美文网首页Android framework学习学习之鸿蒙&Android
Android selinux策略配置

Android selinux策略配置

作者: 后知晚觉 | 来源:发表于2021-06-28 15:16 被阅读0次

功能需求描述

在android的keystore服务中获取调用者的包名。

代码实现:


#include <binder/IPCThreadState.h>
//......

    pid_t pid = android::IPCThreadState::self()->getCallingPid();
    ALOGI("calling pid: %d", pid);
    char path[64] = { 0 };
    sprintf(path, "/proc/%d/cmdline", pid);
    FILE *cmdline = fopen(path, "r");
    if (cmdline) {
        char application_id[64] = { 0 };
        fread(application_id, sizeof(application_id), 1, cmdline);
        ALOGI("application id %s", application_id);
        fclose(cmdline);
    }

selinux异常

代码在keystore进程中运行时,会抛出selinux avc异常:

05-31 08:28:34.889  7420  7420 W keystore: type=1400 audit(0.0:177): avc: denied { getattr } for path="/proc/9671/cmdline" dev="proc" ino=128198 scontext=u:r:keystore:s0 tcontext=u:r:untrusted_app:s0:c141,c256,c512,c768 tclass=file permissive=0

异常分析:

keystore在对untrusted_app的file做getattr操作时抛出异常。

sepolicy编写

# system/sepolicy/public/keystore.te    system/sepolicy/prebuilts/api/30.0/public/keystore.te
# 两个文件都增加一行:
allow keystore untrusted_app:file getattr;

添加上面一行可以满足功能需求描述中要求。

如果安全策略与其他策略文件冲突,编译系统在编译时会对策略文件做检测,如果存在冲突的情况,还需要额外修改以下文件:

system/sepolicy/prebuilts/api/30.0/private/coredomain.te
system/sepolicy/prebuilts/api/30.0/public/domain.te
system/sepolicy/private/coredomain.te
system/sepolicy/public/domain.te

有时存在system domain下引用不到vendor domain中变量的情况,如果涉及到vendor相关资源的权限,可能还需要在vendor路径下新增策略文件:

device/qcom/sepolicy_vndr/generic/vendor/common/keystore.te

编译

$ source build/envsetup.sh
$ lunch xxxxx
$ mmm system/sepolicy -j2

push到设备中验证

$ adb push out/target/product/xxxxxx/system/etc/selinux/* /system/etc/selinux/
$ adb shell sync
$ adb reboot
$ adb wait-for-device
$ adb logcat | grep keystore

如果涉及到vendor相关的策略改动,还需要执行下面的命令:

$ adb push out/target/product/xxxxxx/vendor/etc/selinux/* /vendor/etc/selinux/

设备重启后,触发功能代码执行,观察log,看是否有avc异常抛出。

相关文章

  • Android selinux策略配置

    功能需求描述 在android的keystore服务中获取调用者的包名。 代码实现: selinux异常 代码在k...

  • Android SeLinux安全策略配置

    众所周知,自从Android4.3版本引入SeLinux后,这一新的安全机制会对进程的权限进行最小化的限制,...

  • 14.Linux安全设置

    安全策略selinux Selinux是Redhat/CentOS系统特有的安全机制; 因为这个东西限制太多,配置...

  • CentOS7配置dnsmasq

    1.技术菜不懂SELinux配置策略规则索性改成Permissive(宽容) 命令:setenforce 0 或者...

  • mysql主从复制

    原理: 准备环境: 禁用selinux策略,清空防火墙规则 更改配制文件: 配置完成后启动服务: 主从配置: 从节...

  • Fedora/REHL 安装 semanage

    Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映...

  • RHCE Ex300做题总结

    1.配置SELinux vim /etc/selinux/config SELINUX =enforcing se...

  • linux服务器优化配置

    一、服务器网络配置 二、网络安全配置 1、Selinux 配置(如何关闭selinux) 2、iptables配置...

  • Cobbler部署

    一、关闭selinux 1、修改配置 vim /etc/selinux/config SELINUX=enforc...

  • Selinux策略

    audit信息转化为策略 安装selinux模块 卸载selinux模块 注意:1.部分策略可以在.if的文件中查...

网友评论

    本文标题:Android selinux策略配置

    本文链接:https://www.haomeiwen.com/subject/mtbqultx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    Android framework

    学习

    学习之鸿蒙&Android

    关于我们|服务条款|联系我们|Android selinux策略配置|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!