[SELinux Debug]SELinux 权限问题解析

最新推荐文章于 2024-08-09 20:35:54 发布
最新推荐文章于 2024-08-09 20:35:54 发布
阅读量1k 收藏 2
点赞数
分类专栏: android 文章标签: 权限问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades0821/article/details/79976224
版权

SELinux 分成enforcing mode 和 permissive mode, enforcing mode 会强制性限制访问

SELinux 权限在userdebug版本或者eng版本可以通过 adb shell setenforce 0 和 adb shell setenforce 1来设置这两种模式

通过adb shell getenforce 来读取当前的模式.

产生问题:在APP上层去读取驱动节点或者改变节点的值的时候,很容易产生SELinux 权限问题

分析问题:1.调试版本上对相应的节点赋予所有的权限chmod 777 /proc/*
2.手动切换permissive 模式调试正式是否正常
3.切换到user版本抓取mainlog,通过audit2allow 命令去读取到缺少的权限,
audit2allow -i log.txt 注意:linux中需要安装相应命令audit2allow
4.最后添加到对应的te文件当中即可

目前所有的SELinux check 失败,在kernel log 或者android log(L版本后)中都有对应的”avc: denied” 或者 “avc: denied”的LOG 与之对应。反过来,有此LOG,并非就会直接失败,还需要确认当时SELinux 的模式, 是enforcing mode 还是 permissve mode.
首先, 务必确认对应进程访问系统资源是否正常, 是否有必要 ?如果本身是异常非法访问,那么就要自行消除访问。
其次, 如果确认访问是必要,并且正常的,那么就要对对应的process/domain 增加新的policy.

1). 简化方法
1.1 提取所有的avc LOG. 如 adb shell “cat /proc/kmsg | grep avc” > avc_log.txt
1.2 使用 audit2allow tool 直接生成policy. audit2allow -i avc_log.txt 即可自动输出生成的policy
1.3 将对应的policy 添加到selinux policy 规则中,对应MTK Solution, 您可以将它们添加在KK: mediatek/custom/common/sepolicy, L: device/mediatek/common/sepolicy 下面,如
allow zygote resource_cache_data_file:dir rw_dir_perms;
allow zygote resource_cache_data_file:file create_file_perms;
===> mediatek/custom/common/sepolicy/zygote.te (KK)
===> device/mediatek/common/sepolicy/zygote.te (L)
注意audit2allow 它自动机械的帮您将LOG 转换成policy, 而无法知道你操作的真实意图,有可能出现权限放大问题,经常出现policy 无法编译通过的情况。

2). 按需确认方法
此方法需要工程人员对SELinux 基本原理,以及SELinux Policy Language 有了解.
2.1 确认是哪个进程访问哪个资源,具体需要哪些访问权限,read ? write ? exec ? create ? search ?
2.2 当前进程是否已经创建了policy 文件? 通常是process 的执行档.te,如果没有,并且它的父进程即source context 无须访问对应的资源,则创建新的te 文件.
在L 版本上, Google 要求维护关键 security context 的唯一性, 比如严禁zygote, netd, installd, vold, ueventd 等关键process 与其它process 共享同一个security context.
2.3 创建文件后,关联它的执行档,在file_contexts 中, 关联相关的执行档.
比如 /system/bin/idmap 则是 /system/bin/idmap u:object_r:idmap_exec:s0
2.4 填写policy 到相关的te 文件中
如果沿用原来父进程的te 文件,则直接添加.
如果是新的文件,那么首先:
#==============================================
# Type Declaration
#==============================================
type idmap, domain;
type idmap_exec, exec_type, file_type;

#==============================================
# Android Policy Rule
#==============================================
#permissive idmap;
domain_auto_trans(zygote, idmap_exec, idmap);

然后添加新的policy

# new policy
allow idmap resource_cache_data_file:dir rw_dir_perms;
allow idmap resource_cache_data_file:file create_file_perms;

hades0821
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MTK 6765/6739/6755/6761/6763 android9.0 user版本打开root权限(adb root权限和 apk root权限)
cczhengv
12-23 7227
前言 相比较 Android8.1 而言,9.0 的 root变得更麻烦了,因为 9.0 开始 google 启用 avb(Android Verified Boot)2.0,安全等级又提高了,可看这篇Android P(9.0) userdebug 版本执行adb remount失败,就连直接编译 userdebug、eng版本都不能直接 push 了,解决办法就是得 fastboot 解锁,然...
Flask应用部署到阿里云服务器失败,无法访问网页,问题出在哪里?
**My Coding Family**
07-23 746
🏆本文收录于《CSDN问答解答》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
SELinux 权限
fmc088的博客
04-19 695
权限修改方法1: adb在线修改seLinux Enforcing(表示已打开),Permissive(表示已关闭)-放宽意思 getenforce; //获取当前seLinux状态 setenforce 1; //打开seLinux setenforce 0; //关闭seLinux这样操作的话,重新启动恢复之前的状态。方法2: 从kernel中...
SELinux 权限设置
老瓦的笔记本
05-28 806
作者:neatchenheng 转自:http://www.iteye.com/topic/677014 一、SELinux简介 SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,
selinux权限
weixin_43899302的博客
08-19 1872
selinux
SELinux权限
Kian_G 的博客
03-30 5751
SELinux权限 SELinux简介 SELinux是2.6版本Linux内核中提供的强制访问控制系统,selinux默认配置在/etc/sysconfig/selinux。 默认有三种级别 enforcing Linux下 selinux所设置的安全策略都会被启用.所有与selinux安全策略有关的服务或者程序都会被策略阻止.也就是,所有操作都会进行权限检查。 permissi...
selinux权限说明
12-30
关于android5.1权限管理说明文档
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3220
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
OpenHarmony南向开发 SA服务SELinux权限配置一站式傻瓜式教程
最新发布
她的吻让他
08-09 896
SELinux是Security Enhanced Linux 的缩写,也就是安全强化的 Linux,旨在增强传统Linux操作系统的安全性,解决传统Linux系统中自主访问控制(DAC)系统中的各种权限问题(如root权限过高等)。这里举一个例子便于理解,假设系统中某个服务进程出现了一个漏洞,使得某个远程用户可以访问系统的敏感文件(如/etc/dev)。
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 2876
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
Selinux权限介绍
littleyards的博客
03-26 564
可以看出,这里对主体(platform_app )访问客体(system_file)的子项(比如文件夹)的某项权限都进行了精确的规定。一个文件可以规定为:拥有它的用户具有什么权限,和它同组的用户具有什么权限以及其它的用户具有什么权限。这里说的是用户空间,是因为Seliunx的权限检查还是由内核完成的。load_policy : 加载二进制策略文件,临时性的操作,重启无效, 一般用于调试,如重新编译了策略文件, 替换新的策略二进制文件, 可以重新让系统加载策略文件。五,Seliunx 常见的命令。
调试SELinux(Security-Enhanced Linux)
idhfufh的博客
04-19 344
SELinux:美国NSA国家安全局提供的一套基于内核的增强强制安全保护机制。 SELinux的运行模式:enforcing(强制),permissivs(宽松),disabled(禁用) 查看/切换SELinux模式: *getenforce //临时检查SELinux状态 *setenforce 1|0 //只能在强制、宽松之间切换 '''配置文件:1) /etc/httpd/conf/httpd.conf [Include] --2) /et...
SELinux 权限问题
wq892373445的博客
05-12 814
权限修改 adb在线修改seLinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前seLinux状态 setenforce 1; //打开seLinux setenforce 0; //关闭seLinux 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/configs/xxx_defconfig文件(xxx一般为手机产品名), 去掉CONFIG_SECURITY_SELINU
SElinux权限问题
ITbigger的博客
10-24 208
SELinux: 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 查看权限SELinux相关权限问题和解决方法,查看下面链接: https://www.cnblogs.com/hellokitty2/p/12264337.html http://gityuan.com/2015/06/13/SEAndroid-permission/ ...
常用selinux debug方法
hanhan1016的专栏
07-25 570
可以先dmesg-C,清空kernellog,然后执行相应的操作,接着再看dmesg,查看是否有selinux报错信息。cat/proc/kmsg|grepavc//查看kernel中的SELinux权限报错。cat/dev/kmsg|grepavc//查看kernel中的SELinux权限报错。
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 1839
在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
SELinux 权限问题调试
marshal_zsx的博客
12-28 3004
1.概述  SELinux全称是Security Enhanced Linux,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,可防御未知攻击2.问题定位  通过指令cat /proc/kmsg | grep denied,或者kernel的Log中定位到标志性log(如:logcat |grep avc),出错信息如下所示:avc: denied { cr
如何分析SELinux Policy Exception
weixin_43455995的博客
03-18 314
如何分析SELinux Policy Exception 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮...
Selinux权限配置详解
秦逸轩的博客
07-15 1660
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
深入解析SELinux:源码与权限控制机制
"SELinux源码分析 - 面向FedoraCore8的详细解析" SELinux(Security Enhanced Linux)是一种先进的强制访问控制(MAC)系统,由美国国家安全局(NSA)与其他合作伙伴共同设计和开发,旨在提高Linux操作系统的安全性...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值