Android14之audit2allow自动生成Selinux规则(一百七十五)

简介: CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长!

优质专栏:Audio工程师进阶系列原创干货持续更新中...... 】🚀
优质专栏:多媒体系统工程师系列原创干货持续更新中......】🚀

人生格言: 人生从来没有捷径,只有行动才是治疗恐惧和懒惰的唯一良药.
更多原创,欢迎关注:Android系统攻城狮

1.前言

本篇目的:audit2allow自动生成Selinux配置。

2.SeLinux介绍

  • SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。

  • SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。它通过将每个对象(如文件、进程和用户)和动作(如读写、执行)分配给一个安全上下文来实现安全访问控制。安全上下文包括主体和客体,主体代表拥有访问权限的主体,而客体代表被保护的系统资源。

  • SELinux通过使用访问控制策略来管理对象和动作之间的访问权限。访问控制策略定义了允许或禁止一个主体访问一个特定的客体的规则。这种严格的策略强制执行防止非授权访问,有效地减少了系统受到攻击的风险。

  • SELinux的主要功能包括:

  1. 强制访问控制(MAC):SELinux在每个对象和动作上强制实施访问控制策略,即使用户具有root权限也不能绕过这些策略。

  2. 细粒度访问控制:SELinux使管理员能够配置文件和进程的访问权限,实现更精确的访问控制。

  3. 角色基准访问控制:SELinux允许系统管理员为特定的用户角色分配不同的安全策略,以便管理访问权限。

  4. 安全上下文:SELinux使用安全上下文来标记对象和动作,并通过语义丰富的标签来定义对象之间的关系。

  5. 弹性:SELinux的策略可根据实际需求进行定制,以满足不同环境下的安全需求。

  • 虽然SELinux提供了强大的安全功能,但它也可能增加了配置和管理的复杂性。因此,对于普通用户来说,理解SELinux的工作原理并正确配置它可能需要一定的学习和实践。

  • 总之,SELinux是一种基于Linux内核的安全增强机制,通过强制访问控制、细粒度访问控制和安全上下文等功能来提高系统的安全性。它在Linux系统中得到广泛应用,并在防止未经授权访问和减少系统受到攻击的风险方面发挥着重要作用。

3.audit2allow自动生成selinux规则

<1>.配置Android源码环境

html 复制代码
# source build/envsetup.sh
# lunch xxx

<2>.抓带"avc"的log

html 复制代码
# adb logcat | tee avc.txt

<3>.自动转换avc.txt到selinux规则

html 复制代码
# adb pull /sys/fs/selinux/policy
# adb logcat -d | ./external/selinux/prebuilts/bin/audit2allow -p policy
  • 生成selinux规则

    #============= boringssl_self_test ==============
    allow boringssl_self_test self:capability sys_admin;

    #============= dexoptanalyzer ==============
    allow dexoptanalyzer app_data_file:dir search;

    #============= init-insmod-sh ==============
    allow init-insmod-sh self:capability sys_admin;

    #============= system_server ==============
    allow system_server vendor_default_prop:file read;

注意:当前PC的python版本一定是: python2.7。否则会出现如下语法问题:

 File "external/selinux/prebuilts/bin/audit2allow", line 3
    if [ -z "${ANDROID_HOST_OUT}" ]; then
                                ^
SyntaxError: invalid syntax

<4>.将规则添加到device/xxx/common/sepolicy/xxx.te文件中

html 复制代码
allow boringssl_self_test self:capability sys_admin;

#============= dexoptanalyzer ==============
allow dexoptanalyzer app_data_file:dir search;

#============= init-insmod-sh ==============
allow init-insmod-sh self:capability sys_admin;

#============= system_server ==============
allow system_server vendor_default_prop:file read;

<4>.编译

html 复制代码
# make -j12 sepolicy
相关推荐
Winston Wood3 天前
一文了解Android SELinux
android·安全·selinux
江上清风山间明月6 天前
Android 应用权限管理详解
android·应用·管理·权限·selinux·protect
ttdevs3 个月前
【Android】ServiceNotFoundException: No service published for: search
android·framework·aosp·selinux·search
-兮4 个月前
Ubuntu的SELinux
linux·运维·安全·ubuntu·selinux
Sgq丶6 个月前
Android 13 aosp 默认关闭SELinux
android·aosp·selinux
凯文的内存6 个月前
高通平台Android11 添加新分区的方法
android·partition·添加分区·selinux·build·vold
guitarjoy7 个月前
Android - 深入浅出理解SeLinux
android·selinux
Android系统攻城狮8 个月前
Android14之selinux报错:ERROR: end of file in comment(一百九十七)
selinux·android14
Sgq丶9 个月前
Android 11 访问 Android/data/或者getExternalCacheDir() root方式
android·framework·selinux·permissions