S010SEAndroid中相关命令(一)seinfo

类型强制的安全上下文(Type Enforcement Security Context)

安全上下文是一个简单的、一致的访问控制属性,在SELinux中,类型标识符是安全上下文的主要组成部分,由于历史原因,一个进程的类型通常被称为一个域(domain),"域"和"域类型"意思都一样,我们不必苛刻地去区分或避免使用术语域,通常,我们认为【域】、【域类型】、【主体类型】和【进程类型】都是同义的,即都是安全上下文中的“TYPE”。

安全上下文格式

USER:ROLE:TYPE[LEVEL[:CATEGORY]]

LEVEL和CATEGORY:定义层次和分类,只用于mls策略中

• LEVEL:代表安全等级,目前已经定义的安全等级为s0-s15,等级越来越高
• CATEGORY:代表分类,目前已经定义的分类为c0-c1023

Android Selinux命令

SELinux的策略与规则管理:seinfo,sesearch,setsebool,semanage
一个主体进程能否读取到目标文件资源的重点是在于SELinux的策略以及策略内的各项规则,然后再通过该规则的定义去处理各项目标文件的安全上下文,尤其是“类型”部分。

seinfo策略查阅

策略提供多少相关的规则呢,用seinfo查阅。

#seinfo  --help
Usage: seinfo [OPTIONS] [EXPRESSION] [POLICY ...]

Print information about the components of a SELinux policy.

EXPRESSIONS:
  -c[NAME], --class[=NAME]         print object classes 列出所有的客体限制类别类
  --sensitivity[=NAME]             print sensitivities  打印安全级别
  --category[=NAME]                print categories     分类
  -t[NAME], --type[=NAME]          print types (no aliases or attributes) 包含的所有的type
  -a[NAME], --attribute[=NAME]     print type attributes 所有的属性
  -r[NAME], --role[=NAME]          print roles
  -u[NAME], --user[=NAME]          print users
  -b[NAME], --bool[=NAME]          print conditional booleans  列出与 httpd 有关的规则 (booleans) 有哪些?  seinfo -b | grep httpd
  --constrain                      print constrain statements  显示系统中的约束。但是它立刻返回的是完全展开的输出,使用的是数学表达式上的语法
  --initialsid[=NAME]              print initial SIDs
  --fs_use[=TYPE]                  print fs_use statements
  --genfscon[=TYPE]                print genfscon statements
  --netifcon[=NAME]                print netif contexts
  --nodecon[=ADDR]                 print node contexts
  --permissive                     print permissive types
  --polcap                         print policy capabilities
  --portcon[=PORT]                 print port contexts
  --protocol=PROTO                 specify a protocol for portcons
  --all                            print all of the above
OPTIONS:
  -x, --expand                     show more info for specified components
  --stats                          print useful policy statistics
  -l, --line-breaks                print line breaks in constrain statements
  -h, --help                       print this help text and exit
  -V, --version                    print version information and exit

For component options, if NAME is provided, then only show info for
NAME.  Specifying a name is most useful when used with the -x option.
If no option is provided, display useful policy statistics (-s).

The default source policy, or if that is unavailable the default binary
policy, will be opened if no policy is provided.

seinfo [-Atrub]
  --all:列出SELinux的状态、规则布尔值、身份识别、角色、类型等所有信息
  -t:列出SELinux所有类型(type)的种类
  -r:列出SELinux所有角色(role)的种类
  -u:列出SELinux所有身份识别(user)的种类
  -b:列出所有规则的种类(布尔值)

参考链接

seinfo

你可能感兴趣的:(S010SEAndroid中相关命令(一)seinfo)