【笨笨兔原创】android o上跨进程selinux权限问题添加方法

最新推荐文章于 2024-03-25 13:52:21 发布
最新推荐文章于 2024-03-25 13:52:21 发布
阅读量964 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaosxcc/article/details/80330164
版权

问题背景:在相机美肤魅我功能没有生效

问题原因:魅我注册的人脸信息保存在data/data/app包/app_meiwo/... , 在拍照的时候魅我算法处理在vendor进程中,

vendor进程无法直接访问data/data下的数据,因此导致魅我算法没有生效。

修改办法:添加selinux权限

log信息:

avc:denied{search} for name="com.huawei.camera" dev="mmcblk0p44" ino=1742 scontext=u:v:mtk_hal_camera:s0

tcontext=u:object_r:app_data_file :s0,c768 tclass=dir permissive=0

解释:search 是Action,操作类型;mtk_hal_camera是Actor,访问主体进程;dir是被访问对象具体的class;

         app_data_file是object,被访问的对象。

一句话修改描述:mtk_hal_camera search app_data_file dir

1,selinux代码仓路径有:

system/sepolicy/*

vendor/huawei/chipset_common/sepolicy/common

vendor/huawei/chipset_common/sepolicy/common

device/huawei/**/sepolicy

vendor/huawei/chipset_common/sepolicy/mtk

vendor/etc/selinux

device/mediatek/sepolicy

vendor/huawei/Emui/sepolicy/chipset_common/sepolicy/common

vendor/huawei/Emui/sepolicy/chipset/sepolicy/common

device/mediatek/sepolicy/basic

device/mediatek/sepolicy/bsp

device/mediatek/sepolicy/full

2. adb shell getenforce //获取当前selinux状态

adb shell setenforce 0 //设置selinux状态为permissive

 

备注:相机魅我功能就是几个人一起拍照,只对指定的人美肤功能加强。

3.添加修改

device/mediatek/sepolicy/basic/non_plat

file.te

####add 

type app_meiwo_info, file_type, data_file_type;

file_contexts

/data/data/com.huawei.camera/app_meiwo(/*)?u:object_r:app_meiwo_info:so

 

 

 

 

 

 

笨笨的兔子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android:安卓开机后自动执行指定shell脚本(含SELinux权限问题解决)
weixin_44498318的博客
01-19 1624
1、编写自己的shell脚本 以RK3399 安卓Q为例,device/rockchip/rk3399/myscript.sh: #!/vendor/bin/sh while true;do echo "++++++This is a test script !++++++" > /dev/console sleep 5 done 2、修改安卓源文件 2.1 修改device.mk编译时将脚本拷贝到镜像中 device/rockchip/rk3399/device
详解Android Selinux 权限问题
08-28
本篇文章主要介绍了详解Android Selinux 权限问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
别人的Linux私房菜(17)进程管理与SELinux初探
嘘、小点声。
04-24 195
程序在磁盘中,通过用户的执行触发。触发事件时,加载到内存,系统将它定义成进程,给予进程PID,根据触发的用户和属性,给予PID合适的权限。 PID和登陆者的UID/GID有关。父进程衍生出来的进程为子进程,子进程的PPID为父进程。 如使用ps -l查看进程信息。 crontab计划任务的父进程可能会再次生成强制结束的子进程。 Linux程序调用通常为fork-and-ex...
进程管理与 SELinux
Cdreamfly的博客
04-07 367
  在 Linux 系统当中:『触发任何一个事件时,系统都会将他定义成为一个进程,并且给予这个进程一个 ID ,称为 PID,同时依据启发这个进程的用户与相关属性关系,给予这个 PID 一组有效的权限设定。』 进程与程序 (process & program) 程序 (program):通常为 binary program ,放置在储存媒体中 (如硬盘、光盘、软盘、磁带等), 为实体文件...
Android-System SELinux 权限
最新发布
以后会多把工作中总结的知识、问题处理思路和方法通过博客分享出来,欢迎大家关注和共同探讨!
03-25 274
标志性 log: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在Android系统开发中, 可能会遇到SELinux权限不足而引起的各种问题. 可以尝试将SELinux工作模式临时改为宽容模式看问题是否解决, 来判定是否是SELinux引起的问题。目标类型:客体的类型,它被授权可以访问的类型。访问类型:客体的类可。
MTK Android修改selinux允许system APP可读写sys与proc
zmlovelx(帅得不敢出门 程序员群31843264)
03-17 715
MTKAndroid 11需要为内置的APP打开读写/sys与/proc的权限
Android SeLinux权限问题
Flying snow
09-29 2108
(1)权限确认&示例 avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0 Kenel log: avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u:r:untrusted_app:s0 tcontext=u:r:untrusted
解决Android log中selinux报错问题
weixin_55053963的博客
07-19 1942
Androidselinux问题解决
android init.rc文件语法详解(续)
热门推荐
wince_lover的专栏
12-03 1万+
    在“上一篇android  init.rc文件语法详解”,但是到了android5.0之后,按照上面的方法做,可能我们要启动的服务就起不来了。这是因为采用了新的安全机制了——SEAndroid/SElinux的安全机制。     下面就介绍下,在SEAndroid/SElinux如何配置才能启动init.rc里面定义的服务。     下面我们在rc文件里面定义一个服务     ser...
SELinux4AndroidO
02-05
m4.pdf/configuring-selinux-policy-report.pdf/implementing-selinux-as-linux-security-module-report.pdf/The_SELinux_Notebook-4th_Edition.pdf/SEAndroid-NDSS2013.pdf/abs2014_seforandroid_smalley.pdf/...
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar,太多无法一一验证是否可用,程序如果跑不起来需要自调,部分代码功能进行参考学习。
Android O 8.0 selinux特性 Google介绍文档
12-26
Android O 8.0 selinux特性 Google介绍文档,帮助学习最新selinux规则
MTK 添加与APK通信的property
liaokesen168的博客
09-10 1259
1.废话少说先上pach,目录:device/mediatek/sepolicy/bsp/non_plat/ diff --git a/mediatek/sepolicy/bsp/non_plat/domain.te b/mediatek/sepolicy/bsp/non_plat/domain.te index c216ca1..4bb4e84 100644 --- a/mediatek/s...
Android 8.0/9.0 Mtk Camera Picture size和Preview size配置
lijiaren_092008的专栏
01-25 7496
在进行camera系统开发时,总会碰到产品需要,需要一个添加一个多少多少M的照片大小,比如产品经理说我们也要添加一个1:1,添加一个18:9的照片大小。这个情况很常见了,所以这篇文章总结一下平常工作中对这类问题的解决。 Android 8.0和9.0最大的变化是底层谷歌不在支持hal1.0,而强制转换为hal3.0。这个对于mtk代码,也许变化是非常大的,mtk基本上一直使用的是hal1.0+ca...
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 5856
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8421
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
SELinux权限问题解决参考
we1less的博客
07-31 2298
6666
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 3840
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
Android R中给新的服务添加selinux权限
weixin_55053963的博客
07-19 1624
Android服务添加selinux权限
service获取selinux权限_Android : 为系统服务添加 SeLinux 权限 (Android 9.0)
05-20
Android 9.0 及更高版本中,可以使用以下过程为系统服务添加 SeLinux 权限: 1. 定义一个 SePolicy 权限,该权限将授予系统服务访问所需资源的权限。例如,如果您想让服务能够访问 /data/myfile.txt 文件,则需要定义一个 SePolicy 权限来授予服务访问该文件的权限。以下是一个示例权限定义: ``` type myservice_data_file, file_type; permissive myservice_data_file; allow myservice myservice_data_file:file {read write open}; ``` 2. 将权限添加到系统服务的 SePolicy 文件中。例如,如果您要将权限添加到名为 myservice 的服务的 SePolicy 文件中,则可以使用以下命令: ``` $ sudo semanage permissive -a myservice_data_file ``` 3. 将服务的属性添加到 init.rc 文件中。例如,如果您要添加名为 myservice 的服务,则可以使用以下语法: ``` service myservice /system/bin/myservice class main user system group system seclabel u:r:myservice:s0 seclabel u:r:myservice_data_file:s0 ``` 在上面的 init.rc 文件中,seclabel 命令用于指定服务的 SeLinux 安全标签。在此示例中,服务标签为 u:r:myservice:s0,而文件标签为 u:r:myservice_data_file:s0。 4. 重新启动设备以使更改生效。 请注意,添加 SeLinux 权限可能会增加系统的不安全性。因此,必须谨慎地添加这些权限,并仅在必要时才添加它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值