OpenHarmony-SELinux配置

原创 已于 2025-03-12 11:09:50 修改 · 1.7k 阅读 · 29
标签
#harmonyos
于 2025-03-12 11:04:09 首次发布

前言

OpenHarmony 上某个进程向samgr注册SA服务,其他进程在与该进程进行IPC通信之前,需要获取该SA服务,SA提供方需要为该SA配置SELinux标签,否则该SA会被SELinux配置为u:object_r:default_service:s0标签,配置访问default_service的策略会被neverallow禁止,本文将介绍如何为新增的SA配置SELinux策略。

一、SELinux简介

SELinux (安全增强式 Linux , Security-Enhanced Linux )是 Linux 的安全组件,包含一组内核修改和用户空间工具,并提供了基于安全策略的强制访问控制机制( Mandatory Access Control ,MAC )。SELinux 已经被添加到各种 Linux 发行版中,其软件架构力图将软件执行与安全策略设计分离。本部件负责对文件、属性、服务等系统资源提供强制访问控制保护。提供neverallow规则限制系统中的高危操作,减少系统安全风险。

访问控制基本流程如下图所示:

1.1 整体架构

1.2 策略目录结构

OpenHarmony SELinux策略文件存放在//base/security/selinux_adapter/sepolicy/ohos_policy路径下,在该目录下按以下规范存放:

├── 子系统
│   └── 部件
│       ├── public
│       │   └── type1.te
│       ├── vendor
│       │   └── type2.te
│       └── system
│           └── type3.te

其中,系统相关策略存放在system目录下,芯片相关策略存放在vendor目录下,系统和芯片共用的策略存放在public目录下。

1.3 通用策略文件

通用策略文件,是指设备开发者进行SELinux策略配置时,涉及修改的文件。

1.4 基础策略文件

基础策略文件,是指SELinux基础框架的SELinux策略文件,一般不涉及修改。

1.5 SELinux模式开关

将镜像烧录到开发板上,开机,通过串口拿到 Shell ,在其中执行:

ls -lZ /         # 查看文件标签
ls -lLZ /        # 查看link源文件标签
ps -eZ           # 查看进程标签
setenforce 1     # 使能selinux强
最低0.47元/天 解锁文章
【鸿蒙南向开发】OpenHarmonySeLinux介绍
HarmonyOS_666的博客
08-04 1279
●如果你觉得这篇内容对你还蛮有帮助,我想邀请你帮我三个小忙:●关注小编,同时可以期待后续文章ing🚀,不定期分享原创知识。
【鸿蒙南向开发】OpenHarmonySELinux使用详解
HarmonyOS_666的博客
08-07 1724
1.SELinux简介 SELinux是Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统Linux操作系统的安全性,解决传统Linux系统中自主访问控制(DAC)系统中的各种权限问题(如root权限过高等)。这里举一个例子便于理解,假设系统中某个服务进程出现了一个漏洞,使得某个远程用户可以访问系统的敏感文件(如/etc/dev)。如果我们的Linux系统启用了SELinux,而查询SELinux策略得知,这个服务进程并不具备访问敏感文件(/etc/dev)的
OpenHarmony SELinux日志分析全攻略:从avc denied到策略配置
weixin_26905487的博客
04-10 354
本文详细解析OpenHarmony系统中SELinux日志分析方法,从avc denied日志结构解析到策略配置实战指南。通过四步定位法和TE规则语法精要,帮助开发者快速解决权限问题,提升系统安全性。内容涵盖日志收集技巧、策略编写规范及高级调试方法,是OpenHarmony开发者的必备参考。
OpenHarmony南向开发实战:模块使用-selinux
DMZDAMS的博客
06-30 1171
SELinux 已经被添加到各种 Linux 发行版中。其软件架构力图将软件执行与安全策略设计分离
SELinux入门:了解和配置SELinux
weixin_33701564的博客
05-31 1382
SELinux入门:了解和配置SELinux 几乎可以肯定每个人都听说过 SELinux (更准确的说,尝试关闭过),甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞,或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。 SELinux 与强制访问...
OpenHarmonySELinux介绍
Fengchao.Dai的博客
04-16 601
OpenHarmony SELinux设置
OpenHarmony子系统开发 - 安全(八)
__Benco的博客
04-02 1509
通用策略文件,是指设备开发者进行SELinux策略配置时,涉及修改的文件。文件名文件说明*.teSELinux策略文件,用于定义类型、配置allow策略、配置neverallow策略。实体文件标签映射文件,体现实体文件路径与标签的映射关系。虚拟文件标签映射文件,体现虚拟文件路径与标签的映射关系。应用标签映射文件,体现应用关键信息与应用进程标签、应用数据目录标签的映射关系。参数标签映射文件,体现参数与标签的映射关系。SA服务标签映射文件,体现SA服务与标签的映射关系。
OpenHarmony北向开发 SA服务SELinux权限配置一站式傻瓜式教程
她的吻让他
08-09 1772
SELinux是Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统Linux操作系统的安全性,解决传统Linux系统中自主访问控制(DAC)系统中的各种权限问题(如root权限过高等)。这里举一个例子便于理解,假设系统中某个服务进程出现了一个漏洞,使得某个远程用户可以访问系统的敏感文件(如/etc/dev)。
OpenHarmony-SELinux策略实战:SA服务安全配置指南
weixin_29230901的博客
03-03 236
本文详细介绍了在OpenHarmony系统中为新增SA服务配置SELinux策略的完整实战指南。通过分析avc日志、理解策略文件结构,并遵循从注册服务标签到编写进程域策略的全流程,帮助开发者解决服务调用失败问题,确保系统服务在强制访问控制环境下安全、稳定地运行。
OpenHarmony-SELinux策略配置实战:从SA服务到进程安全
最新发布
weixin_33743661的博客
04-15 259
本文详细介绍了在OpenHarmony系统中配置SELinux策略的实战方法,从SA服务的安全标签映射到进程通信策略配置。通过具体案例和调试技巧,帮助开发者解决常见的avc denied问题,确保系统服务的安全性和隔离性。文章还提供了进阶策略配置技巧,如属性文件控制和条件化策略实现。
OpenHarmony 启动流程优化
m0_70748458的博客
04-26 1745
openharmony支持dmesg打印kernel log和hilog 打印openharony自己的log,所以需要在开机时抓取这两种log来分析开机流程。openharony的开机流程可以参考
SELinux报错修改篇
liyanfei123456的博客
02-23 2996
2016-01-05 15:04 1110人阅读 评论(1) 收藏 举报 版权声明: 作者:alex wang 个人网站:http://cnskyline.tech/ 版权:本文版权归作者和CSDN共有 转载:欢迎转载,为了保存作者的创作热情,请按要求【转载】,谢谢 要求:未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任 I.S
[ohos] selinux
savior
11-17 276
单刷 /home/q00599926/workspace/rk3568/out/rk3568/packages/phone/images/system.img。快速验证selinux,编译及打包system镜像。全编user版本,从out取出版本,刷机。1、装串口驱动,网上搜一下就有。2、连接串口线,反三角。3、moba连接一下。
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7906
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
OpenHarmony SELinux深度解析与实践,Visual Studio主题、字体、快捷键、开发环境设置,自用。
he7ghjs5的博客
11-04 383
SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制(MAC)安全机制,通过定义安全策略对系统资源进行细粒度访问控制。OpenHarmonySELinux策略位于。
OpenHarmony子系统开发 - 安全(十一),OpenHarmony SELinux Check问题处理指导
__Benco的博客
04-03 1517
为规范OpenHarmony SELinux策略配置,针对neverallow检查无法覆盖到的场景和人工审核容易遗漏的问题,OpenHarmony提供了一套SELinux策略检查工具。
OpenHarmony SELinux实战:如何为新增SA服务配置安全策略(附避坑指南)
weixin_29219189的博客
03-21 191
本文详细介绍了在OpenHarmony中为新增SA服务配置SELinux安全策略的实战指南,包括策略设计、服务标签定义、进程域配置及常见问题排查。通过深入解析SELinuxOpenHarmony中的增强特性,帮助开发者避开90%的配置陷阱,确保系统服务的安全访问控制。
OpenHarmony Docker移植实践
1
02-25 1471
从操作系统诞生之日起,虚拟化技术就不断的演进与发展,结合目前云原生的发展态势,容器无疑是其中的重要一环。Docker是一个开源的软件项目,可以在Linux操作系统上提供一层额外的抽象,让用户程序部署在一个相对隔离的运行环境,并提供自动管理机制。需要额外指出的是,Docker并不等于容器(containers),Docker只是容器的一种,其他种类的容器还有Kata container,Rocket container等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

月上柳青

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值