Android SELinux规则如何编写，工具处理

最新推荐文章于 2024-10-09 10:16:10 发布

fuqiang_2015

最新推荐文章于 2024-10-09 10:16:10 发布

阅读量397

点赞数 4

分类专栏： android 文章标签： android linux

本文链接：https://blog.csdn.net/fuqiang_2015/article/details/140219862

版权

android 专栏收录该内容

1 篇文章 1 订阅

订阅专栏

1.直接从日志中获取信息添加缺失的SELinux权限

[    3.342984] audit: type=1400 audit(243.435:7): avc:  denied  { open } for  pid=313 comm="sn_writer" path="/dev/__properties__/u:object_r:vendor_product_prop:s0" dev="tmpfs" ino=14874 scontext=u:r:startup:s0 tcontext=u:object_r:vendor_product_prop:s0 tclass=file permissive=0

上方denied { open }的{ open }表示执行的操作。根据它和末尾的 tclass=file permissive=0，可以大致了解是对什么对象执行什么操作被拒绝了。
scontext=u:r:startup:s0 表示发起相应操作的环境，此示例表示的是startup service。
tcontext=u:object_r:vendor_product_prop:s0 表示操作目标的环境，在此示例中是归 startup 所有的某个 file。
comm="sn_writer" 可帮助了解拒绝事件发生时正在运行的程序。

可以总结出selinux权限语法为：

allow [scontext] [tcontext]:[tclass] [denied];
allow startup vendor_product_prop:file open;

2.audit2allow使用总结

把手机里面的policy文件拉到工程根目录
配置环境变量
复现场景
导出dmesg/logcat喂给audit2allow生成selinux rule

3.可以直接使用可视化工具处理

GitHub - fq0222/android_selinux_tools: 帮助开发者快速根据日志，生成Allow规则语句。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

fuqiang_2015

关注关注

4
点赞
踩
4

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Android不同版本SELinux的介绍

01-01

- **setenforce**：这个工具可以临时切换SELinux的执行模式，如从强制模式切换到_permissive_模式，用于调试。 - **ausearch**：查找与SELinux相关的事件，帮助分析被拒绝的访问尝试。 - **audit2allow**：基于日志...

Android14之audit2allow自动生成Selinux规则(一百七十五)

Android系统攻城狮

01-02

1531

本篇目的：audit2allow自动生成Selinux配置。SELinux，全称Security-Enhanced Linux，是一种基于Linux内核的安全机制。它通过强制访问控制（MAC）来增强Linux系统的安全性，对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局（NSA）开发的，于2000年首次集成到Linux内核中。它通过将每个对象（如文件、进程和用户）和动作（如读写、执行）分配给一个安全上下文来实现安全访问控制。

1 条评论您还未登录，请先登录后发表或查看评论

android中SELINUX规则分析和语法简介

爱技术的蓝胖子

12-11

5493

目录：SELINUX简介查看SELINUX权限1. 进程2. 文件如何配置selinux1.基本语法A. 上下文描述文件B. 策略文件te2.举例：生成规则文件的方法 SELINUX简介 SELINUX是可以理解为一种android上面的安全机制，是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统，我们可以通过配置SELINUX的相关policy，来定制自己的手机的一些权限，比如，...

Android系统SELinux简单整理

weixin_40366279的博客

04-20

5696

SELinux分成了两部分，位于 /system/sepolicy 下的 platform 部分和位于 /device/vendorXXX/sepolicy 下的 vendor 部分。对应开发板子上目录 /system/etc/selinux 下的 platform 部分和位于 /vendor/etc/selinux 下的 vendor 部分。 >>>>>> 哪些是 coredomain ??? Coredomain 是 attribute(属性)，属于 domain

使用audit2allow工具来根据avc log生成selinux规则

sunnywalden

12-27

1516

使用audit2allow工具来根据avc log生成selinux规则

安卓SELinux策略

似霰的博客

05-07

555

安卓SELinux策略

hidl service selinux rule

02-07

HIDL是Android用于抽象硬件接口的一种方式，它允许上层应用程序与底层硬件驱动进行通信，而SELinux规则则是确保这些通信过程安全的重要手段。首先，我们需要理解HIDL服务的工作原理。在Android系统中，硬件抽象层...

Android 中的安全增强型 Linux（selinux）

10-03

总之，Android 中的 SELinux 是一个强大的安全工具，通过严格的访问控制策略，提高了系统的整体安全性，限制了潜在威胁的影响，并为用户提供了更安全的环境。随着 Android 版本的迭代，SELinux 的功能和重要性也在...

Android加速开机速度的工具

05-14

但是某些设计不良的系统 MIUI 会因为某种原因导致这个过程失败（比如 selinux 规则不正确，某些文件无法被 init restorecon ），导致 hash 不会被记录。从而每一次重启都要执行完整的 restorecon ，因此开机经常要在...

Securing Android-Powered Mobile Devices Using SELinux

05-05

3. **策略编译和定制**：根据Android的应用环境，编写和优化策略规则。 4. **系统服务调整**：为每个系统服务分配适当的SELinux上下文，确保服务在受控环境中运行。 5. **测试和调试**：进行广泛的测试，查找并修复...

android selinux权限添加

weixin_46027271的博客

01-15

2590

本文基于Android10版本举例介绍selinux的添加方法

Android 用户组权限，SELinux心得总结

Mis_wenwen的博客

11-09

8066

这里要分两个部分来说，一个是Linux权限组的设定，一个是SELinux。我们先不考虑SELinux。先单独来说Linux权限组。因为要想对某个文件进行操作(read,write,execute等)，必须先满足Linux权限组的规则，然后再满足SeLinux的allow条件，才能成功操作。我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...

Android安全策略SELinux

热门推荐

qq_27672101的博客

08-01

1万+

SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前，Linux系统上的安全模型叫做DAC（自主访问控制），其原理是进程所拥有的权限与执行它的用户的权限相同（例如：以root用户启动Browser，那么Browser就有root用户的权限，在Linux系统上能干任何事情）。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上，设计了新的安全模型叫做MAC（强制访问控制），其原理是任何进程想在SELinux系统中干任何事情，都必

android SELINUX规则分析和语法简介

猿氏悟语

04-15

9415

SELINUX是可以理解为一种android上面的安全机制，是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统我们可以通过配置SELINUX的相关policy，来定制自己的手机的一些权限，比如，我们可以完全让root用户没有任何的权限和user一样在android里面，有两个类型，一种是文件，一种是进程。针对这两种类型，我们可以先来看看他们的不同。在android上面，adb shell之后进入手机，ps -Z可以查看当前进程所拥有的selinux的权限。

Android App Selinux seapp权限详解

求变，从思想开始

05-07

9912

system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...

Android AOSP添加selinux权限的方法

qq_40694393的博客

06-13

940

注意：安卓原生的权限添加，只需要在/system/sepolicy/下找到.te文件，若是有供应商自定义的内容，则还需要同时在/device/xxx/seplociy/下找到同名文件添加同样的内容。添加的语句：allow platform_app app_data_file:file execute;1.根据log报错来手动添加，这种方法有一定风险，不熟悉语法添加的新手可能报错。添加的位置：AOSP下找到文件名为“缺少权限的对象.te”需要访问的文件：app_data_file。

[Android开发技巧] 通过avc日志自动生成selinux策略

a572423926的博客

04-17

667

当我们添加一个新的进程、或者移植一个新的平台时，日志中存在大量的selinux报错，根据日志手动添加selinux策略的方法就显得很笨且麻烦了。利用linux系统给我们提供的audit2allow工具，我们只需要抓取完整的日志，过滤出avc相关的报错，即可根据这些日志一次性生成对应的策略，然后添加到对应的te文件即可

高通Selinux权限规则

郑敏

05-31

410

权限规则，另外不要忘记，/system/sepolicy/prebuilts/api/32.0/private/system_server.te也要添加同样信息，否则编译报错。切记一定要同步，包括添加位置要一模一样，报错信息日志如下图所示（不知道avc权限控制是什么东西，请看这篇文章。4、翻译上面dmesg avc报错修改如下所示。参考第4点，报错信息如下所示。1、背景：原因是因为这张图。6、修改之后进行编译验证。

安卓的漏洞类型和扫描工具