Android权限问题

最新推荐文章于 2023-03-01 16:52:54 发布
最新推荐文章于 2023-03-01 16:52:54 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcgrady_tracy/article/details/53217982
版权
SELinux是什么?即Security-Enhanced Linux,是由美国国家安全局(NSA)发起,基于Linux开发的一个安全增强系统,旨在提高系统的安全性。

而SEAndroid基于SELinux,在Android5.0上被正式启用。

SELinux有3种操作模式,分别是Disabled、Permissive、Enforcing,在android中可以通过输入adb命令getenforce来获取当前系统的SELinux状态。Disabled表示SELinux是被禁止的,Permissive只发出警告但不拒绝访问,而Enforcing在发出警告的同时会拒绝访问。自Android5.0开始,默认模式为Enforcing,很多时候会带来一些权限问题。

那么怎么来确认是不是SELinux带来的权限问题呢?当Kernel log出现"avc: denied"这些字段时,那么这些问题都是这一类问题。

如何进一步确认呢,可以输入adb命令setenforce 0来改变当前SELinux的工作模式为Permissive,然后再重启相关服务,看是否还有这种问题,如果没有,说明的确是SELinux带来的问题。

如何编写te文件呢?

假设我有一个服务key,需要读取/dev/input/event0这个input设备,代码如下: 
int main(void)
{
	int fd;
	struct input_event event;

	fd = open("/dev/input/event0", O_RDONLY);
	if (fd < 0) {
		exit(1);
	}

	while (1) {
		if (read(fd, &event, sizeof(struct input_event)) > 0) {
			if (event.type == EV_KEY) {
				printf("key %d %s\n", event.code,
						event.value ? "down" : "up");
			}
		}
	}
}

最终这段代码将被编译生成一个bin文件,在/system/bin/目录下。

那么首先是需要在init.rc里面启动这个服务:

service key /system/bin/key
	class core

服务启动之后,我们还需要为改服务创建一个domain。 
# key.te
type key, domain;
type key_exec, exec_type, file_type;

init_daemon_domain(key)

修改file_contexts,将key加入到新创建的domain中。 
/system/bin/key u:object_r:key_exec:s0

我们可以通过ls -Z命令查看一下/system/bin/key文件的安全上下文: 
-rwxr-xr-x root     shell             u:object_r:key_exec:s0 key

现在key这个service还不能访问event0这个设备,甚至都影响到了service的启动,提示的错误信息如下: 
avc: denied { search } for pid=269 comm="key" name="input" dev="tmpfs" ino=176 scontext=u:r:key:s0 tcontext=u:object_r:input_device:s0 tclass=dir permissive=0

这类问题就是SELinux权限问题,那么怎么添加权限呢?

本来我们可以通过ps -Z命令来查看key这个service的安全上下文,但是现在由于权限问题service这个服务都不能启动,只能分析一下错误log了。

根据log来看,安全上下文为"u:r:key:s0"这个进程对安全上下文为"u:object_r:input_device:s0"的文件没有访问权限,我们通过ls -Z命令看一下/dev/input/event0这个文件: 
crw-rw---- root     input             u:object_r:input_device:s0 event0

它的安全上下文的确为"u:object_r:input_device:s0",再结合代码来看,也的确是这样的,再通过log来看,是没有search权限,那么我们把这个权限先加进去(加入到key.te文件中): 
allow key input_device:dir { search };

Ok,报的没有search权限问题没有,但是又报了新的权限问题: 
avc:  denied  { read } for  pid=270 comm="key" name="event0" dev="tmpfs" ino=2352 scontext=u:r:key:s0 tcontext=u:object_r:input_device:s0 tclass=chr_file permissive=0

也的确是这样,代码里面对event0设备还有open、read操作,报权限问题是很正常的,加入open、read权限: 
allow key input_device:chr_file { open read };

没有再报权限问题了,key这个service也能够启动了,通过ps -Z命令可以看到这个service的安全上下文的确为"u:r:key:s0": 
u:r:key:s0                     root      272   1     /system/bin/key

自己手动编写te语句有点麻烦,没关系,可以根据log然后通过工具自动生成te语句,这个工具就是audit2allow。

在ubuntu上,输入下面的命令来安装这个工具: 
sudo apt-get install policycoreutils

那么这个工具怎么使用呢,例子: 
adb shell dmesg | audit2allow

或者我还可以把前面的抓的错误信息单独拿出来,然后通过audit2allow工具来生成: 
echo "avc:  denied  { read } for  pid=270 comm="key" name="event0" dev="tmpfs" ino=2352 scontext=u:r:key:s0 tcontext=u:object_r:input_device:s0 tclass=chr_file permissive=0" | audit2allow

生成的te语句如下: 
#============= key ==============
allow key input_device:chr_file read;

语句是能够生成的,只是不全,手动补全就可以了。


参考:
https://source.android.com/security/selinux/validate.html
https://source.android.com/security/selinux/device-policy.html

mcgrady_tracy
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
android 权限问题
11-14
android 权限问题,能解决一般的权限问题,不能获得root 权限
Android安全策略SELinux
最新发布
Android8.x和Android9.x平台user版本打开UART输出并支持控制台输入和user版本adb root的方法
12-12 182
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),
2020-09-15
qq_39790702的博客
09-15 128
2020/06/14 Selinux模块 这周在看论文《基于密度聚类的Android平台异常入侵检测系统的研究》,里面提到了Selinux。这是2010年Shabtai等人提出的针对Android平台的入侵检测框架,并在Android系统上实现了一种更为安全的访问控制策略SElinux. SElinux的作用: 作为Linux内核模块的一个安全子系统,SELinux的最大作用就是最大限度地减小系统中服务进程可访问的资源。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kern
SeLinux 权限配置技巧
xiaowang_lj的博客
08-22 1501
需要在 system\sepolicy\public\ioctl_defines 下查找 ioctcmd 对应的类型 ,先声明ioctl再声明ioctl的子类型。配置格式:allow scontext tcontext。tclass {缺少的权限};
Android 修改 SELinux avc 权限的方法
jppipai的博客
03-01 4008
Android 系统的开发及适配过程中,我们常常需要对 SELinux avc 权限进行修改
Android系统10 RK3399 init进程启动(二十四) Selinux三种模式
ldswfun的专栏
05-18 2526
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统:Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux工作的三种模式,并知道如何切换三种模式。 一, Selinux三种模式介绍 selinux一般有三种模式, DisabledPermissive 和 Enforcing,SEAndroid是基于SElinux, 所以也是一样有这三种模式。 1, Disab...
Android】SElinux(Security-Enhanced Linux)
weixin_41028159的博客
11-25 2795
作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。
android SELINUX规则分析和语法简介
猿氏悟语
04-15 9352
SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。 在android上面,adb shell之后进入手机,ps -Z可以查看当前进程所拥有的selinux的权限
Android动态权限
08-13
Android动态权限申请框架
Android中运行权限
07-02
通过一个打电话的小例子来讲解Android6.0运行权限,方便大家理解Android6.0运行权限
详解Android Selinux 权限问题
08-28
本篇文章主要介绍了详解Android Selinux 权限问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android 定位权限申请
09-14
在6.0之后的权限申请可以使用类库进行,但是依然使用eclipse开发的工作者,在申请权限的时候可以使用上述的代码
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 4834
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
如何设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理?
热门推荐
老雷的Android学习
09-11 2万+
[Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc:  denied" 或者"avc: denied" 如一行LOG: [ 17.285600].(0)[503:idmap]type=1400 audit(1
Android 9.0 SELinux avc dennied权限问题解决方法
wq892373445的博客
09-15 1610
概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce (得到结果为.
工具audit2allow自动生成Selinux策略语句
weixin_40366279的博客
09-24 1886
1.audit2allow的安装: #sudo apt install policycoreutils 2.audit2allow的用法 (1)抓取和权限相关的log指令,并重定向保存至文件(假如是:avcTest.txt): #adb logcat -b all | grep "avc" > ./avcTest.txt (2)将保存相关的log的文件复制到ubuntu里面,使用命令: #audit2allow -i avcTest.txt-o avc.te 3.打开生成的avc.te文件,根据.
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1054
使用audit2allow工具来根据avc log生成selinux规则
Android SELinux
技术是用来解决问题的
12-21 2342
架构 从上层到驱动层的调用流程,但是我们重点关注sContext: 注: file_contexts //系统中所有file_contexts安全上下文 seapp_contexts //app安全上下文 property_contexts //属性的安全上下文 service_contexts //service文件安全上下文 genfs_contexts //虚拟......
android kl文件
Tracy Mcgrady的专栏
08-08 1万+
android kl(key layout)文件是一个映射文件,是标准linux与anroid的键值映射文件,kl文件可以有很多个,但是它有一个使用优先级:/system/usr/keylayout/Vendor_XXXX_Product_XXXX_Version_XXXX.kl /system/usr/keylayout/Vendor_XXXX_Product_XXXX.kl /system/u
android 8.0相机权限问题
03-31
Android 8.0及以上版本中,应用需要在运行时请求相机权限。如果应用未获得相机权限,则无法访问相机功能。以下是解决方法: 1. 弹出请求权限对话框:应用可以使用系统提供的权限请求对话框来请求相机权限。用户可以选择允许或拒绝权限请求。 2. 检查权限状态:应用可以使用checkSelfPermission()方法来检查相机权限状态。如果应用已获得相机权限,则可以使用相机功能。如果应用未获得相机权限,则需要请求权限。 3. 处理权限请求结果:当用户响应权限请求对话框时,应用需要处理请求结果。可以使用onRequestPermissionsResult()方法来处理权限请求结果。如果用户授予相机权限,则应用可以使用相机功能。如果用户拒绝相机权限,则应用需要处理拒绝结果。 总之,要在Android 8.0及以上版本中使用相机功能,应用需要请求相机权限,并在运行时处理权限请求结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值