當前位置：首頁 > 运维知识 > linux >内容正文

linux

SELinux与SEAndroid

發(fā)布時間：2025/3/8 linux 41 豆豆

生活随笔收集整理的這篇文章主要介紹了 SELinux与SEAndroid 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

SELinux則是由美國NSA（國安局）和一些公司（RedHat、Tresys）設(shè)計的一個針對Linux的安全加強系統(tǒng)。SEAndroid是Google在Android 4.4上正式推出的一套以SELinux為基礎(chǔ)于核心的系統(tǒng)安全機制。
由于Linux有多種發(fā)行版本，所以各家的SELinux表現(xiàn)形式也略有區(qū)別。具體到Android平臺，Google對其進行了一定得修改，從而得到SEAndroid。

在SELinux中，安全策略文件是最重要的。SELinux有自己的一套規(guī)則來編寫安全策略文件，這套規(guī)則被稱之為SELinux Policy語言.

SELinux是典型的MAC實現(xiàn)，對系統(tǒng)中每個對象都生成一個安全上下文(Security Context),每一個對象訪問系統(tǒng)的資源都要進行安全上下文審查。審查的規(guī)則包括類型強制檢測(type enforcement)，多層安全審查(Multi-LevelSecurity)，及基于角色的訪問控制(RBAC: Role Based Access Control)。
SELinux的整體結(jié)構(gòu)如下圖所示

由于Android系統(tǒng)有著獨特的用戶空間運行時，因此SELinux不能完全適用于Android系統(tǒng)。為此，NSA同Google一起針對Android系統(tǒng)，在SELinux基礎(chǔ)上開發(fā)了 SEAndroid。整體框架:

SEAndroid安全機制包含有內(nèi)核空間和用戶空間兩部分
- 內(nèi)核空間的selinux lsm module模塊負責內(nèi)核資源的安全訪問控制.
- sepolicy描述的是資源安全訪問策略。系統(tǒng)在啟動的時候，init進程會將內(nèi)核空間安全訪問策略加載內(nèi)核空間的selinux lsm模塊中去，而用戶空間的安全訪問策略則直接保存到普通文件中.
- 用戶空間的SecurityServer一方面需要檢索用戶空間的安全策略，另一方面也需要檢索內(nèi)核空間的安全策略.
- 用戶空間的libselinux庫封裝了對SELinux文件系統(tǒng)接口的讀寫操作。用戶空間的SecurityServer訪問內(nèi)核空間的selinux lsm模塊時，都是間接地通過libselinux進行的。用戶空間的SecurityServer檢索用戶空間的安全策略時，同樣也是通過 libselinux庫來進行的.
SELinux 給Android 帶來下面影響：
- 嚴格限制了ROOT權(quán)限，以往ROOT“無法無天”的情況將得到極大的改善。
- 通過SELinux 保護，降低系統(tǒng)關(guān)鍵進程受攻擊的風險，普通進程將沒有權(quán)限直接連接到系統(tǒng)關(guān)鍵進程。
- 進一步強化APP的沙箱機制，確保APP難以做出異常行為或者攻擊行為。
- 將改變APP 一旦安裝，權(quán)限就已經(jīng)頂死的歷史，APP權(quán)限動態(tài)調(diào)整將成為可能

以上是生活随笔為你收集整理的SELinux与SEAndroid的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。