记一次selinux权限添加

已于 2022-12-14 16:20:50 修改
阅读量3.7k 收藏 22
点赞数 1
分类专栏: 移动开发 文章标签: android
于 2020-11-09 19:26:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen_yuyunfox/article/details/109582537
版权
本文介绍如何为system_server进程添加SELinux权限,以支持vendor.mtk属性的设置。通过修改system_server.te文件,加入特定权限,并介绍了如何编译验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发中临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。

需求开发需要在system_server进程中调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不适配selinux权限的话会报错导致开不了机。

添加selinux权限的步骤:

1.  查看设备根目录的vendor_property_contexts文件

busybox vi vendor_property_contexts

可以看到vendor.mtk开头的属性的selinux权限是u:object_r:vendor_mtk_default_prop:s0

下面就需要为system_server进程添加这个权限。

2.  查找system_server进程的selinux权限定义文件:system_server.te

Android原生的te文件放在源码目录的system/sepolicy目录下,一般手机或电视厂商在定制时会将自己的te文件都单独解耦出来,放在vendor目录,AndroidP上编译还是统一在system/sepolicy模块中编译,编译生成sepolicy文件,替换到设备根目录即可生效。

vendor自有的selinux权限定义文件具体放在哪个目录,在system/sepolicy的Android.mk中有定义,如

......
# BOARD_SEPOLICY_DIRS was used for vendor/odm sepolicy customization before.
# It has been replaced by BOARD_VENDOR_SEPOLICY_DIRS (mandatory) and
# BOARD_ODM_SEPOLICY_DIRS (optional). BOARD_SEPOLICY_DIRS is still allowed for
# backward compatibility, which will be merged into BOARD_VENDOR_SEPOLICY_DIRS.
ifdef BOARD_SEPOLICY_DIRS
BOARD_VENDOR_SEPOLICY_DIRS += $(BOARD_SEPOLICY_DIRS)
endif

ifdef BOARD_ODM_SEPOLICY_DIRS
ifneq ($(PRODUCT_SEPOLICY_SPLIT),true)
$(error PRODUCT_SEPOLICY_SPLIT needs to be true when using BOARD_ODM_SEPOLICY_DIRS)
endif
endif
......

这里面的BOARD_SEPOLICY_DIRS和BOARD_ODM_SEPOLICY_DIRS就是分别为手机/电视厂商和odm预留的selinux权限定义目录,这2个宏的具体定义在厂商自定义的编译脚本中,是厂商定制的,找后这个宏定义后,一般会在其定义的目录中找到system_server.te文件。

3.  在找到的system_server.te文件中添加需要的权限即可,如下。

# ifdef VENDOR_EDIT
allow system_server vendor_mtk_default_prop:property_service set;
# endif /* VENDOR_EDIT */

缺少selinux权限时,一般会在logcat或kernel log中打印如下警告信息:

avc: denied { read } for name=“u:object_r:hwservicemanager_prop:s0” dev=“tmpfs” ino=20968 scontext=u:r:hal_secure_element_unisoc:s0 tcontext=u:object_r:hwservicemanager_prop:s0 tclass=file permissive=0
这个log说明了如下信息:

缺少什么权限:     { read }权限,
谁缺少权限:        scontext=u:r:hal_secure_element_unisoc:s0 
对哪个文件缺少权限:tcontext=u:object_r:hwservicemanager_prop
什么类型的文件:  tclass=file 
完整的意思: hal_secure_element_unisoc进程对hwservicemanager_prop类型的file缺少read 权限。

解决办法是找到scontext权限定义的te文件,加入:

allow  hal_secure_element_unisoc hwservicemanager_prop:file  read;

sepolicy 配置和快速验证_Pogogo1的博客-CSDN博客_system_file_type 一文中有修改te文件的话可以通过编译sepolicy并替换cil文件可以快速验证,但本地在一个androidR TV项目上验证并不生效,还是要全编。

make selinux_policy -j8  // vendor 和system 都修改了
make  selinux_policy_nonsystem  -j8  // 只修改 vendor相关的sepolicy
编译成功后,只需要替换如下文件 vendor_sepolicy.cil,即可快速验证
/vendor/etc/selinux/vendor_sepolicy.cil

Android SeLinux 权限添加
Android
09-30 3046
SeLinux 权限添加 调试时,可以关闭selinux 权限 setenforce 0 搜索avc,如下: type=1400 audit(0.0:292): avc: denied { read write } for name=“ttyHSL2” dev=“tmpfs” ino=11380 scontext=u:r:system_app:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0 system_app 中 devic
Android SELinux——常见问题处理思路(十四)
小旭的专栏
10-21 726
然后用 make selinux_policy 编译,然后 push 相关分区下的 etc/selinux。直到没有 avc 报错为止。
android selinux权限添加
weixin_46027271的博客
01-15 3232
本文基于Android10版本举例介绍selinux添加方法
SELinux
最新发布
2302_77791905的博客
04-02 925
SELinux,即 Security-Enhanced Linux,意为安全强化的 Linux,由美国国家安全局(NSA)主导开发。开发初衷是防止系统资源被误用。在 Linux 系统中,系统资源的访问均通过程序进行。例如,当/var/www/html/目录的权限被设置为 777 时,所有程序都能访问该目录。若此时 Web 服务器软件已启动,其触发的进程便可以写入该目录,而该进程面向整个互联网提供服务,存在安全风险。
添加selinux权限
weixin_47094059的博客
09-27 1242
1.定义其他类型在 sepolicy目录下知道定义video_device类型的文件,定义一个其他类型(type开头是定义类型)2.与文件绑定在 sepolicy/file_contexts文件中找到/dev/video31,修改为定义的类型3.给予权限1.加上报的权限问题,在 system_app.te添加
添加Selinux 权限/常见的Selinux 权限问题
热门推荐
一只攻城的柿子
07-07 1万+
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,临时禁用selinux ,重启失效,可先执行: C:\Users\A
selinux权限添加总结
风和先行的专栏
10-20 527
selinux修改方案总结
快速添加Android seLinux权限
lzz214的博客
01-26 473
根据日志快速添加Android seLinux权限
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 2641
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限
OpenHarmony北向开发 SA服务SELinux权限配置一站式傻瓜式教程
她的吻让他
08-09 1339
SELinux是Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统Linux操作系统的安全性,解决传统Linux系统中自主访问控制(DAC)系统中的各种权限问题(如root权限过高等)。这里举一个例子便于理解,假设系统中某个服务进程出现了一个漏洞,使得某个远程用户可以访问系统的敏感文件(如/etc/dev)。
Linux上使用SELinux保护网络服务
沃和莱特的博客
11-16 1540
Linux上使用SELinux保护网络服务相关演示
访问文件的SELinux权限添加
01-20
最近做了一个功能:设备首次驻网时,在设备指定目录创建文件,并在此文件中写入当前的时间,然后通过暗码可以读取这个时间 这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件,”/data/vendor/time_code/time_code.txt”,此时SELinux权限问题就来了,如下所示: 原创文章 53获赞 87访问量 2万+
linux添加三权,基于SELinux的三权分离技术的研究
weixin_39545017的博客
05-09 1920
目前,Linux操作系统已广泛应用于各种设备和产品中,如服务器、PC机、机顶盒及路由器等。随着Linux系统的不断发展和广泛应用,Linux系统的安全问题也引起越来越多的关注。在Linux操作系统中,存在一个超级用户即root用户。root也称为系统管理员,它拥有管理系统的一切权限。当一个非法用户获得root用户口令后,他就可以以超级用户的身份登录系统,然后做任何他想做的事情:如任意添加、删除用户...
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 3820
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
selinux 权限分析添加
day_runrun的博客
12-09 1759
##SELinux 拥有三个基本的操作模式 Disabled:禁用SELinux策略 Permissive:在Permissive模式下,SELINUX有效,但是即使你违反了策略,它让你继续操作,但是把你的 违反的内容录下来。在我们开发策略的时候非常的有用。相当于Debug模式。 Enforcing:当你违反了策略,你就无法继续操作下去。 sete...
添加 Selinux 权限步骤
wangjun7121的专栏
03-06 7176
前言 简单笔 步骤 一、首先验证是否是 Selinux 权限相关问题 在 eng 版本中使用: setenforce 0 临时关闭 selinux 后,再验证。(注:有时是权限问题,但也未必有效,这时可通过 log 确认) 二、给可执行程序添加权限: src\device\qcom\sepolicy\common\file_contexts # wangjun@wind-mo...
添加文件的SELinux权限
李予浙的博客
01-30 488
allow 源类型 目标类型:访问类型 {操作权限};
Android 12 S 自定义Native服务selinux权限添加
weixin_41028555的博客
06-13 1664
节点在此目录添加定义:genfs_contexts。并且与system_server互相通信。native服务访问hal服务。
Android 12 S 自定义Hal服务selinux权限添加
weixin_41028555的博客
06-13 3288
如果遇到如下错误,应该是漏了添加。自定义hal服务添加可参考。
如何监控一个文件夹在一段时间是否有修改
03-20
<think>好的,我现在需要帮用户解决如何监控一个文件夹在一段时间内是否有修改录的问题。首先,我得理解用户的具体需求。他们可能想确认某个目录是否有文件被添加、删除或修改,这在系统管理、安全监控或数据备份时很常见。 接下来,我应该考虑不同的方法。用户可能对命令行比较熟悉,所以需要介绍一些常用的Linux工具,比如inotifywait、auditd、find命令和文件系统检查工具。同时,用户可能需要实时监控或者定期检查,因此需要区分这两种情况。 首先想到的是inotifywait,这是一个基于inotify的工具,可以实时监控文件系统的变化。使用起来相对简单,但需要安装inotify-tools包。需要告诉用户安装步骤和基本用法,比如监控创建、删除、修改等事件,并录到日志中。 然后是auditd,这是更专业的审计工具,适合需要详细日志录的场景。配置起来稍微复杂,需要编辑规则文件,但功能更强大,可以跟踪特定目录的所有访问和修改操作。可能需要指导用户如何添加监控规则并查看日志。 另外,find命令结合时间戳也是一个简单有效的方法,适合定期手动检查。用户可以指定时间范围,比如过去24小时,查找被修改过的文件。这个方法的优点是无需额外安装软件,但需要用户手动运行命令。 文件系统检查工具如tripwire或aide,适合更高级的安全需求,可以建立基线并检测变化。不过配置和使用起来可能比较复杂,用户可能需要更详细的指导,但考虑到用户可能只是需要基本监控,可能先介绍前几种方法更合适。 还需要考虑用户的使用场景。如果是实时监控,inotifywait和auditd更合适;如果是定期检查,find命令或cron定时任务更实用。用户可能不知道这些工具的区别,需要简单说明每种方法的优缺点。 另外,用户可能有权限问题,比如是否具有root权限来安装软件或配置auditd。需要提到安装inotify-tools可能需要sudo权限,以及auditd的配置可能需要管理员权限。 最后,总结部分要简明扼要,根据用户需求推荐不同的工具,并提醒注意事项,比如日志管理、权限问题等。确保用户能够根据自身情况选择合适的方法,并理解操作步骤和潜在影响。</think>以下是监控文件夹修改录的多种方法,根据需求场景可选择实时监控或定期检查方案: --- ### 一、实时监控方案 #### 1. 使用 `inotifywait` 工具(推荐) ```bash # 安装工具(Debian/Ubuntu) sudo apt-get install inotify-tools # 监控目录的创建/删除/修改事件 inotifywait -m -r --timefmt "%F %T" --format "%T [%e] %w%f" \ -e create,delete,modify,move 目录路径 | tee 监控日志.log ``` - **参数说明**: - `-m` 持续监控(不退出) - `-r` 递归监控子目录 - `-e` 指定监控事件(常用事件:create,delete,modify,move) - **输出示例**: ```text 2024-01-01 14:30 [CREATE] /监控目录/newfile.txt 2024-01-01 14:31 [MODIFY] /监控目录/existing.txt ``` #### 2. 使用 `auditd` 系统审计(专业级) ```bash # 添加审计规则 sudo auditctl -w 目录路径 -p warx -k dir_monitor # 查看审计日志 ausearch -k dir_monitor -i ``` - **规则解释**: - `-w` 监控路径 - `-p warx` 监控写入(w)、属性修改(a)、读取(r)和执行(x) - `-k` 定义搜索关键词 --- ### 二、定期检查方案 #### 1. 使用 `find` 命令检测时间戳 ```bash # 查找过去24小时内被修改的文件 find 目录路径 -type f -mtime 0 -exec ls -l {} \; # 查找过去1小时内被修改的文件 find 目录路径 -type f -mmin -60 ``` - **时间参数**: - `-mtime n`:n天前(0表示今天) - `-mmin n`:n分钟前 #### 2. 对比目录快照 ```bash # 生成初始快照 tree -afis --noreport 目录路径 > snapshot1.txt # 生成新快照并对比 tree -afis --noreport 目录路径 > snapshot2.txt diff snapshot1.txt snapshot2.txt ``` - **说明**:`tree`命令需安装,`-afis`参数显示完整路径和文件信息 --- ### 三、自动化监控脚本示例 ```bash #!/bin/bash DIR="/监控目录" LOG="/var/log/dir_changes.log" # 每5分钟检查一次修改 while true; do changes=$(find $DIR -type f -mmin -5) if [ -n "$changes" ]; then echo "[$(date)] 检测到修改:" >> $LOG echo "$changes" >> $LOG fi sleep 300 done ``` --- ### 四、进阶工具(企业级) 1. **Tripwire**:文件完整性检查工具 2. **AIDE**:高级入侵检测环境 3. **SELinux/AppArmor**:强制访问控制 --- ### 注意事项 1. **日志管理**:长期监控需配置日志轮转(如`logrotate`) 2. **权限要求**:审计工具需要`root`权限 3. **隐藏文件**:上述方法默认包含隐藏文件(以`.`开头的文件)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值