SE Android
Security Enhanced (SE) Android 是尝试识别并弥补 Android 系统上安全缺陷的项目,于最近发布了首个版本。
起初 SE Android 的目的是将 SELinux 应用在 Android 系统上,用来降低恶意程序的危害和强制施行应用程序隔离。不过 SE Android 项目的范畴并不局限于 SELinux。
SE Android 项目还将提供一个在 Android 底层软件中实现 SELinux 的参考方案,从而提高 Android 面对 Root 溢出攻击和应用程序缺陷时的防御能力。
SE Android 参考实现的功能:
- Yaffs2 文件系统按文件的安全标注支持。
- 编译时文件系统(ext4 和 yaffs2)镜像安全标示。
- Binder IPC 内核许可检查控制。
- 为由初始化进程生成的服务端口和端口文件进行安全标注。
- 为由 ueventd 生成的设备节点进行安全标注。
- 为应用程序及其数据目录提供灵活的可配置的安全标注。
- 使用 Zygote 执行用户态许可检查控制。
- 移植精简的 SELinux 用户态工具。
- 为 Android 工具集提供 SELinux 支持。
- 提供为 Android 重新编写的安全规范文件。
- 限定系统服务和程序到有限域中。
- 使用 MLS 分类来隔离应用程序。
SE Android 基于 Android Open Source Project (AOSP) 的源代码创建。
介绍内容来自 LinuxToy
-
内核LSM和SELinux的支持 文章 Security Enhanced (SE) Android: Bringing Flexible MAC to Android对内核的修改情况做了很好的描述,下面主要讲一下为支持Binder IPC服务所作的变化: Linux安全模块(LSM)在binder驱动代码(drivers/staging/android/binder.c和include/linu
-
权限修改 方法一:adb在线修改SELinux Enforcing 表示已打开,Permissive 表示已关闭 getenforce; //获取当前seLinux状态 setenforce 1; //打开seLinux setenforce 0; //关闭seLinux 方法二:从kernel中彻底关闭 修改kernel-**/arch/arm64/configs/***_defconfig
-
前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是任何进程想在SELinux系统中干任何事,都必须先在安全策略的配置文件中赋予权限。凡是没有在安全策略中配置的权限,进程就没有该项操作的权限。在
-
8.0 的目录做了一些修改 qocm 1. 目录分类 1.1 android/system/sepolicy android/device/qcom/sepolicy/common 如果需要加一些配置或添加自定义的,可以分为2个目录添加 android/system/sepolicy --- myTest.te(定义) android/device/qcom/sepolicy/common
-
https://www.samsungknox.com/zh-hans http://www.samsung.com/cn/business/solutions/knox-solutions/ https://seap.samsung.com/ SE for Android 系列之整体概要 Security Enhanced (SE) Android: Bringing Flexible MA
-
0. 前言 SEAndroid记录与总结,待完善。 1. 简介 2. 配置方法 3. 为什么编译报neverallow? 4. 注意事项 4.1 不同分区不允许互相访问 应用程序所在路径限制其访问的文件类型,比如有一个应用程序test_bin,编译时将其打包在镜像的/vendor/bin下,则其具有vendor_file相关权限,用ls -Z可查看文件权限类型,如下: android:/ # ls
-
Init进程对Android启动的selinux环境作了初始化。 /system/core/init/init.cpp // Set up SELinux, including loading the SELinux policy if we're in the kernel domain. selinux_initialize(is_first_stage); init第
-
SELinux app权限配置 untrusted_app http://blog.csdn.net/zhudaozhuan/article/details/50964832 1.SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): (1)untrusted_app 第三方app,没有Android平台签
-
1.命令 通过ls -Z命令查看文件的安全上下文。ps -Z查看进程的上下文。 安全上下文的格式: USER: ROLE: TYPE[LEVEL] USER:指定用户。 1.user_u:代表普通用户,权限受限 2.system_u:系统级别进程 3.root:root用户 ROLE:指定角色。像文件、目录、socket等客体角色通常是object_r,主体进程的角色是r。
-
SEAndroid :全称Security Enhancements for Android,以SELinux为核心 SELinux :是美国国家安全局搞的一个Modules,是开源的,后来Google将其应用到自家的Android平台上来 DAC : (Discretionary Access Control ) 在SELinux出现之前,Linux系统所用的安全模型。在这个模型里面,进程所拥有
-
selinux的配置规则: 首先要了解sepolicy的结构: a. App进程 -> mac_permissions.xml b. App数据文件 -> seapp_contexts c. 系统文件 -> file_contexts d. 系统属性 -> property_contexts class命令的格式为: class class_name [ inherits common_name
-
SEAndroid是Security Enhancement for Android的简称,这是将SElinux一直到Android的项目,这是它的官方网站http://seandroid.bitbucket.org/ 1 SELinux SELinux的全称是security enhancement for Linux的,它是美国国安局在Linux社区的帮助下开发的一种强制访问控制体系(MAC)
-
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 1. 命令一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。 1.2 设置selinux
-
1. 被ROOT了怎么办 2. SELinux 3. SEAndroid 4. JB(4.3) MR2的漏洞弥补 ------------------------------------------- ------------------------------------------- 1. 被ROOT了怎么办 恶意应用获得了ROOT权限 --- 现在我们是无能为力的 我们想要做
-
http://blog.csdn.net/l173864930/article/details/17194899 MLS(Multi-Level Security) 什么是MLS,为何要引入MLS MLS称为多级别安全是另一种强制访问控制方法,特别适合于政府机密数据的访问控制,早期对计算机安全的研究大多数都是以在操作系统内实现MLS访问控制为驱动的。所有MLS的使用都是建立在TE安全的基础之上。
-
http://selinuxproject.org/page/SEAndroid
-
----------【例子1】:通过修改shell的权限,使其无法设置属性: 先来看shell的te,如下所示: [external/sepolicy/shell.te] Domain for shell processes spawned by ADB type shell, domain; type shell_exec, file_type; #shell属于unconfined_domai
-
security context /* When SEAndroid is enabled, the following occurs: a, All objects on the system are labeled with a security context.Objects inlcude files, directoried,processes,sockets,drivers,and m
-
我想看看Kernel log,但是当setenforce 1之后,再输入dmesg,就出现: klogctl:Operation not permitted 问题应该是出在su之后shell所处的域的权限。我查了一下su.te,有下面这样的语句: domain_auto_trans(shell, su_exec, su) unconfined_domain(su) 也就是说,在adbd的shell