Android selinux权限设置

最新推荐文章于 2024-05-05 15:14:28 发布
最新推荐文章于 2024-05-05 15:14:28 发布
阅读量2k 收藏 2
点赞数
分类专栏: Android selinux

背景

在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限。

selinux权限设置

案例一 db访问不了了

背景

有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。

解决方案及过程

  • 最终解决方案

在系统fingerprint.te里添加权限

allow fingerprintserver apk_data_file:dir {read write open ioctl execute search getattr add_name create_dir_perms};

allow fingerprintserver apk_data_file:file {read write open ioctl create_file_perms};

第一句意思是允许fingerprintserver类型对apk_data_file类型的目录(dir)执行 read 、 write 、open 等操作

第二句意思是允许fingerprintserver类型对apk_data_file类型的文件(file)执行 read 、 write 、open 等操作

  • 如何判断的fingerprintserver类型、apk_data_file类型以及要执行什么操作

由于db文件是在/data/app目录下,那么肯定是要对/data/app目录下的文件进行操作。

所以我们只要找一下/data/app所在的域

查看/data/app目录所在的域 , adb shell 进入data目录,并执行如下命令

root@XXX :/data # ls -Z

drwxrwx— system system u:object_r:system_data_file:s0 amit

drwxrwxr-x system system u:object_r:anr_data_file:s0 anr

drwxrwx–x system system u:object_r:apk_data_file:s0 app

drwx—— root root u:object_r:asec_image_file:s0 app-asec

drwxrwx–x system system u:object_r:system_data_file:s0 app-lib

可以看出来data目录下有很多子目录,这里列出了amit 、anr、app、app-asec、app-lib等子目录,

其中app目录所在的域为apk_data_file就是这么找的。

  • 那为什么是 fingerprintserver 类型

前提是我们知道谁即哪个进程操作了这个db,

本例中是fp_native_service访问db

知道谁操作了这个db可以用以下方法查找进程所在的域 , adb shell 然后作如下操作

root@XXX :ps -Z

u:r:drmserver:s0 drm 302 1 /system/bin/drmserver

u:r:mediaserver:s0 media 303 1 /system/bin/mediaserver

u:r:fingerprintserver:s0 system 258 1 /system/bin/fp_native_service

u:r:installd:s0 install 304 1 /system/bin/installd

u:r:keystore:s0 keystore 306 1 /system/bin/keystore

这里没有将所有进程都列出来,只列出了部分进程,

但可以看到fp_native_service所在的域是fingerprintserver

即fingerprintserver类型的进程要对apk_data_file类型的文件进行某些操作

  • 如何判断要执行什么操作

即排查是哪个权限问题

kenel.log中关键错误信息如下 这里搜的是 avc: denied

[ 486.936152] (0)[286:logd.auditd]type=1400 audit(1420041749.210:15756): avc: denied { write } for pid=5927 comm=”fp_native_servi” name=”app” dev=”mmcblk0p22″ ino=425985 scontext=u:r:fingerprintserver:s0 tcontext=u:object_r:apk_data_file:s0 tclass=dir permissive=0

其实log里已经包含了所有问题了。

scontext=u:r:fingerprintserver:s0 tcontext=u:object_r:apk_data_file:s0 tclass=dir permissive=0

那怎么知道是不是sepolicy权限引起的问题

判断是否是sepolicy权限问题

adb shell 之后执行setenforce 0可以暂时去除sepolicy权限 (不用重启机器,而且重启之后权限又恢复成原来的了)

具体操作为:

C:\Users>adb shell
root@XXX :/ # setenforce 0
setenforce 0

sepolicy权限去除之后发现db文件可以生成了。说明是sepolicy权限的问题。

这个setenforce 0 后面的零是什么意思 (只能是0或者1)

usage: setenforce [ Enforcing | Permissive | 1 | 0 ]

setenforce 0 设置SELinux 成为Permissive模式 (不检测sepolicy权限,但是会将违反权限的操作记录到log)

setenforce 1 设置SELinux 成为Enforcing模式 (强制检测sepolicy权限)

selinux sepolicy权限语法规则

查看当前进程拥有的selinux权限

查看进程拥有的selinux权限,adb shell 然后执行 ps -Z

LABEL USER PID PPID NAME

u:r:servicemanager:s0 system 260 1 /system/bin/servicemanager

u:r:vold:s0 root 261 1 /system/bin/vold

u:r:surfaceflinger:s0 system 262 1 /system/bin/surfaceflinger

u:r:init:s0 root 263 1 /system/bin/sh

u:r:kernel:s0 root 273 2 kauditd

u:r:ccci_fsd:s0 radio 274 1 /system/bin/ccci_fsd

u:r:ccci_mdinit:s0 system 275 1 /system/bin/ccci_mdinit

u:r:kernel:s0 root 277 2 kworker/3:2H

LABEL里

u:r:servicemanager:s0

uandroid只定义了一个user
r:进程统一定义成r  文件统一定义成 object_r
servicemanager:进程所属的域 , 不唯一。 
s0:一种安全等级

查看当前文件拥有的selinux权限

查看文件拥有的selinux权限需要执行 ls -Z

root@XXX :/data # ls -Z

drwxrwx— system system u:object_r:system_data_file:s0 amit

drwxrwxr-x system system u:object_r:anr_data_file:s0 anr

drwxrwx–x system system u:object_r:apk_data_file:s0 app

drwx—— root root u:object_r:asec_image_file:s0 app-asec

drwxrwx–x system system u:object_r:system_data_file:s0 app-lib

u:android定义的user,只有一个
object_r:代表是一个文件
apk_data_file:这种代表文件所属的域,看有的解释说可以理解成type
s0:一种安全等级

mtk平台 selinux有三种工作模式

\bootable\bootloader\lk\platform\mtXXXX\rules.mk

# choose one of following value -> 1: disabled/ 2: permissive /3: enforcing
SELINUX_STATUS := 3

SELINUX_STATUS值代表的含义如下:

1:disabled (不检测权限)

2:permissive (警告模式运行,所有操作都被允许,但是如果违反权限会被记录到日志,目测就是kernel.log)

3:enforcing (强制检测)

sepolicy权限设置报错

ERROR: end of file in comment

这是由于文件最后加了 注释

例如
type gx_fpd_data_file, file_type, data_file_type;
######## end ####

Multiple same specifications for 这个是重复定义了。

本来是external/sepolicy权限已经定义了

结果在device/mediatek/common/sepolicy目录下又定义了一遍
cuitianxiang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9425
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
增加多流
zjy764219923的专栏
12-21 611
一、简介 本文主要介绍如何android6.0添加localsocket通信、添加自定义uid的权限问题,以及增加虚拟网卡。 二、详细介绍 添加selinux权限: 1.src/LINUX/android/device/qcom/sepolicy/Android.mk --- a/src/LINUX/android/device/qcom/sepolicy/Andro...
Android selinux权限
最新发布
weixin_49303682的博客
05-05 1045
SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedora core 2开始, 2.6内核的版本都支持SELinux。在 SELinux 出现之前,Linux 上的使用的安全模型是 DAC( Discretionary Access Control 自主访问控制)。DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用户的权限相同。
Android权限说明(apk的运行权限和sepolicy)
niotong2014的博客
05-17 2459
参考链接地址 Android sepolicy知识链接 APK如何获取System权限 Android 7.0 SEAndroid app权限配置 1.首先了解一个基础知识ps -Z 和ls -Z,这两个命令分别查看进程和文件的sepolicy属性 下面是apk拥有system权限 u:r:system_app:s0 system 30098 1653 ...
android apk的sepolicy domain是如何指定的呢
入琞的博客
12-29 2006
1 ps -AZ 可以看到对应进程的sepolicy domain信息 如下面的 platform_app gmscore_app priv_app mediashell_app u:r:platform_app:s0:c512,c768 u0_a66 954 383 1109868 51060 do_epoll_wait 0 S com.android.systemui u:r:gmscore_app:s0:c512,c768 u0_a41
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
selinux权限修改.pdf
03-26
本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce ...
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
访问文件的SELinux权限添加
qq_34211365的博客
05-11 5498
最近做了一个功能:设备首次驻网时,在设备指定目录创建文件,并在此文件中写入当前的时间,然后通过暗码可以读取这个时间 这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件,"/data/vendor/time_code/time_code.txt",此时SELinux权限问题就来了,如下所示:
linux允许程序创建目录失败,SELinux:允许进程在某个目录中创建任何文件
weixin_33345090的博客
04-28 381
我有一个脚本,当被调用时,将导致dmesg的内容被写入文件,文件的名称基本上是一个时间戳. SELinux阻止了这一点.根据Fedora的SELinux故障排除应用程序的建议,我试过:grep dmesg /var/log/audit/audit.log | audit2allow -M mypolsemodule -i mypol.pp但是,这似乎不起作用,可能是因为它创建的文件的名称每次都不同...
展讯 Android 7.0 编译错误相关问题
杨涂涂的博客
12-27 4380
错误1: Communication error with Jack server (28). Try ‘jack-diagnose’ 错误2: Multiple same specifications for XXXX. Error: could not load context file from ……/service_contexts.tmp
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Selinux小结
热门推荐
~山之歌~
11-30 1万+
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言    3 1、安全属性——SContext    3 2、TE简介    4 1). 客体类别和许可:    4 2). 访问向量规则:    5 3). AV规则    5 四、SElinux策略文件
Android P SElinux权限调试
Kian_G 的博客
04-21 6616
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7082
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 4035
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
Android添加开机启动服务程序关于Selinux权限问题说明
sun007700的专栏
04-06 582
该提示说明没有定义SELinux domain,导致服务eGTouchD无法自启动。
android selinux权限设置
05-20
如果你需要修改 SELinux权限设置,可以按照以下步骤进行操作: 1. 首先,你需要将设备的开发者选项打开。在 Android 设备上,你可以通过进入“设置”应用,然后点击“关于手机”来找到“版本号”并连续点击它七...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值