Selinux篇3 -TE规则

最新推荐文章于 2025-04-02 16:42:12 发布
最新推荐文章于 2025-04-02 16:42:12 发布
阅读量1.5k 收藏 7
点赞数 3
分类专栏: selinux 文章标签: 设计模式 c++ selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xieyinsen/article/details/121547192
版权
本文解析了SELinux中的allowvolddevice:dirwrite规则,介绍了主体、客体类型和动作的概念,以及常见class和动作定义,提供了一个规则示例,并探讨了自定义属性和类型转换的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

allow vold device:dir write

这句的意思是:允许 type 为 vold 的主体 对 type 为 device的客体 拥有 客体类别为 dir 的write 权限。根据 SELinux 规范,规则定义的格式为:

rule_name source_type target_type : class perm_set;

可以看到规则中只用到了主体和客体的 type,而动作是以操作类别与具体操作的组合体现的。

所有 rule_name 如下:

allow 表示允许主体对客体执行允许的操作;

auditallow 表示即便允许操作也要记录访问决策信息(仍然需要有 allow 规则才允许);

dontaudit 表示违反规则的决策信息也不记录(便于定位问题,已知此操作会被拒绝但不会引起真正问题);

neverallow 表示不允许主体对客体执行指定的操作;同时还有其他 dontaudit allowaudit。

 

常见class 定义

# file-related classes

class filesystem

class file  #代表普通文件

class dir   #代表目录

class fd    #代表文件描述符

class lnk_file  #代表链接文件

class chr_file  #代表字符设备文件

 ......

# network-related classes

class socket   #socket

class tcp_socket

class udp_socket

......

class binder   #Android平台特有的binder

class zygote   #Android平台特有的zygote

常见动作定义:

 

一个规则demo:

 关键字attribute

属性关键字,适用于规则批量管理。

 系统文件位置/system/sepolicy/public/attribute

此文件增加我们自己定义的属性

attribute display_service_server;

attribute wifi_keystore_service_server;

+attribute attribute_test;

此处test_service具有和domain一样的作用,作为一个属性存在,一个进程域。

然后通过对此属性进行定义。

#定义两个type,分别是A_t和B_t,它们都管理到attribute_test

type A_t attribute_test;

type B_t attribute_test;

#写一个allow语句,直接针对attribute_test

allow attribute_test C_t:file {read write};

#上面这个allow语句在编译后的安全策略文件中会被如下两条语句替代:

allow A_t C_t:file {read write};

allow B_t C_t:file {read write};

关键字type_transition

类型转换宏

 

SELinux策略语言--类型强制 编写TE规则
hddghhfd的博客
11-12 892
SELinux策略语言--类型强制 编写TE规则
SELinux策略实例--type_transition(一)
code/decode的博客
04-14 7026
在上一博客http://blog.youkuaiyun.com/keheinash/article/details/68945914说明了如何在不重新编译整个SELinux源码的情况下,单独编译加载一个模块。这次在模块里增加一个type_transition的实例,并且编译加载,检查是否生效。type_tansition的作用和语法SELinux中,安全上下文(Security Context)的定义是Use
简述Android中SELinuxTE
08-27
SELinux使用类型强制来改进强制访问控制。这文章给大家介绍了Android中SELinuxTE的相关知识,感兴趣的朋友一起看看吧
SELinux策略语言--编写TE规则
u014674293的博客
08-02 1049
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统中进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
SELinux
最新发布
2302_77791905的博客
04-02 899
SELinux,即 Security-Enhanced Linux,意为安全强化的 Linux,由美国国家安全局(NSA)主导开发。开发初衷是防止系统资源被误用。在 Linux 系统中,系统资源的访问均通过程序进行。例如,当/var/www/html/目录的权限被设置为 777 时,所有程序都能访问该目录。若此时 Web 服务器软件已启动,其触发的进程便可以写入该目录,而该进程面向整个互联网提供服务,存在安全风险。
Android中SeLinux权限 .te文件编写
热门推荐
x2017x的博客
09-05 2万+
  在android中添加一个LocalSocket通信,权限部分折腾了好几天,终于搞定了.   首先在root权限下使用setenforce 0命令放开selinux权限,看看需要的操作是否能成功.如果可以,证明是Selinux的设置问题.仅使用该命令,手机重启又会恢复为enforce为1的状态.为了长久更改此权限,需更改如下.   /device/qcom/sepolicy 目录下找到对应...
Android 6.0中SELinuxTE简介
DODO~下雨不打伞
09-07 9286
在开发中,偶尔会碰到一些TE后缀的文件的修改和查看。google借鉴了SELinux安全机制,在Android内包含了该机制,而TESELinux中描述程序访问资源的语言。本文的目的是让大家在Android开发中,碰到相关问题时能够看懂相关的TE文件。在下面的内容中将描述SELinux基本的TE编写规则和在Android中的应用。 SELinux资源访问基本概念SELinux使用类型强制来改进强制
Selinux-4 标签 android版本(csdn)————程序.pdf
12-03
在本文中,我们将深入探讨如何为Android应用程序设置SELinux规则,以及如何通过SELinux策略增强应用程序的安全性。SELinux(安全增强型Linux)是一种安全机制,提供了强制访问控制(MAC)安全策略框架,被用于...
SElinux内核态的实现-数据库部分-class
cnzzs的博客
06-28 454
文章目录前言SELinux内核态简介SELinux数据库的实现安全上下文sidsid与安全上下文映射关系的保存class与permissionclass的实现公用class私有classclass与permission的关联--selinux_mappingselinux_mapping的初始化class查询的优化基于cl...
配置selinux的策略_[学习记录]SELinux自定义策略初步
weixin_34518801的博客
12-24 797
文章主要记录了我如何学习selinux自订策略的,相关内容在网络上非常零散,自己也走了很多弯路,所以专门写了这么文章作为整理。这里先提一句,关于selinux的配置,网上最容易搜索到的是对selinux程序的配置,例如开关,以及对某种协议的控制,这些内容在我之前整理selinux管理工具种有提到,是相对表面的selinux配置,本文的配置是从编写自定义的策略模块,并装载,因此管理粒度更细。按...
SELinux 安全模型——TE
weixin_46645613的博客
01-01 1263
通过前面的示例策略,大家对 SELinux 应该有那么点感觉认识了,从这开始的三文章讲述 SELinux 的三种安全模型,会涉及一些代码,旨在叙述 SELinux 内部的原理SELinux 提供了 3 种安全模型:RBAC:Role Based Access Control
SElinux 读懂.te 定义自己的 .te
03-11 1万+
后面会持续补充一、 .te 文件定义中的一些宏1.1 unix_socket_connect(1,1 ,2, $3 ) 这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: ##################################### android 系统 te_macros 文件中的定义
SELinux策略语言--类型强制(编写TE规则)
编程菜鸟进阶之路
10-22 2650
1. 简介      SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 类型强制概念      SELinux策略大部分内容都是由多条类型强制规则构成的,这些规则控制被允许的使用权,大多数默认转换标志,审核,以及固定部分的检查。         SELinux策略大部分都是一套声明和规则一起定义的类型强制(TE:Type En
Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法
ldswfun的专栏
06-01 2788
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件中有非常多的语句, 我们需要基本掌握和理解其中的语法和语义,这样才能有利于我们进行开发。上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。Te文件中一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件中
selinux介绍
成功不必在我,而功力必不唐捐!
08-23 715
selinux相关命令 // 0--代表Permissive // 1--代表Enforcing setenforce 0 // 查看selinux开关状态 getenforce // 查看进程的sContext ps -Z // 查看文件权限 ls -Z 如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题 抓取SELinux Log adb shell dmesg 抓kernel log,使用命令: adb shell "cat /
Android中SELinuxTE简介【转】
weixin_30606669的博客
03-28 152
转自:https://blog.youkuaiyun.com/murphykwu/article/details/52457667 selinux的概念如上一链接所示: http://www.cnblogs.com/linhaostudy/p/8659662.html 一、SELinux资源访问基本概念 SELinux使用类型强制来改进强制访问控制。所有的主体(程序进程)对客体(文件/soc...
关于Selinux详解
段小苏的学习之路
04-03 5309
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言  ...
selinux te文件
03-27
<think>好的,我现在需要处理用户关于SELinux TE(Type Enforcement)配置文件和规则示例的查询。首先,我需要回忆一下SELinux的基本结构和TE的相关知识。 用户提到的TE,即类型强制,是SELinux的核心安全模型之一,用于定义类型之间的访问规则。根据引用[4],TE涉及两种规则:allow规则和type_transition规则。我需要确认这些规则通常存储在哪些配置文件中。 SELinux的策略文件通常位于/etc/selinux/目录下,尤其是参考了引用[3]提到的Android系统中,配置文件包括策略定义、标签映射等。常见的文件有.te(Type Enforcement)、.fc(File Contexts)、.if(Interface)和模块化的.pp文件。 用户需要具体的配置示例,我应该给出一个.te文件的例子,比如允许httpd_t类型访问httpd_log_t类型的日志文件。同时,补充相关的.fc文件内容,说明如何给文件打标签。此外,接口文件.if可能涉及模块间的调用,比如调用apache模块的接口。 还需要注意引用[1]中的安全上下文示例,这可能与.fc文件中的标签分配有关。引用[2]提到的示例策略可能需要参考官方文档或示例策略库,但用户这里可能需要更直接的例子。 最后,要确保回答结构清晰,分点说明不同配置文件的作用,并给出示例。同时,检查是否有遗漏的规则类型或配置文件,如seapp_contexts或access向量,但根据问题范围,可能集中在TE相关的文件即可。</think>### 与SELinux TE相关的配置文件及规则说明 #### 1. **TE规则文件(.te文件)** TE规则通过`.te`文件定义类型之间的访问权限,包含`allow`、`type_transition`等指令。 **示例:** ```te # 允许httpd_t进程类型访问httpd_log_t类型的日志文件 allow httpd_t httpd_log_t : file { read write append }; # 定义进程类型转换规则:当init_t执行httpd_exec_t类型的可执行文件时,进程类型变为httpd_t type_transition init_t httpd_exec_t : process httpd_t; ``` 此规则允许Web服务器进程(`httpd_t`)对日志文件(`httpd_log_t`)执行读写操作,并规定了进程类型转换的条件[^4]。 --- #### 2. **文件上下文定义文件(.fc文件)** `.fc`文件将文件路径与SELinux类型关联,定义文件的安全上下文。 **示例:** ```fc # /var/www/html目录下的内容标记为httpd_sys_content_t /var/www/html(/.*)? gen_context(system_u:object_r:httpd_sys_content_t,s0) # 日志文件标记为httpd_log_t /var/log/httpd(/.*)? gen_context(system_u:object_r:httpd_log_t,s0) ``` 此配置确保Web目录和日志文件被正确标记,匹配TE规则中的类型定义[^1][^3]。 --- #### 3. **接口文件(.if文件)** `.if`文件定义可重用的策略模块接口,供其他策略调用。 **示例:** ```te # 定义一个接口,允许调用者类型访问Web内容 interface(`apache_read_content&#39;,` allow $1 httpd_sys_content_t : dir list_dir_perms; allow $1 httpd_sys_content_t : file read_file_perms; &#39;) ``` 其他模块可通过`apache_read_content(user_t)`调用此接口,实现权限复用。 --- #### 4. **模块化策略文件(.pp文件)** 编译后的策略模块以`.pp`文件形式存在,例如: ```bash # 编译并加载httpd模块 checkmodule -M -m -o httpd.mod httpd.te semodule_package -o httpd.pp -m httpd.mod semodule -i httpd.pp ``` --- ### 关键配置文件路径 - **策略源码目录**: `/etc/selinux/{SELINUXTYPE}/src/policy/` - **预编译策略目录**: `/etc/selinux/{SELINUXTYPE}/policy/` - **文件上下文配置**: `/etc/selinux/{SELINUXTYPE}/contexts/files/file_contexts`
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值