SeLinux:有关system_app的权限问题

最新推荐文章于 2024-09-27 16:28:24 发布
最新推荐文章于 2024-09-27 16:28:24 发布
阅读量2.7k 收藏
点赞数
分类专栏: Android相关 转载

 

SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Android 4.4引入,L相对较为全面成熟,具体的信息如博客:

https://blog.csdn.net/bsxiaomage/article/details/51126826 作者 lansehai2014

Selinux的两种模式分别为:1.Enforcing表示seLinux已经打开;.Permissive表示seLinux已经关闭;可以通过adb命令查看设备Selinux权限:

1.查看Selinux的打开状态

adb shell getenforce

2.Permissive模式关闭Selinux

adb shell setenforce 0

3.Enforcing模式打开Selinux

adb shell setenforce 1

再进行一些读写操作时候,可能出现报错停运的问题,抓取log可以发现类似下面信息:

01-01 07:03:04.176 4545 4545 E libc : Access denied finding property "logd.logpersistd.enable" 01-01 07:03:04.175 4545 4545 W ndroid.settings: type=1400 audit(0.0:505): avc: denied { open } for path="/dev/__properties__/u:object_r:logpersistd_logging_prop:s0" dev="tmpfs" ino=293 scontext=u:r:system_app:s0 tcontext=u:object_r:logpersistd_logging_prop:s0 tclass=file permissive=0 01-01 07:03:04.178 4545 4545 W libc : Unable to set property "persist.logd.logpersistd.buffer" to "": error code: 0x18 01-01 07:03:04.179 4545 4545 D AndroidRuntime: Shutting down VM --------- beginning of crash 01-01 07:03:04.184 4545 4545 E AndroidRuntime: FATAL EXCEPTION: main 01-01 07:03:04.184 4545 4545 E AndroidRuntime: Process: com.android.settings, PID: 4545

主要权限相关的信息,主要查找标红位置:

avc: denied { open } for path="/dev/__properties__/u:object_r:logpersistd_logging_prop:s0" dev="tmpfs" ino=293 scontext=u:r:system_app:s0 tcontext=u:object_r:logpersistd_logging_prop:s0 tclass=file permissive=0

相关信息代表的含义如下:

avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0

可以发现是有关system_app的权限问题,此时可以查看设备的selinux权限是否打开?如果未打开可以用adb shell setenforce 1设置权限再去验证是否报错

代码端修改:

1.提取log信息:allow 源类型 目标类型:访问类别 {权限};

2.在文件alps/device/mediatek/sepolicy/basic/non_plat/system_app.te里添加对应的selinux权限:

allow system_app logpersistd_logging_prop:file { open };

获取权限的代码容易出错,可以使用audit2allow生成。

3.audit2allow使用

1).新建文档Myselinux,并将权限log复制进去(两次,一般第一次识别不了)

avc: denied { open } for path="/dev/__properties__/u:object_r:logpersistd_logging_prop:s0" dev="tmpfs" ino=293 scontext=u:r:system_app:s0 tcontext=u:object_r:logpersistd_logging_prop:s0 tclass=file permissive=0 avc: denied { open } for path="/dev/__properties__/u:object_r:logpersistd_logging_prop:s0" dev="tmpfs" ino=293 scontext=u:r:system_app:s0 tcontext=u:object_r:logpersistd_logging_prop:s0 tclass=file permissive=0

2).命令生成代码

audit2allow -i Myselinux

3).重新打开Myselinux就可以拿到生成的代码

allow system_app logpersistd_logging_prop:file { open };

GerryZhu
关注
专栏目录
详解Android Selinux 权限问题
08-28
Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4中也有限制性地启用了这一...
SELinux权限问题解决
aylr2015的博客
06-27 1044
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 1962
android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
Android SELinux权限
最新发布
weixin_75102992的博客
09-27 816
在mk中增加Prop,通过SystemProperties去获取时发现出现Access denied finding property "ro.vendor.firmware.version"问题。对于vendor下property权限,类似file权限attributes.te定义type:在property.te 中添加:在property_contexts中添加:system_app.te添加权限
SeLinux权限
MrDouYa的博客
03-19 1555
SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Android 4.4引入,L相对较为全面成熟,具体的信息如博客: https://blog.csdn.net/bsxiaomage/article/details/51126826 作者 lansehai2014 Selinux的两种模式分别为:1.Enforcing表示seLinux已经打开;...
selinux权限
weixin_43899302的博客
08-19 1914
selinux
SELinux权限
Kian_G 的博客
03-30 5789
SELinux权限 SELinux简介 SELinux是2.6版本Linux内核中提供的强制访问控制系统,selinux默认配置在/etc/sysconfig/selinux。 默认有三种级别 enforcing Linux下 selinux所设置的安全策略都会被启用.所有与selinux安全策略有关的服务或者程序都会被策略阻止.也就是,所有操作都会进行权限检查。 permissi...
Android 7.0 SEAndroid app权限配置方法
08-27
在探讨Android 7.0 SEAndroid app权限配置方法之前,首先要了解SEAndroid(Security Enhanced Android)的概念。SEAndroid是基于SELinux(Security Enhanced Linux)扩展的一个安全模块,用于增强Android系统的安全...
selinux权限说明
12-30
类型强制是SELinux的核心,它为每个进程和文件分配了一个类型,如`app`、`system_server`等。每个类型都有自己的权限集,只允许执行特定的操作。例如,`app`类型的进程通常不允许直接访问系统文件,除非策略中特别...
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
此外,对于开发人员来说,调试Selinux相关的权限问题是一项挑战。他们需要使用工具如`adb shell`和`getenforce`来查看当前的Selinux状态,以及`ausearch`或`audit2allow`来分析日志并生成修复策略。有时,为了调试,...
adb shell getenforce/setenforce(三级命令)
深度安全实验室
01-10 1585
adb shell getenforce adb shell setenforce
Selinux权限介绍
littleyards的博客
03-26 619
可以看出,这里对主体(platform_app )访问客体(system_file)的子项(比如文件夹)的某项权限都进行了精确的规定。一个文件可以规定为:拥有它的用户具有什么权限,和它同组的用户具有什么权限以及其它的用户具有什么权限。这里说的是用户空间,是因为Seliunx的权限检查还是由内核完成的。load_policy : 加载二进制策略文件,临时性的操作,重启无效, 一般用于调试,如重新编译了策略文件, 替换新的策略二进制文件, 可以重新让系统加载策略文件。五,Seliunx 常见的命令。
Android S MTK平台关闭SeLinux
file_tang的专栏
02-23 1045
Android S MTK平台关闭SeLinux
Android ADB关闭Selinux ( adb shell setenforce 0 )
希哈科技
08-11 6991
adb shell setenforce 0 setenforce 0 :设置SELinux 成为permissive模式 临时关闭selinux的 在eng/userdebug版本中 使用setenforce 命令进行设置: adb shell setenforce 0 //设置成permissive 模式 adb shell setenforce 1 //设置成enforce 模式 注意此方法重启后失效 在eng/userdebug/user 版本中 使用getenforce 命令查询当前权限状态
Linux系统:selinux规则配置详解
十七拾的博客
03-07 5117
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
Selinux权限配置详解
秦逸轩的博客
07-15 1736
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
Android 查看及设置 SELinux 状态
Luckcat
02-22 2万+
先给出SELinux查看和设置状态的方法查看 SELinux 状态:adb shell getenforce设置SELinux状态:adb shell setenforce 0 adb shell setenforce 1下面对这两种状态做个简单的介绍:在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 但在7.0时又对SELinux加强了限制。 (1)
Android P property属性权限添加
热门推荐
qq_28648425的博客
01-29 2万+
Google在Android O以后,为了降低vendor和system之间的耦合度,对property的作用区域也做了明确的区分,分为vendor三方的property和system平台端的property. 因为参与的项目中需要添加一个system property用作三方应用的包名识别,所以添加了一个property:persist.camera.packagename,之后发现此prope...
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 9310
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
关闭了SELinux 还有type=1400 audit(0.0:735): avc: denied { ioctl } for path="socket:[198772]" dekfs'ino=198772 ioctlcmd=0x8914 sconttype=1400 audit(0.0:736):denied nimsa_write } for scontext=u:r:systemavc:tcontext=u:r:system app:so tclass=rtype=1400 audit(0.0:737): avc: denied { create } for scontext=u:r:system_app:!ntext=u:r:system_app:s0 tclass=can_so
06-13
根据你提供的信息,这是一条 SELinux 的审计日志,其中包含了针对某个进程或应用程序的权限访问请求被拒绝的信息。具体来说,这些请求包括了对某个 socket 文件进行 ioctl 操作、进行某个系统调用的写操作、以及创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值