init execute_no_trans avc报错

已于 2022-01-26 15:37:53 修改
阅读量2.5k 收藏 5
点赞数
分类专栏: android 文章标签: selinux android
于 2021-05-13 16:55:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SHK242673/article/details/116756451
版权

目前要在开机启动一个服务,但是通过log分析bin启动异常,分析如下:

1. 要新建对应的te文件,比如containerd.te

type containerd, coredomain, domain;
type containerd_exec, system_file_type, exec_type, file_type;


init_daemon_domain(containerd)

2. 在需要权限的地方添加权限,比如在init.te中添加对应权限

allow init containerd_exec:file { open read getattr execute };

3.  在file_contexts中制定bin对应的权限

/system/bin/containerd          u:object_r:containerd_exec:s0

在上述都ok情况下,还是报下面编译错误:

avc: denied { execute_no_trans } for comm="init" path="/system/bin/containerd" dev="dm-4" ino=1333 scontext=u:r:init:s0 tcontext=u:object_r:containerd_exec:s0 tclass=file permissive=0

1. 类型已经允许转换了,通过init_daemon_domain实现;

2. 排查启动service的地方,rc中发现其中的标签还是init,换成新建的lable即可,containerd

老的报错的:

service containerd /system/bin/containerd
    class main
    user root
    group root
    socket containerd stream 0660 root system
    seclabel u:r:init:s0

新的:

service containerd /system/bin/containerd
    class main
    user root
    group root
    socket containerd stream 0660 root system
    seclabel u:r:containerd:s0

另外由于基于socket通信,要新建containerd_socket类型,并且在file_contexts中添加

file.te:   type containerd_socket, file_type, coredomain_socket;

file_contexts : /dev/socket/containerd          u:object_r:containerd_socket:s0

水无声风无痕
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
phmatthaus的专栏
11-17 398
SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 3740
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
Android 修改init.rc 添加开机自启服务
weixin_37840904的博客
05-27 4869
开机自启服务:ademo 完成任务:入一条日志前提:这里我们假定我们已经成功将可执行文件编译到系统中,具体编译方式请参考博文 android 7.1 修改源码添加可执行文件到system/bin目录 可执行文件名称为 位于/system/bin目录下,可执行文件源码 ademo.c 如下: 1. 在 init.rc 中添加自己的服务 init.rc 位置: 1.2 设置启动时机 设置启动时机为开机自启 2. 设置SELinux策略(sepolicy) 文件路径:修改文件,增加如下行: 2.2 新建adem
【无标题】
weixin_59676688的博客
12-03 249
硬件平台:飞凌嵌入式 OKT507-C开发板 操作系统:Android10.0 飞凌嵌入式 T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。基于MAC访问控制模型的SElinux,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。 从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELi...
android init.rc文件语法详解(续)
wince_lover的专栏
12-03 1万+
    在“上一篇android  init.rc文件语法详解”,但是到了android5.0之后,按照上面的方法做,可能我们要启动的服务就起不来了。这是因为采用了新的安全机制了——SEAndroid/SElinux的安全机制。     下面就介绍下,在SEAndroid/SElinux如何配置才能启动init.rc里面定义的服务。     下面我们在rc文件里面定义一个服务     ser...
AVC 报错问题示例以及解决方案
Demon_xiaochunjie的博客
01-22 5521
问题:在一直移远4G三网投模块时,发送短信时信号消失。通过log 发现avc,然后通过同事沟通和指导,学到了如何快速修改验证此问题的方法。在此,记录一下我的学习和经验的积累过程;同时,也分享出来以供遇到类似问题的童鞋可以学习和解决自己的问题,
hanshu.rar_Execute sql vb
09-24
`ExecuteSql`函数就是这样一个工具,允许程序员运行SQL查询、更新、插入或删除数据。在这个主题中,我们将深入探讨如何在VB中使用`ExecuteSql`函数来操作数据库。 首先,我们需要了解VB中的数据库连接。通常,我们...
精品技术类ppt模板execute_exe005
09-02
精品技术类ppt模板execute_exe005
系统存储过程,sp_executesql
09-11
`sp_executesql`是SQL Server中的一个系统存储过程,用于执行可以动态生成或者多次重用的Transact-SQL语句或批处理。这个存储过程的核心功能在于它的灵活性和动态性,使得在运行时能够根据需要改变SQL语句的结构和...
execute_external_commands.py
05-28
execute_external_commands
Python 3.85 pyinstaller win7 x64 failed to execute script pyi_rth_
01-02
Python 3.85 使用pyinstaller在win10 x64下打包的应用程序,在win10 x64下运行完全正常,但是在win7 x64下则报错。failed to execute script pyi_rth_ pyi_rth_xxx 解决方法
Android Q SEAndroid 执行可执行文件提示权限不足
Rorschach:Blog
08-28 4352
一、问题描述 部分APP调用exec执行应用私有目录和files目录下可执行文件提示权限不足。 二、问题分析 1、对比可以执行的APP和不可以执行的APP的区别 应用可执行的情况: 应用不可执行的情况: 2、android Q权限机制变更的说明 3、捕获异常分析 捕获到一条关键LOG: E SELinux : avc: denied { execute_no_trans} for com...
Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解AndroidSELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
Android 5.x 权限问题解决方法
u013952558的专栏
03-16 1万+
Android 5.x 权限问题解决方法               一、  android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。   本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。  遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺
Android SELinux avc dennied权限问题解决方法
qq_18273521的博客
03-21 2321
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1.概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例...
Android O/P/Q SELinux avc dennied权限问题分析与解决
weixin_39280491的博客
04-16 1839
Android O/P/Q SELinux avc dennied权限问题分析与解决1.概述2.确认SELinux问题3.案例分析案例1案例2案例3案例44.万能公式5.归纳6.第三方进程改新增全新的te文件并赋予权限6.1新设备节点增加访问权限6.2新文件/目录增加访问权限 1.概述 Android SELinux是Google从android L 开始,强制引入的一套非常严格的权限管理机制,主...
SElinux avc dennied权限问题解决方法
Y的博客
09-26 835
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
Android 分区存储
最新发布
xingyu19911016的博客
07-02 786
Android 11(API 30)及更高的版本中,如果申请了 MANAGE_EXTERNAL_STORAGE 权限,通常不需要再显示申请 WRITE_EXTERNAL_STORAGE 和 READ_EXTERNAL_STORAGE 权限,因为 MANAGE_EXTERNAL_STORAGE 权限已经允许应用全面的访问共享存储空间(包括读权限)。从 Android 10 开始,对共享存储的读权限变得更加严格,开发者可以选择是否使用分区存储,Android 11 中强制使用了分区存储。
Cannot find reference 'execute_manager' in '__init__.py'
05-23
这个错误通常出现在Django项目中,是因为Django 3.2 版本已经将 `execute_manager` 方法移除了。如果你的项目是从旧版本升级过来的,可能会出现这个错误。 为了解决这个问题,你需要将代码中使用到 `execute_manager` 方法的地方修改为 `execute_from_command_line` 方法。例如,如果你的代码中有如下代码: ``` from django.core.management import execute_manager # ... if __name__ == '__main__': execute_manager(settings) ``` 你需要将其修改为: ``` from django.core.management import execute_from_command_line # ... if __name__ == '__main__': execute_from_command_line() ``` 这样就可以解决这个问题了。同时,还要确保你的 Django 版本是 3.2 或以上,以避免因版本不兼容而导致其他问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值