005. Как устроен SELinux в Android - Виктор Лапин
Вставка
- Опубліковано 29 вер 2024
- Слайды: yadi.sk/i/pI0U...
Я расскажу о том, как устроен механизм безопасности SELinux, каким образом с ним может взаимодействовать разработчик, как писать свои политики безопасности и как научить ОС использовать свою политику для отдельно взятого системного приложения.
Бородатый дядька рассказывает о безопасности андроида в шуточной форме
Вот это я понимаю контент
Ооочень интересно как обрабатываются политики, вот например что будет если задать
/sbin(/.*)? u:object_r:rootfs:s0
/sbin/busybox u:object_r:toolbox_exec:s0
/sbin/sh u:object_r:shell_exec:s0
В file_contexts.bin?
//Естесственно, что rootfs,toolbox_exec и shell_exec присутствуют в нативных политиках.
Селинукс создан что бы вставлять лишние палки в колёса рут пользователям и не только.
Именно из-за SELinux в Android нельзя нормально проверить права доступа к файлам и папкам, вызывая метод canRead() или canWrite() у объекта File. Поскольку в этом случае проверяются только права DAC, и даже результат true в этом случае не будет означать, что запись на SD-карту, например, разрешена (canWrite() даст true, а при попытке записать файл, получишь EACCES). В API 26 добавили класс Files, в котором есть похожие статические методы, которые выдают результат с учётом прав SELinux, но в API
Очень понравилось, спасибо Викрору!
Я один слышу мисье линукс, а не съелинукс? )
Уваж&респектуха!
У нас не все хорошо с безопасностью. Вирус может засрать все устройство, а мы не можем ничего. Это называется беспомощность.