[Android开发技巧] 通过avc日志自动生成selinux策略

最新推荐文章于 2024-05-26 12:13:19 发布
最新推荐文章于 2024-05-26 12:13:19 发布
阅读量514 收藏 6
点赞数 5
分类专栏: Android调试技巧 文章标签: android framework linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a572423926/article/details/137871542
版权

[Android开发技巧] 通过avc日志自动生成selinux策略

尊重原创,转载请注明出处!
创作不易,如有帮助请点赞支持~

常规方式

通常,我们添加 selinux 策略的方式是在日志中搜索 avc 相关的报错,然后根据万能公式进行添加:

比如针对以下报错,可以套入公式:

04-03 17:55:58.563     1     1 I /system/bin/init: type=1107 audit(0.0:414): uid=0 auid=4294967295 ses=4294967295 subj=u:r:init:s0 msg='avc: denied { set } for property=af.media.systemready.state pid=495 uid=1041 gid=1005 scontext=u:r:audioserver:s0 tcontext=u:object_r:default_prop:s0 tclass=property_service permissive=1'
scontexttcontext:tclassavc denied的权限
allowaudioserverdefault_prop:property_serviceset

然后,将这句代码添加到audioserver.te即可:

allow audioserver default_prop:property_service set;

但是,当我们添加一个新的进程、或者移植一个新的平台时,日志中存在大量的 selinux 报错,这样一个一个策略手动添加的方法就显得很笨且麻烦了-。-

通过avc日志自动生成对应的selinux策略

linux 系统给我们提供了一个 audit2allow 的工具,利用这个工具,我们只需要抓取完整的日志,过滤出 avc 相关的报错,即可根据这些日志一次性生成对应的策略,然后添加到对应的 te 文件即可。

1、关闭selinux

adb shell setenforce 0

这里虽然暂时关闭了 selinux,但是如果没有添加对应的策略,还是会有 avc 相关日志输出

2、抓取Android层和kernel层的avc报错日志

adb shell logcat | grep avc > logcat_avc.txt
adb shell cat /proc/kmsg | grep avc > kmsg_avc.txt

3、通过audit2allow工具直接生成对应的策略

audit2allow -i logcat_avc.txt  # -i指定avc报错日志文件

PS:有些服务器可能需要手动安装:sudo apt install policycoreutils

4、手动将需要添加的策略添加到对应的源

以下为执行命令后的输出结果,会将各个源的结果都区分开来,方便添加:

#============= cameraserver ==============
allow cameraserver vendor_file:file read;

#============= dhcp6c ==============
allow dhcp6c self:udp_socket ioctl;

#============= audioserver ==============
allow audioserver default_prop:property_service set;

#============= bootanim ==============
allow bootanim vendor_default_prop:file { getattr map open };

由于系统中的 avc 报错很多,根据需要将生成的策略内容添加到对应的源即可,比如 cameraserver.te 等

那个写代码的
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 3764
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
SELinux 入门详解
01-09
回到 Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。 如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 在我开始之前,你应该已经了解的
Android SELinux
最新发布
许浑的博客
05-26 958
在/dev/中加载sepolicy并发布关键的restorecons,小心避免从/system读取任何内容。- 设备处于SELinux的宽容模式,出厂设备都是强制模式Enforcing(即。3、mk添加编译:BOARD_SEPOLICY_DIRS += device/1、通常情况下,添加或修改自己的设备专用SELinux文件(/device/结尾的文件是 SELinux 政策源代码文件,用于定义域及其标签。- 要访问的对象(例如,文件、套接字)的类型。- 要执行的操作(或一组操作,例如读取、写入)。
Android14之audit2allow自动生成Selinux规则(一百七十五)
Android系统攻城狮
01-02 1439
本篇目的:audit2allow自动生成Selinux配置。SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。它通过将每个对象(如文件、进程和用户)和动作(如读写、执行)分配给一个安全上下文来实现安全访问控制。
Android权限问题
Tracy Mcgrady的专栏
11-18 2022
SELinux是什么?即Security-Enhanced Linux,是由美国国家安全局(NSA)发起,基于Linux开发的一个安全增强系统,旨在提高系统的安全性。 而SEAndroid基于SELinux,在Android5.0上被正式启用。 SELinux有3种操作模式,分别是Disabled、Permissive、Enforcing,在android中可以通过输入adb命令get
根据avc log自动生成selinux策略
rockly89的博客
05-22 5179
1 提取所有的avc LOG.  adb shell "cat /proc/kmsg | grep avc" > avc_log.txt 2 使用 audit2allow tool 直接生成policy.  sudo apt install policycoreutils audit2allow -i avc_log.txt 即可自动输出生成的policy
android SELINUX规则分析和语法简介
猿氏悟语
04-15 9374
SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。 在android上面,adb shell之后进入手机,ps -Z可以查看当前进程所拥有的selinux的权限。
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1222
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限。SELinux的权限不足。
SELinux avc权限--audit2allow
u012944254的博客
11-15 5556
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限。 使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
SELinux之解决avc denied
m0_46211029的博客
03-28 4782
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC SELinux工作模式 SELinux 有三种工作模式,分别为: enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻...
SeLinuxavc log解读
心上枫叶红的博客
01-25 2899
avc log分析: SeLinuxAVC log的详细分析 eg: type=AVC msg=audit(1395177286.929:1638): avc: denied { read } for pid=6591 comm="httpd" name="webpages" dev="0:37" ino=2112 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=dir 整体翻译:SE
selinux avc权限设置
xhao1985的博客
08-07 2098
解决原则是:缺什么权限补什么,一步一步补到没有avc denied为止。 解决权限问题需要修改的权限文件如下位置,以.te结尾 A:Android/device/mediatek/common/sepolicy/*.te B:Android/external/sepolicy/*.te 其中,A是对B的overlay(覆盖),能在A修改的尽量在A修改,尽量避免修改B。 avc: deni...
avc: denied SELinux权限问题解决
Haomione的博客
03-31 6633
avc: denied SELinux权限问题解决
SElinux avc dennied权限问题解决方法
Y的博客
09-26 886
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己写,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
Android SELinux avc dennied权限问题解决方法
qq_35003588的博客
10-20 2945
1、确认是否是selinux 问题 setenforce 0(临时禁用掉SELinux) getenforce (得到结果为Permissive) 如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。 type=1400 audit(1603165146.056:161): avc: denied { getattr } for pid=2635 comm="busybox" path="/mnt/media_rw" dev="tmpfs" ino=11..
[Android Framework]Android 11 SELinux avc权限解决方法
usmaI的博客
11-19 5706
1.SELinuxAndroid的关系 SELinux(Security-Enhanced Linux)是由美国国家安全局开发的一种安全增强型Linux内核模块,从Android5.0(API 21)开始被Google引入并强制集成,用于最大限度地减小系统中服务进程可访问的资源,从而增强系统安全性,也就是说即使系统漏洞被Hacker钻了空子,也不容易为所欲为。对于开发者来说,也就意味着即使你开发的服务拥有root权限,你开发的系统服务也并不能任意访问系统资源。 2.在Android中与SELinux有关的
Android avc错误处理
itcolossus的专栏
11-13 2142
1、首先从设备上pull出policy文件 adb pull /sys/fs/selinux/policy 2、ubuntu下安装audit2allow工具 sudo apt install policycoreutils-python-utils 3、获取机器上的avc错误: dmesg | grep avc >/data/avc.txt adb pull /data/avc.txt ./ 4、通过命令生成policy文件 audit2allow -i avc.txt -p pol
SElinux avc 打印及关闭
Y的博客
08-23 691
某些场景下并不需要打开SELinux,也就是SELinux设为Permissive,但如果程序设计不符合SELinux sepolicy,日志会频繁打印如下类似avc:denied 的 log。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值