[ Android实战 ] selinux 策略修改不生效的问题解决

已于 2022-03-02 09:24:45 修改
阅读量8.6k 收藏 40
点赞数 25
分类专栏: Android实战 文章标签: android framework linux
于 2022-03-01 23:33:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a572423926/article/details/123209225
版权

[ Android实战 ] selinux 策略修改不生效的问题解决

尊重原创,转载请注明出处!
创作不易,如有帮助请点赞支持~

背景

前段时间移植系统应用到新平台的时候,发现存在一个selinux的问题。按照平时的方式加了对应的selinux策略后,依然会报同样的selinux权限错误。因此借此机会研究了一下selinux的问题,写下了此篇博客。

问题处理

我要移植的系统应用,主要是作为蓝牙通讯的服务端,客户端是通过 BluetoothSocket 的形式与其建立蓝牙连接。但是在Android10 上,报了 selinux 权限的错误。具体报错信息如下:

type=1400 audit(0.0:275): avc: denied { connectto } for path=0042545F5072696E746572 scontext=u:r:untrusted_app_25:s0:c512,c768 
tcontext=u:r:system_app:s0 tclass=unix_stream_socket permissive=0 app=com.bluetooth.demo

这里顺便说一下定位和解决 selinux 报错的一般思路,很多人可能已经很熟悉了,但是有一些人可能不知道。

开发调试阶段,如果某个应用在其他平台功能正常,而在新平台却不正常,可以用以下方法快速定位是否 selinux 问题:

Android 系统启动后,先执行 adb shell setenforce 0 暂时关闭 selinux,再测试相关功能。如果此时功能正常,基本确定是 selinux 权限导致的问题。

接下来就是抓 logcat,过滤 avc 关键字,即可找到缺少的 selinux 权限,然后就是评估是否需要添加对应的 selinux 权限了。

简单的 selinux 策略添加,也有一个万能公式。比如我上面的那个报错,可以套用公式:

scontexttcontext:tclassavc denied的权限
allowuntrusted_app_25system_app:unix_stream_socketconnectto

即在 untrusted_app_25.te 中添加策略:allow untrusted_app_25 system_app:unix_stream_socket { connectto };

So easy! 修改完执行 make selinux_policy 编译,编译完成后更新相应的 selinux 文件:

adb push out\target\product\xxx\vendor\etc\selinux /vendor/etc/
adb push out\target\product\xxx\system\etc\selinux /system/etc/

注意:按照上述方式直接更新 selinux 相关文件在某些平台可能不生效,那就编译 vendor 或 system 镜像烧录即可。

重启机器后进行测试,fine,还是报同样的错误。。。

添加了 selinux 策略却不生效?百度了一圈,总算找到一个类似的问题:SELinux 添加一个权限

搜索了一下代码,发现果然在 system/sepolicy/private/mls 中做了限制:

# Stream connect:  Client must be equivalent to server unless one of them
# is trusted.
mlsconstrain unix_stream_socket { connectto }
             (l1 eq l2 or t1 == mlstrustedsubject or t2 == mlstrustedsubject);

从 mls 可以看出,必须满足以上 3 个条件之一才能授予 unix_stream_socket 的 connectto 权限:

1、根据 avc 报错,l1=s0:c512,c768,l2=s0,因此 l1 和 l2 不相等,l1 eq l2 不成立

2、t1 为 untrusted_app_25,根据 system/sepolicy/public/untrusted_app.te 的定义,不属于 mlstrustedsubject

3、t2 为 system_app,根据 system/sepolicy/public/system_app.te 的定义,同样不属于 mlstrustedsubject

3 个条件都不满足,难怪加了对应的 selinux 策略后不生效,依然报错!

看懂了问题发生的原因,解决这个问题也就简单了。参考公司其他平台的做法,修改 system/sepolicy/public/system_app.te ,将 system_app 设置为 mlstrustedsubject,最终问题得到了解决~

-type system_app, domain;
+type system_app, domain, mlstrustedsubject;

总结

问题解决了,还是得总结一下,当添加某些 allow 策略后,如果发现不起作用,可能是 MLS 作祟,限制了访问。这时可以查看一下 MLS 策略文件: system/sepolicy/private/mls,看看是否对自己所添加的权限进行了限制,再进行相应的处理。

此外,一些 selinux 相关基本的概念还是有必要知道的:

MLS:即 Multi-Level Security,在 selinux 的基础上加了不同安全等级的限制。

u1,u2:分别表示 source 和 target 的 user。

r1,r2:分别表示 source 和 target 的 role。比如 object_r

t1,t2:分别表示 source 和 target 的 type,即对象的类型。比如 system_app,untrusted_app 等

l1,l2:分别表示 source 和 target 的 level,即 selinux 等级,由 sensitive 和 category 组成。比如 s0:c512,c768,s0 表示 sensitive,c512,c768 表示 category。

参考文章

SEAndroid的MLS相关知识以及配置方法
SELinux 添加一个权限

那个写代码的
关注
  • 25
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Android SELinux 权限问题(二)—添加权限后不生效
it_rensheng的博客
12-03 4900
​ 通过上面的方法介绍,我们已经知道了,如何添加权限问题,但有时会遇到一个问题就是: 明明已经添加了对应的权限,但是编译固件烧录到板子后,还是会报这个权限没有添加。 1.问题说明 ​ 在实际的项目开发中,遇到了如下图所示的权限问题 通过 audit2allow 工具解析出了需要添加的权限,于是乎我在 untrusted_app.te 文件中添加了对应的权限,如下图所示: 然后,重新编译打包固件,烧录到板子后,发现 “allow untrusted_app proc:file write;" 权限问题仍然
【QCM6125】Android12 selinux权限修改及快速调试
sunnywalden
01-04 2907
【QCM6125】Android12 selinux权限修改及快速调试
驱动加载时机造成selinux context设置失败问题
qq_40991601的博客
01-29 1919
对比之前调试的DP驱动,添加权限,也是同样的写法,为什么dwc-msm-core.c驱动,添加权限会出现这个问题呢?比如使用cp命令对文件进行复制操作后,新的文件不会保留原始属性(除非加了-p参数),亦或是使用semanage命令对文件的安全上下文策略进行修改后,都需要使用restorecon命令让新的安全上下文值生效。由此推断,打标签的时间非常早,具体什么时候我们这里不关心,好吧,其实是我不知道,如果有知道的朋友也可以垂笔告知。本文讨论一种,驱动加载时序,造成驱动节点未被设置context的问题
android11 Framework Selinux 添加设备节点问题修改及具体实现
人生只是一种体验,不必用来演绎完美。
04-21 4468
file_contexts文件修改时,最后一行必须要有一个空行,否则会编译不过。 ======================================================== file_contexts 最后一行修改不是空行,怎么都编不过,搞了半天,气死了~~ FAILED: out/target/product/ums9620/obj/ETC/file_contexts.bin_intermediates/file_contexts.bin ** Error: could not l
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
qq_34694875的博客
11-01 1993
Android SELinux的neverallow错误解决
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
SELinux for Android 8.0
12-10
This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip ...
selinux开启后shadow文件策略修改限制
02-17
SELinux 开启后 Shadow 文件策略修改限制 SELinux(Security-Enhanced Linux)是一种基于 Linux 内核的强制访问控制(Mandatory Access Control,MAC)机制,它可以限制进程对文件和资源的访问权限。在 SELinux 中...
selinux权限修改.pdf
03-26
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce (得到结果为Permissive) 如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。 遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破:
linux更改配置文件不生效解决方法
jc
01-14 3700
Linux当我们修改配置文件时不能生效 分析应该是没有让配置文件立即生效 # 假设我们修改的是 ~/.bashrc # 修改保存后 输入 source ~/.bashrc source 修改配置文件路径 当我们关机重启后配置文件被重置 # 当我们关机之前先用sync命令将文件写入硬盘 ...
SELinux报错修改
liyanfei123456的博客
02-23 2784
2016-01-05 15:04 1110人阅读 评论(1) 收藏 举报 版权声明: 作者:alex wang 个人网站:http://cnskyline.tech/ 版权:本文版权归作者和CSDN共有 转载:欢迎转载,为了保存作者的创作热情,请按要求【转载】,谢谢 要求:未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任 I.S
Android SElinux认知与调试
u013391407的专栏
01-27 2104
Linux 内核资源访问控制分为 DAC(Discretionary Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类。 DAC 基于“用户-用户组-其他”的“读、写、执行”的权限检查,进程理论上所拥有的权限与执行它的用户的 权限相同,该管理过于宽松,如果获得 root 权限,可以在 Linux 系统内做任何事情。
android 8.1 user版本sepolicy添加allow后不生效问题
Android系统开发笔记
08-09 1020
android 8.1中在SystemUI里面添加了通过jni对驱动节点的ioctl操作,编译user版本的时候受selinux限制,在device目录下的sepolicy下的platform_app.te中添加了ioctl 允许语句,但是还是提示没有权限。打印如下log: ndroid.systemui: type=1400 audit(0.0:17):avc: denied { ioctl...
Android SELinux 添加权限后不生效
a785722173的博客
01-26 3726
Android SELinux 添加权限后不生效 Android 12上需要对一个节点进行写操作,但是添加了Selinux以后还是报错 allow platform_app yft_temperature_file:file { write read getattr open }; 加了权限还是一直报avc 01-26 09:40:55.556 7891 7891 W yft.factorymode: type=1400 audit(0.0:361): avc: denied { write }..
Android 9.0 10.0 通过sh脚本执行iptables命令不生效selinux权限问题解决
安卓兼职framework和app工程师的博客
10-12 1812
在开发网络白名单用iptables命令时,会涉及到selinux权限的问题,会让命令失效不起作用 例如:在init.rc中通过监听属性值变化来执行sh 脚本 on property:persist.sys.runstart=1 setprop persist.sys.runstart 0 start runcommandstart service runcommandstart /system/bin/sh /data/local/command.sh user root group root seclab
解决因为修改SELINUX配置文件出错导致Faild to load SELinux poilcy无法进入CentOS7系统的问题
Sherry
09-17 1894
解决因为修改SELINUX配置文件出错导致Faild to load SELinux poilcy无法进入CentOS7系统的问题
解决 系统升级后Selinux的file_context指定的目录或者文件域变成unlabeled
nuanhua209的专栏
03-22 7632
最近遇到一个selinux相关问题,相关的denied打印如下: avc: denied { write } for name="/" dev="mmcblk0p10" ino=2 scontext=u:r:AAAA:s0 tcontext=u:object_r:unlabeled:s0 tclass=dir permissive=0 avc: denied { create } for
Android DataBinding从入门到精通
最新发布
Dream的博客
07-22 1096
DataBinding可以更加方便的编写与视图交互的代码。即系统会为模块中的每个xml文件生成一个绑定类,其实例包含指向相应布局中具有ID的所有视图的直接引用。大多数情况下,DataBinding会代替findMyId。
Android SELinux:安全强化与应用策略详解
Android 中的安全增强型 Linux (SELinux) 是一种高级别的安全策略,它在 Android 操作系统中发挥着至关重要的角色。作为 Android 安全模型的一部分,SELinux 实施了强制访问控制 (MAC),确保即使在超级用户权限下...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值