐
Eliot_shao的专栏
06-27 1万+
问题点: 在systemserver.java中添加如下代码,向servicemanager进程中添加一个service try { Slog.i(TAG, "Hello Service"); ServiceManager.addService("hello", new HelloService());// } catch (Throwable e) {
SELinux
wacpguo的专栏
06-10 555
SELinux是一种强制访问控制(MAC)机制,在许多GNU/Linux发行版中都是内置的。SELinux起源于FLASK框架(Flux Advanced Security Kernel),该框架由犹他大学Flux团队和美国国防部合作开发。后来美国国家安全局对此做了进一步开发,并作为开源软件发布。
添加Selinux权限
Sunxiaolin2016的博客
08-26 1268
遇到一个selinux权限报错问题。 报错信息如下: 2037-12-25 00:36:12.244 2362-2362/? E/SELinux: avc: denied { find } for service=media.metrics pid=3713 uid=1002 scontext=u:r:bluetooth:s0 tcontext=u:object_r:mediametrics_service:s0 tclass=service_manager permissive=0 发现system/
RK3229软件开发指南:V1.03 - 2017年版本全面详解
该指南针对的是具有Linux3.10内核的芯片,其中包括两个不同的Android版本:6.0.1和7.1.2。文档特别关注了RK3229的硬件兼容性,如DDR、NAND、EMMC的支持,并列出了相应的配置选项。 文档结构分为多个部分: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值