selinux android 权限测试

最新推荐文章于 2024-10-10 08:52:25 发布
最新推荐文章于 2024-10-10 08:52:25 发布
阅读量3.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: se android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayu98020214/article/details/8594806
本文介绍如何通过SEAndroid的安全增强机制管理应用权限。演示了检查、拒绝及修改特定应用权限的过程,如WRITE_EXTERNAL_STORAGE,并展示了如何调整mac_permissions.xml来实现安装原本受限的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安装时的权限检测。

1.环境变量

























2.启动模拟器


























3.启动MACMode功能




4.启动adbshell, 并查看要安装apk要获得的权限。

5.查看apk是否可以通过安装权限。以com.dianxinos.powermanager.apk

为例。说明这个包在安装的时候将被拒绝。

public@public-Lenovo-Product:~/workspace/seandroid-4.2.1_r1/seandroid-4.2$setool --policy external/sepolicy/mac_permissions.xml/tmp/com.dianxinos.powermanager.apk




Defaultpolicy stanza used.


Policyblacklist rejected package com.dianxinos.powermanager


Deniedpermission android.permission.WRITE_EXTERNAL_STORAGE


Setof blacklisted permissions is:


android.permission.ACCESS_COARSE_LOCATION


android.permission.ACCESS_FINE_LOCATION


android.permission.AUTHENTICATE_ACCOUNTS


android.permission.CALL_PHONE


android.permission.CAMERA


android.permission.READ_LOGS


android.permission.WRITE_EXTERNAL_STORAGE




6.adb安装com.dianxinos.powermanager.apk

结果为安装失败。

public@public-Lenovo-Product:~/workspace/seandroid-4.2.1_r1/seandroid-4.2$adb install /tmp/com.dianxinos.powermanager.apk


4786KB/s (3313036 bytes in 0.675s)


pkg:/data/local/tmp/com.dianxinos.powermanager.apk


Failure[INSTALL_FAILED_POLICY_REJECTED_PERMISSION]


7.如果想要安装成功,就要在修改mac_permissions.xml文件。删除deny-permissionname="android.permission.WRITE_EXTERNAL_STORAGE"

<default>


<seinfovalue="default" />


<deny-permissionname="android.permission.ACCESS_COARSE_LOCATION" />


<deny-permissionname="android.permission.ACCESS_FINE_LOCATION" />


<deny-permissionname="android.permission.AUTHENTICATE_ACCOUNTS" />


<deny-permissionname="android.permission.CALL_PHONE" />


<deny-permissionname="android.permission.CAMERA" />


<deny-permissionname="android.permission.READ_LOGS" />


<deny-permissionname="android.permission.WRITE_EXTERNAL_STORAGE" />


</default>




8.把修改过的文件放到模拟器的/data/system

public@public-Lenovo-Product:~/workspace/seandroid-4.2.1_r1/seandroid-4.2$adb push external/sepolicy/mac_permissions.xml /data/system/


172KB/s (15136 bytes in 0.085s)



9.重启模拟器,用adb安装com.dianxinos.powermanager.apk

结果成功。

public@public-Lenovo-Product:~/workspace/seandroid-4.2.1_r1/seandroid-4.2$adb install /tmp/com.dianxinos.powermanager.apk


4814KB/s (3313036 bytes in 0.672s)


pkg:/data/local/tmp/com.dianxinos.powermanager.apk


Success




Android原生检测Selinux的三种方法
zhonglunshun的专栏
01-14 1861
本文介绍 3 种检测 Android 设备 SELinux 状态的方法, Java 层检测Selinux已经没有太多意义,因为不是很靠谱,随便一个hook代码就能绕过,所以我要告诉你如何在 C 层完成检测。这几种方法在效率和抵抗mock SELinux State 的技术方面都不相同,因此在使用之前你需要知道每种方法的背景及其局限性。
Android SELinux——上下文Context源码(十)
小旭的专栏
10-16 1295
通过前面的文章我们知道,SELinux 中的上下文(contexts)包含很多类型,这里我们就来看看Androd 源码中 上下文 SELinux Contexts 的代码结构。
SEAndroid策略分析
热门推荐
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
一文带你实现android获取检测Selinux
qq_53058639的博客
02-16 541
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。SELinux的软件设计架构是参照Flask,Flask是一种灵活的操作系统安全架构,并且在Fluke research operating system中得到了实现。Flask的主要特点是把安全策略执行代码和安全策略决策代码,划分成了两个组件。安全策略决策代码在Flask架构中称作Security Server。
selinux android setool 工具
xiayu98020214的专栏
02-04 2715
http://wenku.baidu.com/view/e77d19fc770bf78a65295465.html setool --build whitelist /tmp/com.dianxinos.powermanager.apk 0202044e0bf751300d06092a864886f70d0101050500306f310b300906035504061302434e3
linux检查SELinux状态,检查selinux状态的方法
weixin_39603588的博客
05-13 1269
检查selinux状态的方法: 来源于: How to Check whether SELinux is Enabled or Disabled (文档 ID 432988.1) selinux 有3种模式: Enforcing (or known as enabled), Disabled or Permissive. Permissive mode loads the SELinux soft...
详解Android Selinux 权限及问题
08-28
Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4中也有限制性地启用了这一...
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3594
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
Android SElinux认知与调试
u013391407的专栏
01-27 2348
Linux 内核资源访问控制分为 DAC(Discretionary Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类。 DAC 基于“用户-用户组-其他”的“读、写、执行”的权限检查,进程理论上所拥有的权限与执行它的用户的 权限相同,该管理过于宽松,如果获得 root 权限,可以在 Linux 系统内做任何事情。
Android SELinux——工作模式(二)
小旭的专栏
10-10 1273
SELinux 提供了三种不同的工作模式,每种模式都有其特定的目的和使用场景。这里我们就来介绍这三种模式的使用场景。
SELinux 案例 2
weixin_30764883的博客
04-25 209
普通进程权限白名单 sepolicy generate --application [-n NAME] [-u USER ]command [-w WRITE_PATH ] 转载于:https://www.cnblogs.com/xiaoxiaoleo/p/6762290.html
测试用例
weixin_43090420的博客
05-27 1274
测试用例 买手机,买电脑,要试用一下:开机,屏幕,运行速度, 内存大小,这就是生活中的测试用例! 定义:测试用例是为特定的目的而设计的一组测试输入,执行条件和预期的结果,以便测试是否满足某个特定需求。通过大量的测试用例来检验软件的运行效果,它是指导测试工作紧进行的依据。 1. 测试用例:举例说明1 买手机:按开机键,相当于输入来一组数据来测试,执行条件指的是开机的前提条件,比如是否有电;预期...
selinux-验证
vrix的专栏
09-01 1090
验证 SELinux Android 强烈建议原始设备制造商 (OEM) 全面测试SELinux 实现。制造商在实现 SELinux 时,应先为设备上需要测试的所有内容应用新政策。 应用新政策后,可以通过执行 getenforce 命令来确认 SELinux 在设备上的运行模式是否正确 该命令将会显示全局 SELinux 模式:强制或宽容。请注意,该命令只会显示全局 SE
SELINUX+PASSWD实战
qq_43681877的博客
01-18 4662
selinux学习+Passwd实战
android CTS SELinuxDomainTest# testInitDomain
kc58236582的博客
11-03 1971
Android CTS测试Fail项修改总结(四) Android5.1上的测试 1、android.security.cts.SELinuxDomainTest# testInitDomain fail 打印的log junit.framework.AssertionFailedError: Expected 1 process in SELinux domain "u:r:
linux——selinux
weixin_41789003的博客
04-27 362
一、selinux插件,是系统级别的防火墙设置 1、SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制,在某种程度上 , 它可以被看作是与标准权限系统并行的权限系 统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些 访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通...
flutter常遇问题
liuy_1314的博客
12-14 2702
一、使用adb 的usb真机调试,安装错误: Error: ADB exited with exit code 1 Performing Streamed Install Failure [INSTALL_FAILED_ABORTED: User rejected permissions] 解决方案: 1.手机开启开发者模式 2.从开发者模式的设置中,关闭,安装需要用户确认的选项: ...
adb: failed to install app-debug.apk: Failure [INSTALL_FAILED_ABORTED: User rejected permissions]
weixin_30664539的博客
08-19 9627
一、使用adb 的usb真机调试,安装错误: adb: failed to install app-debug.apk: Failure [INSTALL_FAILED_ABORTED: User rejected permissions] 用于拒绝安装: 解决方案: 1.手机开启开发者模式 2.从开发者模式的设置中,关闭,安装需要用户确认的选项: 结...
安卓报错 Failed to commit install session
weixin_43149049的博客
10-17 9496
出bug一般考虑最普通的因素,这里出现这个错误是因为用久了的数据线,在拿起手机的时候容易数据线的一些端口接触不良,从而导致数据线看起来插着,实际上没有完整的功能。
android selinux权限
最新发布
04-03
### AndroidSELinux 权限配置教程 #### 1. SELinux 基础概念 SELinux 是一种强制访问控制 (MAC) 安全机制,它补充了传统的基于用户 ID 和组 ID 的自主访问控制 (DAC)[^2]。在 Android 系统中,SELinux 提供了一种更细粒度的安全模型来保护设备免受潜在威胁。 当遇到 `permission denied` 错误时,通常是因为某些操作违反了 SELinux 的策略规则。这可能涉及文件、目录或其他资源的访问尝试被拒绝的情况[^5]。 --- #### 2. 配置 SELinux 权限时的关键步骤 ##### 2.1 查看日志并定位问题 要解决 SELinux 导致的权限问题,第一步是查看系统日志以获取详细的错误信息。可以通过以下命令捕获相关日志: ```bash dmesg | grep avc ``` 这些日志记录了哪些操作因 SELinux 被阻止以及具体的上下文信息。例如,如果某个二进制文件无法执行,则可能是由于其安全标签不匹配或缺少必要的权限[^4]。 ##### 2.2 使用 audit2allow 工具分析和生成新规则 为了快速修复缺失的权限,可以利用工具 **audit2allow** 自动生成所需的 policy 文件片段。具体流程如下所示: 1. 收集 AVC 拒绝消息; 2. 运行下面这条指令来自动生成对应的 rule: ```bash cat /path/to/denied_log.txt | audit2allow -M mymodule ``` 3. 将生成好的 module 加载至当前运行环境之中测试效果; 需要注意的是,这种方法虽然便捷高效,但也有可能引入新的安全隐患因此需谨慎对待新增加的内容是否合理合法合规[^1]。 ##### 2.3 手动调整 SEPolicy 规则 对于复杂场景或者不适合自动化的修改需求来说,还需要手动编辑 sepolicy 文件来进行精确控制。一般情况下需要遵循以下几个原则: - 添加适当类型的转换规则(type_transition); - 授权特定主体(subject) 对象(object) 实施动作(action); 示例代码展示如何允许某服务读取指定路径下的数据文件夹内容: ```sepol allow myservicedomain file:dir {read getattr}; allow myservicedomain file:file {open read write append lock ioctl}; ``` 完成编写之后记得重新编译整个 selinux framework 并刷入目标设备验证最终成果[^3]. --- #### 3. 特殊情况处理 – 关闭 Enforcing Mode 作为最后手段,在调试阶段也可以考虑暂时禁用 enforce mode 来绕过所有限制条件从而确认是否有其他因素干扰正常工作流。不过强烈建议仅用于短期排查目的而非长期解决方案因为这样会使系统暴露于极大风险之下失去应有的安全保障功能. 临时关闭方法如下: ```bash setenforce 0 ``` 永久更改则需要修改 `/sepolicy` 或者通过 OTA 更新推送更新后的版本给终端用户应用生效. --- ### 总结 通过对上述几个方面的深入探讨可以看出, 正确合理的设置 android 下面得 selinux 参数是一项既技术性强又责任重大的任务. 不但要求开发者具备扎实的操作系统理论基础还要熟悉实际产品架构特点才能做到游刃有余妥善处置各类突发状况.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值