SELinux策略语言中没有预定义类型,所有的类型来自于声明。故类型在使用前都必须被明确的声明,默认的,所有类型都以xxx_t的形式来声明。声明之后就可以在TE规则、安全上下文和其他策略语句中使用了。
格式:type name_t [alias 别名集合({}+空格分隔)] [属性集合(,分隔)];
type http_t;
type httpd_user_content_t;
SELinux策略语言中的属性是类型的属性或类型的性质,它可以表示一组类型(attribute = 一组type)。
计算机OS中的资源数不胜数、成千上万,如果要对这么多资源分门别类定义不同的类型进行SELinux要实现的访问管理(MAC),那要定义的类型也是极多的。一个大型的,复杂的策略可能包括上万个代表系统上不同资源的类型,例如:Fedora Core 4(FC4)的targeted策略相对较小,但也声明了超过800个类型。当定义新类型时,给其allow权限是一个单调且容易出错的过程。
因为上述这种情况,属性出现了,如果说类型是资源的分类,那么属性就是类型的分类。赋予一个属性的访问权限就 等于 赋予访问者所有带有这种属性的类型的资源的访问权限。这代表着,当新增类型时,不需要手动添加allow规则,只需将属性和类型关联即可。
属性与类型共享同一个命名空间,所以二者不可以同名,为了区分,属性以xxx_type形式被声明。
//属性声明
attribute attr_type;
attribute file_type;
allow backup_t file_type :file read;
//赋予backup_t类型的进程 访问 具有file_type属性的类型的文件 读权限。
1个类型可拥有的属性数量没有限制,即一个类型可拥有多个属性。关联操作有2种,格式如下。
//关联操作1
//声明type_t类型的同时,关联属性attr_type
type type_t,attr_type;
//关联操作2
//操作2的特点在于,类型的声明和关联是分开的,这意味着声明和关联两个操作可被模块化设计(各放在一个源文件中)
//,利于设计、管理,增强了语言的灵活性。
type type_t;
typeattribute type_t attr_type,content_type;//type_t关联了2个属性
用于模块更新前后改名的兼容性
# 这两条语句等同于
type mozilla_t, domain;
typealias mozilla_t alias netscape_t;
#下面这一条语句
type mozilla_t alias netscape_t, domain;
使用宏定义能够减去反复撰写重复性代码的劳动。常见的有,
// Linux Android源码位置system/sepolicy/prebuilts/api/28.0/public/te_macros
set_prop(sourcedoamin, targetproperty),
get_prop(sourcedoamin, targetproperty)
SELinux的策略的规则可分为2类
AV规则就是按照对客体类别的访问许可指定其具体含义的规则,SELinux策略语言目前支持四类AV规则:
虽然这些规则的用途不一样,但它们的基本语法是一样的,每个规则都要包含下面五个元素:
一个简单的AV规则有上述这些源类型,目标类型,客体类别和许可,例如
allow user_t bin_t : file execute;
//这个allow规则的源类型为user_t,目标类型为bin_t,客体类别file,许可execute,
//这个规则可以解读为"允许user_t类型的进程执行类型为bin_t的文件"
在内核中,所有AV规则都是通过一组“源类型+目标类型+客体类别”组成的字段作为唯一性标识,这个组合被称为秘钥。
秘钥被当作哈希表使用,缓存在policy数据结构中,AV规则依靠秘钥存储和检索。存储用到秘钥是因为多条相同秘钥的规则通过checkpolicy进行组合,编译后只剩下一条拥有多条许可的规则。所有的AV都按照这种方式进行累加。
allow src_t obj_t : file read;
allow src_t obj_t : file execute;
//Key :"src_t obj_t file"
AV规则中所有能使用类型的地方都能用属性,源类型、目标类型这两者都可以用属性表示,并且用了属性之后,一条规则语句往往在编译后会被扩展成多条规则,十分方便。并且在编译后,每一个与属性关联的类型都有一个独立的秘钥。
AV规则中可使用多类型与多属性,属性和类型支持混合组成源类型与目标类型,使用{}+空格来表示。
allow {usr_t domain} {adbd_type file_t} : file execute;
// 源类型 usr_t domain 目标类型 adbd_type file_t
在规则语句中,self可理解为是该语句中的源类型的别名,用作目标类型,即目标类型 == 源类型。
# 这两条规则
allow user_t user_t : process signal;
allow staff_t staff_t : process signal;
#等于下面这一条规则
allow {user_t staff_t} self : process signal;
"-"类型否定操作符可用于移除一个属性中的某个类型。使用之后那么编译时就会去除掉那个被否定的类型,不会生成它的秘钥。
allow domain {exec_type -sbin_t} : file execute;
allow domain {-sbin_t exec_type} : file execute;
AV规则中可包括类别和许可列表,使用“ {} + 空格 ”表示,这意味这列表中的所有许可对所有类别都有效。
allow src_t bin_t : {file dir} {read getattr} //这会解释成4条规则
//如果许可对类别列表中的某项无效,那么规则也会无效
allow src_t bin_t : {file dir} {read search getattr} //search许可对file类别无效
通配符表示所有许可,类别列表中有与许可无效的成员也不影响其他许可的有效性。猜测是因为通配的原因,在编译的时候首先被分成n条语句,除了无效许可那条外其他都有效。
allow usr_t bin_t : { file dir } * ;
补算符表示 包含所有许可,除了被~修饰的许可。
allow usr_t bin_t : { file dir } ~{ write setattr ioctl } ;
类型规则在创建客体或在运行过程中重新标记时指定其默认类型,它仅提供一个新的默认类型标记。在策略语言中定义了两个类型规则:
类型规则没有allow访问权,相反,它们指定了客体创建和重新标记事件想要的默认标记策略。
与AV规则一样,每条类型规则有不同的用途和语义,但它们的语法都是通用的,每条类型规则都具有下列五项元素:
规则名称:type_transition或type_change
。
源类型:创建或拥有进程的类型
目标类型:包含新的或重新标记的客体的客体类型
客体类别:新创建的或重新标记的客体的类别
默认类型:新创建的或重新标记的客体的单个默认类型
规则名称 类型集 类型集:类别集 单个默认类型;
顾名思义,类型转换规则用于触发某种条件时,对客体类型进行转换的一个规则。它指定了一个默认类型
目前有两种格式的type_transition语句
使用type_change规则为重新标记客体指定默认的类型,它们用于SELinux敏感的程序如login和sshd。
与type_transition不同的是:type_change规则的影响不会在内核中生效,而是依赖于用户空间应用程序,如login或sshd
SELinux将策略分为两部分
private 平台私有策略:私有策略定义在/system/sepolicy/private下,private下的type和attribute对non-platform policy作者是不可见的。
public 平台公有策略:平台公有策略全部定义在/system/sepolicy/public下,public下的type和attribute可以被被导出,供以non-platform中的策略所使用。
Android8.0的SElinux策略是由/system和/vendor中的策略合并而来的。具体构建的逻辑声明在/android/stem/sepolicy/Android.mk中。
Location | Contains |
---|---|
system/sepolicy/public | 平台策略 |
system/sepolicy/private | 平台策略 |
system/sepolicy/vendor | 平台对vendor相关的定义 |
BOARD_SEPOLICY_DIRS vendor | 策略 |
编译器采用这种逻辑将平台和非平台策略组件分别打包到vendor和system的镜像中去。 |
报错的解决方式有两种,手动解决和命令自动解决。
dell@dell:~$ vim allow.txt //将出错的log编辑成文件
如:audit: type=1400 audit(9466.339:6): avc: denied { setattr } for pid=1 comm="init" name="sdd1" dev="tmpfs" ino=7522 scontext=u:r:init:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
dell@dell:~$ audit2allow -i allow.txt //使用audit2allow对其进行检查
#============= init ==============
allow init block_device:blk_file setattr; // 少了setattr属性
sepolicy的allow语句的格式如下
allow [source_type] [target_type]:[target_class] [action];
而系统在报avc denied的log时,会列出allow语句中的所有log属性,只要解读了这些语句,就能够手动增加allow规则,消除avc denied。
需要注意的是,source_type和target_type这两个参数位于scontext和tcontext安全上下文的type字段中。
举个例子:
avc: denied { read write } for name="sdd1" dev="tmpfs" ino=2089 scontext=u:r:shell:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
其中
action : { read write }
source_type : shell
target_type : block device
target_class: blk_file
故组成的sepolicy语句为:allow shell block_device:blk_file { read write };
文章浏览阅读645次。这个肯定是末尾的IDAT了,因为IDAT必须要满了才会开始一下个IDAT,这个明显就是末尾的IDAT了。,对应下面的create_head()代码。,对应下面的create_tail()代码。不要考虑爆破,我已经试了一下,太多情况了。题目来源:UNCTF。_攻防世界困难模式攻略图文
文章浏览阅读2.9k次,点赞3次,收藏10次。偶尔会用到,记录、分享。1. 数据库导出1.1 切换到dmdba用户su - dmdba1.2 进入达梦数据库安装路径的bin目录,执行导库操作 导出语句:./dexp cwy_init/[email protected]:5236 file=cwy_init.dmp log=cwy_init_exp.log 注释: cwy_init/init_123..._达梦数据库导入导出
文章浏览阅读1.9k次。1. 在官网上下载KindEditor文件,可以删掉不需要要到的jsp,asp,asp.net和php文件夹。接着把文件夹放到项目文件目录下。2. 修改html文件,在页面引入js文件:<script type="text/javascript" src="./kindeditor/kindeditor-all.js"></script><script type="text/javascript" src="./kindeditor/lang/zh-CN.js"_kindeditor.js
文章浏览阅读2.3k次,点赞6次,收藏14次。SPI的详情简介不必赘述。假设我们通过SPI发送0xAA,我们的数据线就会变为10101010,通过修改不同的内容,即可修改SPI中0和1的持续时间。比如0xF0即为前半周期为高电平,后半周期为低电平的状态。在SPI的通信模式中,CPHA配置会影响该实验,下图展示了不同采样位置的SPI时序图[1]。CPOL = 0,CPHA = 1:CLK空闲状态 = 低电平,数据在下降沿采样,并在上升沿移出CPOL = 0,CPHA = 0:CLK空闲状态 = 低电平,数据在上升沿采样,并在下降沿移出。_stm32g431cbu6
文章浏览阅读1.2k次,点赞2次,收藏8次。数据链路层习题自测问题1.数据链路(即逻辑链路)与链路(即物理链路)有何区别?“电路接通了”与”数据链路接通了”的区别何在?2.数据链路层中的链路控制包括哪些功能?试讨论数据链路层做成可靠的链路层有哪些优点和缺点。3.网络适配器的作用是什么?网络适配器工作在哪一层?4.数据链路层的三个基本问题(帧定界、透明传输和差错检测)为什么都必须加以解决?5.如果在数据链路层不进行帧定界,会发生什么问题?6.PPP协议的主要特点是什么?为什么PPP不使用帧的编号?PPP适用于什么情况?为什么PPP协议不_接收方收到链路层数据后,使用crc检验后,余数为0,说明链路层的传输时可靠传输
文章浏览阅读587次。软件测试工程师移民加拿大 无证移民,未受过软件工程师的教育(第1部分) (Undocumented Immigrant With No Education to Software Engineer(Part 1))Before I start, I want you to please bear with me on the way I write, I have very little gen...
文章浏览阅读304次。Thinkpad X250笔记本电脑,装的是FreeBSD,进入BIOS修改虚拟化配置(其后可能是误设置了安全开机),保存退出后系统无法启动,显示:secure boot failed ,把自己惊出一身冷汗,因为这台笔记本刚好还没开始做备份.....根据错误提示,到bios里面去找相关配置,在Security里面找到了Secure Boot选项,发现果然被设置为Enabled,将其修改为Disabled ,再开机,终于正常启动了。_安装完系统提示secureboot failure
文章浏览阅读10w+次,点赞93次,收藏352次。1、用strtok函数进行字符串分割原型: char *strtok(char *str, const char *delim);功能:分解字符串为一组字符串。参数说明:str为要分解的字符串,delim为分隔符字符串。返回值:从str开头开始的一个个被分割的串。当没有被分割的串时则返回NULL。其它:strtok函数线程不安全,可以使用strtok_r替代。示例://借助strtok实现split#include <string.h>#include <stdio.h&_c++ 字符串分割
文章浏览阅读2.3k次。1 .高斯日记 大数学家高斯有个好习惯:无论如何都要记日记。他的日记有个与众不同的地方,他从不注明年月日,而是用一个整数代替,比如:4210后来人们知道,那个整数就是日期,它表示那一天是高斯出生后的第几天。这或许也是个好习惯,它时时刻刻提醒着主人:日子又过去一天,还有多少时光可以用于浪费呢?高斯出生于:1777年4月30日。在高斯发现的一个重要定理的日记_2013年第四届c a组蓝桥杯省赛真题解答
文章浏览阅读851次,点赞17次,收藏22次。摘要:本文利用供需算法对核极限学习机(KELM)进行优化,并用于分类。
文章浏览阅读1.1k次。一、系统弱密码登录1、在kali上执行命令行telnet 192.168.26.1292、Login和password都输入msfadmin3、登录成功,进入系统4、测试如下:二、MySQL弱密码登录:1、在kali上执行mysql –h 192.168.26.129 –u root2、登录成功,进入MySQL系统3、测试效果:三、PostgreSQL弱密码登录1、在Kali上执行psql -h 192.168.26.129 –U post..._metasploitable2怎么进入
文章浏览阅读257次。本文将为初学者提供Python学习的详细指南,从Python的历史、基础语法和数据类型到面向对象编程、模块和库的使用。通过本文,您将能够掌握Python编程的核心概念,为今后的编程学习和实践打下坚实基础。_python人工智能开发从入门到精通pdf