Android SELinux avc dennied权限问题解决方法

最新推荐文章于 2024-08-15 13:24:05 发布
最新推荐文章于 2024-08-15 13:24:05 发布
阅读量9w 收藏 298
点赞数 65
文章标签: SElinux SEAndroid 权限 Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tung214/article/details/72734086
版权
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。

1. 概述

SELinuxGoogleandroid 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。

然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%SELinux权限问题。

2. 调试确认SELinux问题

为了澄清是否因为SELinux导致的问题,可先执行:

setenforce 0 (临时禁用掉SELinux

getenforce  (得到结果为Permissive)

如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。

遇到权限问题,在logcat或者kernellog中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破:

cat /proc/kmsg | grep avc 

dmesg | grep avc

例如:

audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

可以看到有avc denied,且最后有permissive=0,表示不允许。

3. 具体案例分析

解决原则是缺什么权限补什么,一步一步补到没有avc denied为止。

解决权限问题需要修改的权限文件如下位置,以.te结尾

AAndroid/devicesoftwinner/astar-common/sepolicy/*.te

BAndroid/external/sepolicy/*.te

其中,A是对Boverlay(覆盖),能在A修改的尽量在A修改,尽量避免修改B,修改B可能会导致CTS fail问题,修改A不会影响CTS测试。

(如果不需要深入了解,请直接跳到万能公这一章阅读更简洁)

下面给出四个案例:

案例1
最低0.47元/天 解锁文章
蓝宝王的专栏
关注
(MTK)java文件添加简单接口并配置相应的SELinux avc 权限笔记
weixin_48495360的博客
08-06 1040
android 中常见的关于selinux权限添加的相关案例步骤,比较详细,仅供大家参考
详解Android Selinux 权限问题
08-28
本篇文章主要介绍了详解Android Selinux 权限问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限
Android系统和开发--安全性和权限管理 SELinux 策略 安全架构
最新发布
chenhao0568的专栏
08-15 1016
学习android权限知识 SElinux chmod -R 777 ./ setenforce 0 adb root su fastboot oem at-unlock-vboot adb disable-verityAndroid系统是基于Linux内核构建的,因此它继承了Linux的权限管理机制。Android应用需要通过声明权限来访问系统的某些功能(如摄像头、存储、位置等)。开发者在中声明权限,用户在安装应用时或者运行时可以授予或拒绝这些权限。简介: 是一个用于修改文件或目录权限的命令。含义:注意
android selinuxavc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 530
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
android 10 修改节点默认权限
a546036242的博客
07-21 1708
第一种方式: 在目录:/system/core/rootdir/init.rc on init ... chmod 0666 “文件路径" ... 第二种方式: 1.在目录:/system/core/rootdir/ueventd.rc 添加: /dev/ttyS2 0666 root root /dev/ttyS3 0666 root root /dev/lgc_lcd 06...
如何设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理?
老雷的Android学习
09-11 2万+
[Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc:  denied" 或者"avc: denied" 如一行LOG: [ 17.285600].(0)[503:idmap]type=1400 audit(1
avc: denied
u010117864的专栏
05-21 1846
seLinux问题,待续
linux文件组
qq_34250794的博客
01-08 2761
linux文件组 avc: denied { dac_read_search } for capability=2 scontext=u:r:xxx:s0 avc: denied { dac_override } for capability=1 scontext=u:r:xxx:s0 tcontext=u:r:xxx:s0 tclass=capability permissive=0 1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。 2、我们可以查看需要访
linux文件组 avc: denied { dac_read_search } for capability=2
xiaowang_lj的博客
10-07 997
1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。当前运行的进程的UID很多样,root,system,radio,u0_a*等等,通过”ps -e” 可以看到,Android系统中存在很多User。输入 上面的命令查看 android.xxxtest 进程的信息。将我们的service 在group中添加需要的组即可。其中前缀为u0_a代表的是APP进程的UID。可以看到9997 是everybody 组。首先查找进程的id号,这里是7867。
Android avc: denied 深入沟兑01(ioctl)
小猪六月的博客
04-09 2014
1, ioctlcmd & ioctl avc: denied { ioctl } for comm="bmpdump" path="socket:[159003]" dev="sockfs" ino=159003 ioctlcmd=0x8946 scontext=u:r:unlogger_bmpdump:s0 tcontext=u:r:unlogger_bmpdump:s0 tclass=unix_dgram_socket permissive=0 04-08 13:45:44.194 ...
Android SeLinux权限问题解决方法
qq_41072096的博客
07-09 679
系列文章目录 Android SeLinux权限问题解决方法 文章目录系列文章目录1. 确认 seLinux导致权限问题1.1 标志性log 格式:1.2 举例:1.3 方法1:adb在线修改1.4 方法2: 从kernel中彻底关闭 (用于开机初始化时的seLinux权限问题,要重编bootimage)2. 在sepolicy中添加相应权限2.1 修改依据:2.2 修改步骤:2.3 按如下格式在该文件中添加:2.4 举例3. 添加权限后的neverallowed冲突3.1 编译报错:3.2 原因:
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3237
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
avc: denied SELinux权限问题解决
Haomione的博客
03-31 6845
avc: denied SELinux权限问题解决
avc: denied 权限问题
热门推荐
Venus 的博客
09-28 2万+
avc:denied 有些时候在eng版本会出现类似错误,可能导致在user版本无法使用: 1)avc: denied { getattr } for path=”/sbin/cbd” dev=”rootfs” ino=1182 scontext=u:r:cbd:s0 tcontext=u:object_r:rootfs:s0 tclass=file permissive=0 2)avc: ...
Android Debug: avc denied 已存在的目录不能访问
04-24 812
scontext指的是域,对应的是te文件 上面报错这条对应te文件是untrusted_app.te, scontext全写是source_type context;tcontext指的是目标类型,上面报错这条对应的是目标类型system_file,tcontext全写是target_type context;denied后面{}里的是要执行的动作,比如append,open,execmod,link等等。tclass指的是类别,上面报错这条对应的是类别是file,源类型 目标类型:访问类别 {权限};
Android11 SELinuxavc:denied { read } for name=“cache“ dev=“dm-4“ ino=16 scontext=u:r:system_app等报错
lwz的博客
09-08 3153
(1) avc: denied { read } for name="cache" dev="dm-4" ino=16 scontext=u:r:system_app:s0 tcontext=u:object_r:cache_file:s0 tclass=lnk_file permissive=0 分析过程: 缺少什么权限: { read }权限, 谁缺少权限: scontext=u:r:system_app:s0 对哪个文件缺少权限:tcontext=u:obje...
avc:denied相关总结
c657674129的博客
02-24 1524
转载地址:https://www.2cto.com/kf/201611/562711.html
android selinux权限设置
05-20
SELinuxSecurity-Enhanced Linux)是一种强制访问控制机制,它可以帮助你保护 Android 系统的安全性。在 Android 中,SELinux 有三种模式:enforcing(强制模式)、permissive(宽容模式)和disabled(禁用模式)。其中,enforcing 模式是最安全的,permissive 模式可以帮助你诊断问题,disabled 模式则完全关闭了 SELinux 的保护机制。 如果你需要修改 SELinux权限设置,可以按照以下步骤进行操作: 1. 首先,你需要将设备的开发者选项打开。在 Android 设备上,你可以通过进入“设置”应用,然后点击“关于手机”来找到“版本号”并连续点击它七次,即可开启开发者选项。 2. 接下来,在开发者选项中找到“Root访问权限”或“Root权限”,并将其打开。 3. 下载并安装一个 SELinux 管理工具,比如 SELinuxModeChanger 或 SELinux Toggle。 4. 打开 SELinux 管理工具,然后选择你想要的 SELinux 模式。如果你想要开启 enforcing 模式,你需要确保你的设备已经 root,并且你的 ROM 已经支持 SELinux。 5. 点击“应用”或“保存”按钮,然后重启你的设备。 请注意,修改 SELinux权限设置可能会影响你的设备的稳定性和安全性。如果你不确定自己在做什么,建议不要进行修改
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值