App添加Selinux权限问题

最新推荐文章于 2024-03-07 14:21:03 发布
最新推荐文章于 2024-03-07 14:21:03 发布
阅读量6.6k 收藏 11
点赞数
分类专栏: framework

一、

android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。

 

本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。

遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,

Command:

cat /proc/kmsg | grep avc 或 dmesg | grep avc

解决原则是:缺什么补什么,一步一步补到没有avc denied为止。

 

下面给出四个案例:

 

1.

 audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

 

分析过程:

缺少什么权限:      { write }权限,

谁缺少权限:        scontext=u:r:kernel:s0,

对哪个文件缺少权限:tcontext=u:object_r:block_device

什么类型的文件:    tclass=blk_file

 

解决方法:kernel.te

allow kernel block_device:blk_file write;

 

2.

audit(0.0:53): avc: denied { execute } for path="/data/data/com.mofing/qt-reserved-files/plugins/platforms/libgnustl_shared.so" dev="nandl" ino=115502 scontext=u:r:platform_app:s0 tcontext=u:object_r:app_data_file:s0 tclass=file permissive=0

 

解决方法 :platform_app.te

allow  platform_app  app_data_file:file execute;

 

3.

audit(1444651438.800:8): avc: denied { search } for pid=158 comm="setmacaddr" name="/" dev="nandi" ino=1 scontext=u:r:engsetmacaddr:s0 tcontext=u:object_r:vfat:s0 tclass=dir permissive=0

 

解决方法 :engsetmacaddr.te

allow  engsetmacaddr  vfat:dir  { search write add_name create }; 或者

allow  engsetmacaddr   vfat:dir  create_dir_perms;

 

 

4.

audit(1441759284.810:5): avc: denied { read } for pid=1494 comm="sdcard" name="0" dev="nandk" ino=245281 scontext=u:r:sdcardd:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

 

解决方法 :sdcardd.te 

allow  sdcardd  system_data_file:dir  read;  或者
allow  sdcardd  system_data_file:dir  rw_dir_perms

(rw_dir_perms包含read write,可以参考external/sepolicy/global_macros的定义声明)

 

 

通过这四个案例,我们可以总结出一般规律,

以第4个为例

允许某个scontext对某个tcontext拥有某个权限

我们的log重新排列一下,

scontext=u:r:sdcardd

tcontext=u:object_r:system_data_file:s0

tclass=dir

avc: denied { read }

 

得到万能套用公式如下:

在scontext所指的te文件中加入类似如下内容:

 

以上以.te为后缀的文件都在external/sepolicy/或者device/softwinner/xxxx-commm/sepolicy/下,修改之后,都要重刷boot.img。

 

补充说明:

1. 有时候avc denied的log不是一次性显示所有问题,要等你解决一个权限问题之后,才会提示另外一个权限问题。比如提示确实某个目录的read权限,你加入read之后,再显示缺少write权限,要你一次次一次试,一次一次加。这时你可以简单粗暴写个rw_dir_perms,这个权限包含了{open search write ...}等等很多权限。

可以查看external/sepolicy/global_macros来了解更多权限声明;

 

2. 要加入的权限很多时,可以用中括号,比如

allow engsetmacaddr  vfat:dir { searchwrite add_name create};

 

3. 遇到问题不确定是否由于selinux问题造成,可先在adb shell 下,输入setenforce 0,让selinux失效,看是否问题还出现。以此可以澄清是非selinux造成的问题。

 

二、

以上基本是对已经存在的进程增加权限,但对第三方进程改如何新增一个全新的te文件并赋予权限呢?

以写mac地址的setmacaddr执行文件为例(这个执行档android原生不存在,自行添加的):

 

1. 在external/sepolicy/file_contexts中,参考其他进程声明一个:

/system/bin/install-recovery.shu:object_r:install_recovery_exec:s0

/system/bin/dex2oat    u:object_r:dex2oat_exec:s0

/system/bin/patchoat   u:object_r:dex2oat_exec:s0

/system/bin/setmacaddru:object_r:engsetmacaddr_exec:s0

指定setmacaddr的路径,并指定一个名字,一定要以_exec结尾

 

2.参考其他文件在external/sepolicy/ 创建engsetmacaddr.te文件,内容如下:

type engsetmacaddr, domain;

type engsetmacaddr_exec, exec_type,file_type;

init_daemon_domain(engsetmacaddr)


allow engsetmacaddr  vfat:dir { search write add_name create};
allow engsetmacaddr  vfat:file { create read write open };
allow engsetmacaddr  engsetmacaddr:capability dac_override;
allow engsetmacaddr  shell_exec:file { execute read openexecute_no_trans};
allow engsetmacaddr  system_data_file:dir { write add_name remove_name };
allow engsetmacaddr  system_data_file:file { create execute_no_trans writeopen setattr};

allow engsetmacaddr  system_file:file{ execute_no_trans};

以上赋予的权限全部是根据avcdenied的log缺什么一步一步补什么来的。

 

betterAndroider
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解Android Selinux 权限问题
08-28
本篇文章主要介绍了详解Android Selinux 权限问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【Android 逆向】selinux 进程保护 ( selinux 进程保护 | 宽容模式 Permissive | 强制模式 Enforcing )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-22 3957
一、selinux 进程保护、 二、宽容模式与强制模式、
Android系统SELinux详解
u010345983的博客
10-24 543
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
Android Selinux详解[一]---整体介绍
最新发布
weixin_41028555的博客
03-07 1054
Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。ELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。下面大概介绍一下工作中经常遇到的Selinux相关知识。
在android系统增加守护进程SELINUX权限,将应用程序APK的shell命令发送给LINUX,实现系统操作
漂流瓶の海岸
10-29 1585
背景 最近项目有个需求,需要实现扫描并播放局域网的视频。局域网的视频通常是使用smb协议的samba文件夹。我们的产品是机顶盒,基于android R以及android Q。 方案设计 1,在应用层做一个APK,作为client。实现局域网samba文件夹的扫描功能,并把文件夹的IP地址,文件夹路劲等,以及准备mount的目录,组合成相关的shell命令,依次通过socket发送给守护进程nerccmd。 2,在机顶盒系统增加一个守护进程nerccmd,这个守护进程配置足够的selinux权限
selinux限制linux程序运行,SELinux进阶篇 应用目标策略管理非限制进程和用户
weixin_30895059的博客
05-06 381
非限制的进程运行在非限制域中。比如,init进程运行在非限制的initrc_t域中,非限制的kernel进程运行在kernel_t域中,非限制的用户运行在unconfined_t域中。对于非限制的进程SELinux策略规则仍然适用...一、管理非限制进程非限制的进程运行在非限制域中。比如,init进程运行在非限制的initrc_t域中,非限制的kernel进程运行在kernel_t域中,非限制的...
Android安全策略SELinux
qq_27672101的博客
08-01 9518
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android 6.0打开串口返回-1问题
liguoz的精神家园
07-14 2354
Android 6.0打开串口返回-1问题 type=1400 audit(0.0:17): avc: denied { read write } for name="ttyS2" dev="tmpfs" ino=4332 scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:rf_ttys2_dev:s0 tclass=chr_
qt5.0串口写数据返回为-1的问题
日晞Pisces的专栏
05-10 3006
开发环境是vs2012,qt5.2.0版本。通过串口通信与步进电机控制器进行交互。步进电机连接两个电机驱动器,步进电机控制器控制两个电机运动,正反转,回零,运行到一定位置,控制输入输出停等基本操作。为了调整镜头和相机的距离,从而调整相机的放大倍率。两个电机只能分时运动,两个命令直接需要加延时,全部停除外。        遇到两个问题,一个是串口开始写数据返回为-1的问题,另一个是由于YL1和YL
Android App Selinux seapp权限详解
求变,从思想开始
05-07 8938
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 2586
APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题
Android SeLinux 权限添加
Android
09-30 2621
SeLinux 权限添加 调试时,可以关闭selinux 权限 setenforce 0 搜索avc,如下: type=1400 audit(0.0:292): avc: denied { read write } for name=“ttyHSL2” dev=“tmpfs” ino=11380 scontext=u:r:system_app:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0 system_app 中 devic
访问文件的SELinux权限添加
01-20
这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件...
selinux 权限文档
09-11
SEAndroid是SELinux in Android的缩写。SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA)...
selinux权限修改.pdf
03-26
如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。 遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc ...
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
selinux问题
01-05
selinux问题
SELinux权限 ObjectClassesPerms
08-14
SELinux权限 ObjectClassesPerms
selinux权限说明
12-30
关于android5.1权限管理说明文档
安卓添加selinux权限怎么不影响cts问题
06-07
可以使用以下命令将 SELinux 权限添加到设备上: ``` adb shell sepolicy-inject -s <source_context> -t <target_context> -c <class> -p ``` 其中,`<source_context>` 是源上下文,`<target_context>` 是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值