Android-System SELinux 权限

最新推荐文章于 2024-05-05 15:14:28 发布
最新推荐文章于 2024-05-05 15:14:28 发布
阅读量290 收藏 5
点赞数 10
分类专栏: Android系统 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banzhuantuqiang/article/details/137011804
版权

一、SELinux概念

        安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC

二、SELinux工作模式

SELinux 有三种工作模式,分别为:
enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻止
permissive: 宽容模式, 执行SELinux规则, 违反的行不会被阻止
disabled: 关闭SELinux

相关命令操作如下:

adb shell setenforce 0 设置SELinux 成为permissive模式
adb shell setenforce 1 设置SELinux 成为enforcing模式
adb shell getenforce 获取SELinux状态(permissive,enforcing,disabled)

三、日常SELinux问题判断和处理

在Android系统开发中, 可能会遇到SELinux的权限不足而引起的各种问题. 可以尝试将SELinux工作模式临时改为宽容模式看问题是否解决, 来判定是否是SELinux引起的问题

标志性 log: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0
源类型:授予访问的类型,通常是进程的域类型
目标类型:客体的类型,它被授权可以访问的类型
访问类型:客体的类可
操作权限:表示主体对客体访问时允许的操作类型(也叫做访问向量)

示例:

 SELinux : avc:  denied  { find } for pid=592 uid=0 name=netd_listener scontext=u:r:init:s0 tcontext=u:object_r:netd_listener_service:s0 tclass=service_manager permissive=1

分析:adb shell setenforce 0。设置SELinux 成为permissive模式。若可正常使用,则进行权限相关配置

粤M温同学
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android 修改 SELinux avc 权限的方法
jppipai的博客
03-01 4204
Android 系统的开发及适配过程中,我们常常需要对 SELinux avc 权限进行修改
Android AOSP添加selinux权限的方法
qq_40694393的博客
06-13 748
注意:安卓原生的权限添加,只需要在/system/sepolicy/下找到.te文件,若是有供应商自定义的内容,则还需要同时在/device/xxx/seplociy/下找到同名文件添加同样的内容。添加的语句:allow platform_app app_data_file:file execute;1.根据log报错来手动添加,这种方法有一定风险,不熟悉语法添加的新手可能报错。添加的位置:AOSP下找到文件名为“缺少权限的对象.te”需要访问的文件:app_data_file。
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8547
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9071
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android SELinux安全机制与权限管理那些事
道阻且长,行则将至。
05-18 1772
Android 漏洞挖掘和安全研究过程中,不可避免地会涉及到跟 Android SELinux 安全机制打交道,比如当你手握一个 System 应用的路径穿越的漏洞的时候想去覆写其他应用沙箱的可执行文件的时候,SELinux 极大可能成为你成功路上最大的拦路虎……
0001-add-system-service-and-port-selinux-permission.patch
03-19
添加系统服务以及相关selinux权限,添加可执行文件以及selinux权限,基于android 7.0 是一份git的patch,主要包含上面两部分
简述AndroidSELinux的TE
01-04
一、SELinux资源访问基本概念  SELinux使用类型强制来改进强制访问控制。所有的主体(程序进程)对客体(文件/socket等资源)...security process system capability filesystem file dir fd lnk_file chr_file blk_fi
Android 7.0 SEAndroid app权限配置方法
01-20
1)untrusted_app 第三方app,没有Android平台签名,没有system权限 2)platform_app 有Android平台签名,没有system权限 3)system_app 有android平台签名和system权限 从上面划分,权限等级,理论上:untrusted_app &...
system.sepolicy.patch
10-30
Android N之后的系统,系统开发中添加一个系统级服务需要添加的SELinux权限,做成patch,仅供参考。
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
Android selinux权限
最新发布
weixin_49303682的博客
05-05 981
SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedora core 2开始, 2.6内核的版本都支持SELinux。在 SELinux 出现之前,Linux 上的使用的安全模型是 DAC( Discretionary Access Control 自主访问控制)。DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用户的权限相同。
基于Android13的系统启动流程分析(一)之SeLinux权限介绍
q1210249579的博客
01-11 4372
SeLinux,SeAndroid,init进程启动
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 5970
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 1526
android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
android设置selinux权限
LXJSWD的博客
02-08 1502
selinux权限配置
SELinux权限问题解决
aylr2015的博客
06-27 878
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。
Android系统开发_Selinux权限问题相关
Android开发,终身学习者。有问题欢迎私信交流~
11-29 371
在修改了system_app.te的内容后,make selinux_policy的时候,会提示有其它的never allow,这时要根据提示,找到对应的位置进行修改。3)system/sepolicy/prebuilts/api/31.0/private/property.te 中添加。2)system/sepolicy/prebuilts/api/31.0/public/domain.te 中添加。1)在system_app.te中添加。日志过滤搜索 avc。
service获取selinux权限_Android : 为系统服务添加 SeLinux 权限 (Android 9.0)
05-20
Android 9.0 及更高版本中,可以使用以下过程为系统服务添加 SeLinux 权限: 1. 定义一个 SePolicy 权限,该权限将授予系统服务访问所需资源的权限。例如,如果您想让服务能够访问 /data/myfile.txt 文件,则需要定义一个 SePolicy 权限来授予服务访问该文件的权限。以下是一个示例权限定义: ``` type myservice_data_file, file_type; permissive myservice_data_file; allow myservice myservice_data_file:file {read write open}; ``` 2. 将权限添加到系统服务的 SePolicy 文件中。例如,如果您要将权限添加到名为 myservice 的服务的 SePolicy 文件中,则可以使用以下命令: ``` $ sudo semanage permissive -a myservice_data_file ``` 3. 将服务的属性添加到 init.rc 文件中。例如,如果您要添加名为 myservice 的服务,则可以使用以下语法: ``` service myservice /system/bin/myservice class main user system group system seclabel u:r:myservice:s0 seclabel u:r:myservice_data_file:s0 ``` 在上面的 init.rc 文件中,seclabel 命令用于指定服务的 SeLinux 安全标签。在此示例中,服务标签为 u:r:myservice:s0,而文件标签为 u:r:myservice_data_file:s0。 4. 重新启动设备以使更改生效。 请注意,添加 SeLinux 权限可能会增加系统的不安全性。因此,必须谨慎地添加这些权限,并仅在必要时才添加它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

粤M温同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值