【android 9】【selinux】【2.工具篇】

已于 2024-05-18 18:26:36 修改
阅读量1.1k 收藏 8
点赞数 35
文章标签: android
于 2024-05-07 13:37:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/handsomethefirst/article/details/138507051
版权

系列文章目录

可跳转到下面链接查看下表所有内容https://blog.csdn.net/handsomethefirst/article/details/138226266?spm=1001.2014.3001.5501文章浏览阅读2次。系列文章大全https://blog.csdn.net/handsomethefirst/article/details/138226266?spm=1001.2014.3001.5501

目录

系列文章目录

1.audit2allow工具的使用

1.1 audit2allow的安装

1.2 auditallow的命令

1.3 audit2allow的使用

2.audit2allow无法使用的问题

2.1 问题

2.2 解决办法

1.audit2allow工具的使用

audit2allow 命令的作用是分析日志,并提供允许的建议规则或拒绝的建议规则。

1.1 audit2allow的安装

sudo apt-get install policycoreutils

sudo apt install policycoreutils-python-utils

1.2 auditallow的命令

命令含义用法

-v

--version显示程序的版本号并退出
-h--help显示此帮助消息并退出
-b--boot 自最近启动的audit的审计消息,与-i冲突
-a--all从审计的log中读取输入,与-i冲突
-i<输入文件>--input从输入文件中读取输入

1.3 audit2allow的使用

第一步:从及其中抓取全部log生成对应的log文件。

抓取命令如下:

adb logcat –b all | grep avc >log.txt

一般log.txt内容如下:

12-15 12:52:16.779 11931 11931 I auditd  : type=1400 audit(0.0:24731): avc: denied { sendto } for comm="testservice" name="testservice_error" dev="vdj" ino=14 sco
ntext=u:r:testservice:s0 tcontext=u:object_r:test_daemon:s0 tclass=unix_dgram_socket permissive=1

第二步:处理log文件

此时需要将生成的log文件最后一行未打全的log进行删除

第三步:在ubuntu终端下直接分析log生成对应的te文件

audit2allow –i log.txt >log.te

生成对应的内容例如下:

第四步:根据抓取的生成的te文件确定需要添加的文件名

此时========testservice.te========代表我们需要在testservice.te这个文件下添加提示的te语句

allow testservice test_daemon:unix_dgram_socket sendto;

第五步:编译打包

安卓编译三部曲

1.source build/envsetup.sh

2.lunch

3.make -j8

第六步:将ubuntu下编译的镜像刷写进入机器中

android侧常用刷写指令

fastboot devices:列出所有已经进入fastboot模式的设备。

fastboot erase system 擦除设备指定的分区

fastboot flash system system.img 将指定的image文件刷入设备的指定分区。

fastboot reboot:重启设备。

第七步:验证

开机启动后,找到testservice.te对应的进程名,本文进程名也是testservice

ps -A|grep testservice

然后抓取avclog,自己添加的te语句对应的avc log是否出现,若未出现,则修改成功。

logcat -b all --pid=3584|grep avc

2.audit2allow无法使用的问题

2.1 问题

在使用audit2allow工具自动生成avc语句时,可能会出现此问题

2.2 解决办法

1.cd /usr/bin/

2.vim audit2allow

3.把文件的第362行到365行注销掉,保存

4.重新执行audit2allow –i denied.txt >deniedte.txt语句即可

handsomethefirst
关注
  • 35
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux介绍.pdf
06-22
本文档详细介绍了SELinux系统,并且详细讨论了在android平台上应该如何配置SELinux规则 SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为...
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 5516
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
[SeLinux]audit2allow安装与使用
wu_shao_hua的专栏
06-29 4584
1.audit2allow的安装: sudo apt install policycoreutils 2.audit2allow的用法 抓log并保存至文件: adb logcat -b all > error_log.txt 3.分析SeLinux问题的log: audit2allow -i error_log.txt 有些系统在执行audit2allow时会出现错误“unable to open (null): Bad address” 有两个方法可以规避这个问题.....
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1210
使用audit2allow工具来根据avc log生成selinux规则
工具audit2allow自动生成Selinux策略语句
weixin_40366279的博客
09-24 2009
1.audit2allow的安装: #sudo apt install policycoreutils 2.audit2allow的用法 (1)抓取和权限相关的log指令,并重定向保存至文件(假如是:avcTest.txt): #adb logcat -b all | grep "avc" > ./avcTest.txt (2)将保存相关的log的文件复制到ubuntu里面,使用命令: #audit2allow -i avcTest.txt-o avc.te 3.打开生成的avc.te文件,根据.
Linux学习教程(第十八章 SELinux管理)
sinat_41942180的博客
12-26 405
Linux是一个开源免费、可以自由传播和修改的操作系统。
android audit2allow工具使用步骤
楼中望月
03-15 8035
在dmesg里面经常会看到很多的avc denied的打印,如果有很多这种打印,那可以借助于android提供的audit2allow工具帮我们转换成allow语句。 使用步骤如下: 一、将dmesg中的相关avc denied的打印语句,复制到一个txt文件中,我这里取名为tee-supplicant.txt(因为我正在操作的进程是tee-supplicant) avc: denied { read append } for comm="tee-supplicant" name="kmsg_debug"
Linux系统的安全模块Selinux总结
yolo_yyh的博客
11-15 2338
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这文章可以帮助大家如何定位selinux权限问题。
SELinux详解.pdf
11-22
《SELinu详解》讲解了关于SELinux的重点知识内容,部分重点内容带有书签,这部分内容在SEAndroid中足够使用,学习这部分即可
SELinux详解-中文版.pdf
10-18
SELinux详解》是一本深度解析安全增强的Linux(SELinux)操作系统的书籍,旨在帮助读者理解、编写、修改和管理SELinux策略,提升Linux系统的安全性。书中详细介绍了SELinux的作用、生效机制以及策略模块的编写,...
container-selinux-2.119.2-1.911c772.el7_8.noarch.rpm
09-18
docker离线安装所需包,需要的拿去吧
SELinux中文.pdf
08-20
2. SELinux 的特点 SELinux 的主要特点包括: * 强制访问控制(Mandatory Access Control,MAC) * 基于角色的访问控制(Role-Based Access Control,RBAC) * 可配置的安全策略 * 支持多种 Linux 内核版本 3. ...
SELinux audit2allow命令使用
热门推荐
dk_work的博客
05-22 1万+
解决方案: 首先将我们的报错avc日志拷出来做成一个avc.txt放在Ubuntu系统下面在终端中运行以下命令生成的avc.te文件就是我们的解决方法了。 audit2allow –i avc.txt >avc.te avc.txt avc: denied { create } for name="hsdi_tmp" scontext=u:r:system_app:s0 tcontext=u...
SELinux avc权限--audit2allow
u012944254的博客
11-15 5548
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限。 使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
Selinux配置详解
guangshi007的专栏
03-18 1万+
1.背景SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The NationalSecurity Agency」 和SCC(Secure Computing Corporation)开发的Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。现在以Linux作为因特网服务器是越来越普遍的
SELinux auditd日志系统
haohaoxuexiyai的博客
02-21 1661
目录SELinux auditd日志系统的安装与启动SELinux auditd日志使用方法audit2why命令audit2allow命令sealert命令 SELinux auditd日志系统的安装与启动 当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息
Ubuntu上使用audit2allow解决Android Selinux问题
最新发布
fred专栏
05-06 413
遇到错误,提示需要用-p指定policy file,然偶尝试创建一个policy空文件,用-p选项,遇到如下错误。首先跟进错误log的堆栈信息找到源码,尝试把352行和354行注释掉,试试。提前用dmesg或者串口抓取kernel log。
/selinux/.* 表示什么意思】
06-10
/selinux/.* 是一个正则表达式,它表示以 /selinux/ 开头的路径,后面可以跟任意数量的任意字符。这个正则表达式通常用于 SELinux 安全策略中,用于规定哪些进程可以访问 /selinux 目录下的任意子目录或文件。其中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值