SELinux权限问题解决

已于 2023-06-27 10:19:22 修改
阅读量852 收藏 5
点赞数 1
分类专栏: Android开发 文章标签: java android adb
于 2023-06-27 10:18:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aylr2015/article/details/130077516
版权

SELinux权限问题

SELinux权限

SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。

然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。

确认是否SELinux权限问题

  • 先查看当前权限模式:
	adb shell getenforce
  • SELinux权限有两种全局权限模式:
    1. Permissive(宽容模式):权限拒绝事件会被记录下来,但不会被强制执行。
    2. Enforce(强制模式):权限拒绝事件会被记录下来并强制执行。
	切换SELinux模式:
	Permissive: adb shell setenforce 0
	Enforce: adb shell setenforce 1

如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。

问题解决

报错log:
问题场景是读取dropbox下面文件所致

  avc: denied { read } for name="dropbox" dev="vdd44" ino=466946 scontext=u:r:system_app:s0 tcontext=u:object_r:dropbox_data_file:s0 tclass=dir permissive=0

可以看到有avc denied,且最后有permissive=0,表示不允许。

拆分此问题

缺少的权限:     { read }权限
谁缺少权限:        scontext=u:r:system_app:s0 
对哪个文件缺少权限:tcontext=u:object_r:dropbox_data_file:s0
什么类型的文件:  tclass=dir 
完整的意思: system_app进程对object_r:dropbox_data_file类型的dir缺少read 权限。

解决方法

# system_app.te
allow system_app dropbox_data_file:dir { read };

总结此类问题万能公式:

要添加的权限语句: allow scontext tcontext:tclass { action };
要添加的目标文件: {scontext}.te

参考连接

  1. https://blog.csdn.net/Haomione/article/details/123881504
  2. https://blog.csdn.net/qq_40731414/article/details/126919088
东坡大表哥
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android5.X即以上系统权限解决方法
03-14
Android5.X即以上系统权限解决方法,android 5.x开始,引入了非常严格的selinux权限管理机制
内核编程 make时出现/include/linux/build_bug.h:29:45: error negative width in bit-field ‘<anonymous>‘错误
jackcsdnfghdtrjy的博客
09-16 1446
问题:内核编程 make时出现/include/linux/build_bug.h:29:45: error negative width in bit-field '<anonymous>'错误 解决办法:修改XX_ATTR()函数的权限。 本人开始权限是0664 修改为0444 后 编译成功。 权限为0666 编译报错 修改后 编译通过。 ...
Android-System SELinux 权限
以后会多把工作中总结的知识、问题处理思路和方法通过博客分享出来,欢迎大家关注和共同探讨!
03-25 263
标志性 log: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在Android系统开发中, 可能会遇到SELinux权限不足而引起的各种问题. 可以尝试将SELinux工作模式临时改为宽容模式看问题是否解决, 来判定是否是SELinux引起的问题。目标类型:客体的类型,它被授权可以访问的类型。访问类型:客体的类可。
selinux权限修改.pdf
03-26
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce (得到结果为Permissive) 如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。 遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破:
添加Selinux 权限/常见的Selinux 权限问题
一只攻城的柿子
07-07 6773
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,临时禁用selinux ,重启失效,可先执行: C:\Users\A
Selinux权限配置详解
秦逸轩的博客
07-15 1368
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 1452
android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
selinux权限
weixin_43899302的博客
08-19 1805
selinux
SELinux权限
Kian_G 的博客
03-30 5639
SELinux权限 SELinux简介 SELinux是2.6版本Linux内核中提供的强制访问控制系统,selinux默认配置在/etc/sysconfig/selinux。 默认有三种级别 enforcing Linux下 selinux所设置的安全策略都会被启用.所有与selinux安全策略有关的服务或者程序都会被策略阻止.也就是,所有操作都会进行权限检查。 permissi...
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8382
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 7625
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
导致SELinux警告的四个常见原因
01-09
本文主要介绍下四个导致 SELinux 警告产生的原因以及解决方案。  原因一:出现标注错误  SELinux 的核心概念是标注,无论是文件系统、目录、文件、文件启动描述符、端口、消息接口还是网络接口,所有的一切都...
SeLinux_AddPower
09-09
用于解决CentOs下SeLinux拦截nginx读取文件的问题 使用方法,把本脚本复制到站点根目录的父目录使用管理员权限运行
SEAndroid问题快速分析
12-17
快速定位、分析和解决Android系统SELinux相关的权限问题
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 806
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 870
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1809
c++中string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 857
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1072
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
安卓系统,通过apk方式访问can总线,遇到SELinux权限问题,怎么解决
06-13
在安卓系统中,SELinux是一个重要的安全机制,它限制了进程和应用程序的权限,因此出现SELinux权限问题时需要授权权限。要访问CAN总线,可以通过以下步骤解决SELinux权限问题: 1. 在AndroidManifest.xml文件中添加以下权限: ```xml <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> <uses-permission android:name="android.permission.ACCESS_SUPERUSER"/> ``` 2. 在设备上安装root权限管理工具,例如SuperSU或Magisk Manager。 3. 通过root权限管理工具授权应用程序访问CAN总线。 4. 如果仍然无法访问CAN总线,则需要修改SELinux策略。可以使用sepolicy或chcon工具修改策略,具体操作可以参考SELinux官方文档。 需要注意的是,修改SELinux策略可能会降低系统的安全性,因此需要谨慎操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值