摘要:1.SEAndroidapp分类SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):1)untrusted_app 第三方app,没有android平台签名,没有system权限2)platform_app  有android平台签名,没有system权限3)system_app   有android平台签名和system权限从上面划分,权限等级,理论上:       

  • 1.SEAndroid app分类

    SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):

    1)untrusted_app  第三方app,没有android平台签名,没有system权限 2)platform_app    有android平台签名,没有system权限

    3)system_app      有android平台签名和system权限

    从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app

    2.seapp_contexts定义

    external\sepolicy\seapp_contexts

    isSystemServer=true domain=system_server
    
user=system seinfo=platform domain=system_app type=system_app_data_file
    
user=bluetooth seinfo=platform domain=bluetooth type=bluetooth_data_file
    
user=nfc seinfo=platform domain=nfc type=nfc_data_file
    
user=radio seinfo=platform domain=radio type=radio_data_file
    
user=shared_relro domain=shared_relro
    
user=shell seinfo=platform domain=shell type=shell_data_file
    
user=_isolated domain=isolated_app levelFrom=user
    
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
    
user=_app domain=untrusted_app type=app_data_file levelFrom=user

    从上面可以看出,domain和type由user和seinfo两个参数决定。 比如:

    user=system  seinfo=platform,domain才是system_app

    user=_app,可以是untrusted_app或platform_app,如果seinfo=platform,则是platform_app。

    3.user和seinfo判定方式

    首先看user,user可以理解为UID,例如ps -Z结果如下:

    u:r:system_app:s0              system    2414  1172  com.android.keychain
    
u:r:platform_app:s0            u0_a6     2439  1172  com.android.managedprovisioning
    
u:r:untrusted_app:s0           u0_a8     2460  1172  com.android.onetimeinitializer
    
u:r:system_app:s0              system    2480  1172  com.android.tv.settings
    
u:r:untrusted_app:s0           u0_a27    2504  1172  com.android.email
    
u:r:untrusted_app:s0           u0_a28    2523  1172  com.android.exchange
    
u:r:untrusted_app:s0           u0_a7     2567  1172  com.android.musicfx

    第一列是SContext,第二列是UID,只要UID是system的基本都是system_app,反过来一样。 其他的U0_XXX要么属于platform_app或untrusted_app

    seinfo由external\sepolicy\mac_permissions.xml决定,内容如下:

        <!-- Platform dev key in AOSP -->
    
    <signer signature="@PLATFORM" >
    
      <seinfo value="platform" />
    
    </signer>

    <!-- All other keys -->
    
    <default>
    
      <seinfo value="default" />
    
    </default>

    即如果签名是platform,seinfo就是platform,其他的比如shared等,seinfo是default。  比如上面ps -Z的结果里面,OneTimeInitializer.apk是untrusted_app,ManagedProvisioning.apk是platform_app。

    分别查看这两个app的Android.mk

    packages\apps\OneTimeInitializer\Android.mk  没有定义LOCAL_CERTIFICATE,默认是shared

    packages\apps\ManagedProvisioning\Android.mk    有定义LOCAL_CERTIFICATE := platform

    因为ManagedProvisioning.apk有platform签名,所以seinfo是platform。

    TvSettings是system_app,查看对应的参数:

    packages\apps\TvSettings\Settings\Android.mk  有定义LOCAL_CERTIFICATE := platform

    packages\apps\TvSettings\Settings\AndroidManifest.xml  有定义android:sharedUserId="android.uid.system"

    TvSettings user是system,seinfo是platform,所以是system_app

    packages\apps\ManagedProvisioning\AndroidManifest.xml 没有定义android:sharedUserId="android.uid.system"

    所以ManagedProvisioning虽然seinfo是platform,但是user不是system,因此只是platform_app,而不是system_app。

    4.app对应的te文件 system_app  ->  external\sepolicy\system_app.te  untrusted_app ->  external\sepolicy\untrusted_app.te  platform_app  ->  external\sepolicy\platform_app.te  对应的权限,通过allow语句给予,比如只有system_app才可以设置prop:

    # Write to properties
    
unix_socket_connect(system_app, property, init)
    
allow system_app debug_prop:property_service set;
    
allow system_app net_radio_prop:property_service set;
    
allow system_app system_radio_prop:property_service set;
    
auditallow system_app net_radio_prop:property_service set;
    
auditallow system_app system_radio_prop:property_service set;
    
allow system_app system_prop:property_service set;
    
allow system_app ctl_bugreport_prop:property_service set;
    
allow system_app logd_prop:property_service set;

    总结: 在引入SEAndroid后,app开发需要注意需要哪些权限,根据配置(shareuid和签名)来决定domain,从而决定权限大小。

SELinux app权限配置的更多相关文章

  1. app ios info权限配置:

    info权限配置: Privacy - Bluetooth Peripheral Usage Description --> App需要您的同意,才能访问蓝牙 Privacy - Calenda ...

  2. HTML5 开发APP( 环境配置)

    上一篇我写了关于新建项目,这一篇说一下配置环境我们新建一个移动app后,会发现一个mainifest.json文件,开发app所要配置的环境就在这个文件里 点击打开文件后会有配置界面,在配置界面的下方 ...

  3. Linux 账号管理与 ACL 权限配置

    要登陆 Linux 系统一定要有账号与口令才行,否则怎么登陆,您说是吧?不过, 不同的使用者应该要拥有不同的权限才行吧?我们还可以透过 user/group 的特殊权限配置, 来规范出不同的群组开发项 ...

  4. 第十四章、Linux 账号管理与 ACL 权限配置

    1. Linux 的账号与群组 1.1 使用者标识符: UID 与 GID 1.2 使用者账号:/etc/passwd 文件结构, /etc/shadow 文件结构 1.3 关于群组: /etc/gr ...

  5. Laravel系列之CMS系统学习 — 角色、权限配置【2】

    一.RBAC分析 基于角色的权限访问控制(Role-Based Access Control),这里存在这么几个玩意儿:角色.权限,用户 表:roles.permissions.role_has_pe ...

  6. Centos6.8 安装mongo3.6以及权限配置和开启外网链接

    目录 安装环境和版本说明,以及参考文档链接 安装MongoDB数据库 运行MongoDB数据库 删除卸载MongoDB 配置MongoDB管理员用户 修改配置文件,允许外网链接 安装配置完成,使用Ro ...

  7. react16 路由按需加载、路由权限配置

    1. 路由按需加载: 不做按需加载,代码全部打包在bundle.js 文件里,首屏渲染很慢,项目文件较多,会出现1分钟加载的可能性. import React, { Component } from ...

  8. Mosquitto搭建Android推送服务(四)Mosquitto服务器用户登录与权限配置

    文章钢要: 1.对服务器进行多用户配置 2.根据不同用户给予不同权限 一.Mosquitto的用户机制 mosquitto中可以添加多个用户,只有使用用户名和密码登陆服务器才允许用户进行订阅与发布操作 ...

  9. 13、Apache中虚拟目录和目录权限配置

    一.虚拟目录 之前的个人主页,为了安全起见,需要把~yanji 用户隐藏起来,这时就可以设置个 虚拟目录. 它在Apache服务器应用比较多,能够隐藏系统的真实目录,实用性非常高. 虚拟目录主要 通过 ...

随机推荐

  1. 2.java面向对象类与类/类与对象之间关系详解

    继承.实现.依赖.关联.聚合.组合的联系与区别 下面的内容很基础,同时也很简单,但是也很重要. 继承 指的是一个类(称为子类.子接口)继承另外的一个类(称为父类.父接口)的功能,并可以增加它自己的新功 ...

  2. 远程计算机或设备将不接受连接(电脑能连接网络、QQ能登陆、浏览器无法使用)

    第一种方法 1.win+r 2.输入regedit,打开注册表 3.查找Internet Settings(在HKEY_CURRENT_USER\Software\Microsoft\Windows\ ...

  3. w7 python35 输出中文乱码解决

    1.乱码纷争在python自带的控制台正常 但是cmd就跪了,用的vs code也是同样问题,不想以前学习python27那么单纯,前面加个#UTF就可以了 网上寻求解决办法 import io,sy ...

  4. Python快速学习04:循环 & 函数

    前言 系列文章:[传送门] 也就今天认识了 LC ,很开心. 本文目录 循环 for while 中断 函数 函数定义 函数调用 for循环 Python 中的for 循环象shell 脚本里的for ...

  5. [java]创建一个默认TreeMap() key为什么不能为null

    本文版权归 远方的风lyh和博客园共有,欢迎转载,但须保留此段声明,并给出原文链接,谢谢合作. 先看一下 TreeMap 的 put(K key, V value) public TreeMap() ...

  6. Spring Boot (一)快速入门

    一.关于Spring Boot 在开始了解Spring Boot之前,我们需要先了解一下Spring,因为Spring Boot的诞生和Spring是息息相关的,Spring Boot是Spring发 ...

  7. Perl面向对象(3):解构——对象销毁

    本系列: Perl面向对象(1):从代码复用开始 Perl面向对象(2):对象 Perl面向对象(3):解构--对象销毁 第3篇依赖于第2篇,第2篇依赖于1篇. perl中使用引用计数的方式管理内存, ...

  8. Guid的生成和数据修整(去除空格和小写字符)

    SqlServer实现 SELECT LOWER(LTRIM(RTRIM(REPLACE(NEWID(),'-','')))) NEWID()函数产生随机数,例如:F874153F-D99B-40A9 ...

  9. C# 获取一定区间的随即数 0、1两个值除随机数以外的取值方法(0、1两个值被取值的概率相等)

    获取随机数 举例:0-9 Random random = new Random(); int j = random.Next(0, 9); 0.1两个值被取值的概率相等 int a = Math.Ab ...

  10. 【转载】在Centos系统上采用二进制文件部署Node.js环境

    Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,用来方便地搭建快速的易于扩展的网络应用.Node.js 使用了一个事件驱动.非阻塞式 I/O 的模型,使其轻量又 ...