Android SELinux——上下文Context源码(十)

已于 2024-10-16 13:08:34 修改
阅读量1.3k 收藏 8
点赞数 18
CC 4.0 BY-SA版权
分类专栏: Android SELinux 文章标签: android SELinux
于 2024-10-16 08:55:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c19344881x/article/details/142585822

        通过前面的文章我们知道,SELinux 中的上下文(contexts)包含很多类型,这里我们就来看看Androd 源码中 上下文 SELinux Contexts 的代码结构。

一、Contexts源码

源码位置:/system/sepolicy/private

1、file_contexts

        file_contexts 文件用于定义系统中各个文件和目录的 SELinux 上下文(context),即为每个文件或目录设置其 SELinux 标签。这些标签包括用户、角色、类型和级别,用于控制文件的访问权限。

源码展示

# Root
/                   u:object_r:rootfs:s0

# Data files
/adb_keys           u:object_r:adb_keys_file:s0
/build\.prop        u:object_r:rootfs:s0
/default\.prop      u:object_r:rootfs:s0
……

# Executables
/init               u:object_r:init_exec:s0
/sbin(/.*)?         u:object_r:rootfs:s0

# For kernel modules
/lib(/.*)?
了解本专栏 订阅专栏 解锁全文
Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 1063
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
Android SELinux——上下文Context介绍(九)
小旭的专栏
10-15 1055
前面文章中介绍 allow 语句中所说的 "映射",即将一个进程关联到一个 type,或者将一个文件关联到一个 type,是通过 context 来完成的。1、进程ContextSELinux 中,进程的上下文context)包含了多个字段,用于描述该进程的安全属性。user=_app:user 标识了拥有该进程的 SELinux 用户,_app 通常是 Android 系统中应用程序的默认用户,表示这是一个常规的 app。
android_N项目(高通平台 CTS修改总结
qq_30427341的博客
04-19 1万+
android_N项目(高通平台)CTS修改总结 第一个android_N项目的CTS修改总结 1: 对于wifi only版本可能发现的问题: android.telephony.cts.TelephonyManagerTest#testGetPhoneCount junit.framework.AssertionFailedError: Phone count should be 0
SELinux 各模块简要说明
最新发布
OLiverDing的博客
06-06 712
为文件/目录分配唯一的 SELinux 类型(如),决定哪些进程有权访问。示例表示可执行文件的安全上下文为。
SELinux For Android8.0 && SELinux 4.0
09-03
该资源是Google官方编写的关于Android 8中SeLinux的文档,然后还附加了SELinux 4.0的pdf
AndroidSElinux(Security-Enhanced Linux)
weixin_41028159的博客
11-25 3339
作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。
Android SELinux
学无止境
12-21 2595
SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。强制模式:权限拒绝事件会被记录下来并强制执行。
Android 系统SELinux
jjx_fight的博客
10-22 2295
借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。格式如下:avc: denied { 操作权限 } for comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。– 类型绑定: external/sepolicy/file_contexts;
Android SELinux——Sepolicy基础语法(四)
小旭的专栏
10-11 1322
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
Android SELinux——其他常见策略⽂件(一)
小旭的专栏
10-16 821
通过前面的文章内容,我们了解了 Sepolicy 的相关语法和书写规范,这里我们来看一下系统中自带的一些比较重要的策略相关文件。
selinux源码分析
04-12
selinux入门教程,系统地介绍了selinux的历史以及特点并详细地分析了其hook函数。
SELinux on Android
大磊大的专栏
04-20 1130
Wesly大发神威,连夜翻译了一些文档,加上他本人的知识和理解,呕心沥血写出这部作品。不过需要润色,先放前面一些概述了。 引言 作为安卓安全模型的一部分,安卓使用了SELinux的访 问控制策略。SELinux的出现大幅度增强了安卓的安全性。此外,还有许多公司和组织也为增强安卓的安全性做出了不懈的努力。你可以在 android.googlesource.com站点看
Android 系统SELinux(SEAndroid
tq501501的博客
06-25 4937
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
安卓selinux调试
kk_judge的博客
07-01 923
selinux安卓权限问题
android SElinux 总结--启用,关闭以及配置文件说明,很详细,值得学习
热门推荐
lqxandroid2012的专栏
08-21 2万+
转自 http://blog.csdn.net/bin_linux96/article/details/44993819  1. 禁止selinux  1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX 1.2 还可以在system.prop中定义ro.boot.selinux=disable 这两种方法都可以禁用selinux,也可以设置成ro.bo
Android系统SELinux详解
star_nwe的博客
10-25 2002
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
Android实战经验篇-玩转Selinux(详解版)
oDwyane03的博客
01-24 1634
但是她又没有学习过以前的课程,所以不能赋予她 w 权限,怕她改错了目录中的内容,所以学员 st 的权限就是 r-x。班级中的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的学员当然不能访问这个目录。在使用 ACL 权限给用户 st 陚予权限时,st 既不是 /project 目录的属主,也不是属组,仅仅赋予用户 st 针对此目录的 r-x 权限。如下图,user是test,group是test,去写一个root权限的readme.txt文件,就是没权限的。
Android Selinux 实战
android_sniper的专栏
09-25 1266
说明:以下内容为网上收集的资料,这里把有用的干货收集起来,去掉冗长的selinux一般性知识,只留下精华。 SELINUX 入门 1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权
selinux_enabled = is_selinux_enabled(); sehandle = selinux_android_service_context_handle(); selinux_status_open(true); 源码分析
09-12
关于源码分析 `selinux_enabled`, `sehandle`, 和 `selinux_status_open` 的功能,这里并未直接给出具体的代码示例,但可以基于所给的上下文信息进行解读: 1. `selinux_enabled()` 函数的作用可能是检测当前设备上SELinux的状态。如果返回True,表示SELinux正在启用;如果是False,可能表示在许可模式(permissive)或已禁用。这通常是通过查询操作系统内核或安全策略配置来确定的。 ```c // 假设这是一个假设的函数实现 bool selinux_enabled() { // 检查系统配置或/proc文件系统以判断SELinux状态 if (selinux_is_enforcing()) { return true; } else { return false; } } ``` 2. `sehandle` 可能是用来获取与SELinux相关的权限上下文或服务关联的句柄。在Android环境中,这个操作可能涉及到与Magisk模块交互,因为提到它是用于管理SELinux权限的。 ```c void* sehandle = selinux_android_service_context_handle(); // 这里可能涉及到与Magisk模块通信,获取特定服务的 SELinux 安全上下文 ``` 3. `selinux_status_open(true)` 可能是一个函数调用来打开或初始化与SELinux相关的资源,特别是当需要对安全上下文进行操作时。参数true可能指示开启一个会话或打开一个权限检查。 ```c // 假设selinux_status_open() 是为了创建一个SELinux上下文环境 void selinux_status_open(bool enforce) { if (enforce) { setenforce(1); // 将SELinux设置回强制模式 } else { setenforce(0); // 或者切换到许可模式 } } ``` 然而,这些函数的具体实现取决于Linux内核API和相应的SELinux库,以及与Magisk集成的代码。如果你想要了解更详细的源码分析,应查阅相关的开源项目文档或查看实际的C/C++代码。另外,注意这些操作需要谨慎对待,尤其是涉及降低系统安全性的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

c小旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值