Android SELinux——neverallow问题处理(十六)

已于 2024-10-22 13:26:10 修改
阅读量1.6k 收藏 8
点赞数 15
分类专栏: Android SELinux 文章标签: android SELinxu
于 2024-10-22 09:24:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c19344881x/article/details/142657226
版权

        上一篇我们介绍了通过添加允许策略处理问题,这里我们主要来看一些 neverallow 策略问题该怎么处理。

一、neverallow介绍

        遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统对 SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反了 neverallow 规则,编译时候会报 neverallow 相关的错误。

  • 理解 neverallow 规则:neverallow 规则定义了绝对不允许发生的访问行为。这些规则是为了防止潜在的安全漏洞而设置的。
  • 检查现有策略:确认当前的 SELinux 策略文件中是否存在相关的 neverallow 规则。使用工具如 sealert 来查看具体的 neverallow 规则。
  • 添加 allow 规则:在不违反 neverallow 规则的前提下,添加新的 allow 规则。确保新添加的 allo
了解本专栏 订阅专栏 解锁全文
Android SELinux——添加新服务策略(十二)
小旭的专栏
10-17 1044
通过前面的学习我们也大致了解 SELinux 的相关只是,这里我们就来看一下实际开发中,如果需要为厂商新增的一个自定义服务添加相关权限该如何操作。
Android SELinux——上下文Context源码(十)
最新发布
小旭的专栏
10-16 1233
通过前面的文章我们知道,SELinux 中的上下文(contexts)包含很多类型,这里我们就来看看Androd 源码中 上下文 SELinux Contexts 的代码结构。
RK android11违反了neverallow如何避开
m0_71008721的博客
07-05 607
其他的就是 和prebuilts/api/30.0/private/system_app.te不同类似的,直接copy复制就好。添加allow system_app serialno_prop:file read 违反了neverallow。目录system/sepolicy。
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 3750
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android6.0 selinux没有对某个文件的权限(又neverAllow处理方法
kc58236582的博客
01-18 1万+
一、案例 我们举个案例,比如recovery升级中,碰到这个的log 01-01 08:03:22.410000 217 217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recov
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 3万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
selinux权限neverallow解决
qq_36975610的博客
03-07 2403
selinux权限neverallow解决
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 2558
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 1062
翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
Android SELinux——Sepolicy基础语法(四)
小旭的专栏
10-11 1222
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
Selinux-篇4 标签 android版本(csdn)————程序.pdf
12-03
在本文中,我们将深入探讨如何为Android应用程序设置SELinux规则,以及如何通过SELinux策略增强应用程序的安全性。SELinux(安全增强型Linux)是一种安全机制,提供了强制访问控制(MAC)安全策略框架,被用于...
android selinux报avc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 1501
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
Android O selinux违反Neverallow解决办法
纸上得来终觉浅,绝知此事要躬行
11-19 6731
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下: 1、Android O selinux相关配置文件所在路径 system/sepolicy/* AOSP device和APPS相关selinux配置 device/qcom/sepolicy/* 平台和板卡相关selinux配置 2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规...
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 2121
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限。
selinux解决sysfs neverallow问题
Rainman博的专栏
07-05 928
执行 restorcon -R /devices/platform/aaa/bbb/ccc 来重新加载selinux上下文,发现已经变成。system/etc/selinux下的所以文件push到设备相应目录下, 具体看修改的selinux编译在哪里。将vendor/etc/selinux下的所以文件push到设备相应目录下,或者将。在aosp源码/system/policy/下grep system_app就会发发现。system app需要访问/sys下设备节点信息。my_sysfs了。
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 2982
Android系统编译 报neverallow 错误的解决方法。
如何处理selinuxneverallow 冲突
03-31
要解决selinuxneverallow冲突,需要进行以下步骤: 1. 确定哪些进程或文件系统存在neverallow冲突。 2. 确定哪些selinux策略模块与冲突相关。 3. 通过修改selinux策略模块,允许相关的进程或文件系统访问被拒绝的资源。 4. 重新加载selinux策略模块以使更改生效。 5. 确认更改是否解决了neverallow冲突。 请注意,对selinux策略模块的更改应该谨慎进行,因为不当的更改可能会导致安全漏洞。因此,在进行更改之前,请确保您对selinux的操作有足够的了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

c小旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值