android selinux报avc denied权限和编译报neverallow解决方案

已于 2022-06-06 10:25:33 修改
阅读量7.4k 收藏 36
点赞数 6
分类专栏: android 文章标签: selinux avc denied neverallow
于 2022-06-02 17:25:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackone12347/article/details/125103884
版权

在android修改代码后,经常会遇到运行时报avc denied问题。
下面是我遇到的案例,以及我的解决方案,发出来供大家参考一下。

运行avc denied的日志:

[   20.626831] type=1400 audit(81582.939:4): avc: denied { read write } for comm="tee" name="mmcblk1rpmb" dev="tmpfs" ino=25616 scontext=u:r:tee:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0

根据SEinux policy规则,我们在相应的.te文件中添加allow规则

allow tee device:chr_file { open read write };

接着编译一下android,发现编译会报never allow的错误,报错内容如下:

libsepol.report_failure: neverallow on line 444 of system/sepolicy/public/domain.te (or line 12990 of policy.conf) violated by allow tee device:chr_file { read write };
libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy

报错原因也比较直接,就是domain域中指明的规则,我们先看下为什么会报错吧
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。

# Don't allow raw read/write/open access to generic devices.
# Rather force a relabel to a more specific type.
neverallow domain device:chr_file { open read write };

那是什么原因导致的这个编译报错呢?
说直白一点就是当前这个process进程申请的权限过高了。

那有没有办法绕过这个报错呢?
当然是有的,可以参考如下步骤
1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
2、新增加一个SELinux type
根据申请的类型可以进修改一下访问的Object的Lable
比如我这里是device节点,那我就在device.te中

type my_rpmb_device, dev_type;

3、绑定文件到这个SELinux type
因为我这里知道我访问的是/dev/mmcblk1rpmb节点,我在第一步中确认的,
所以在file_contexts中添加如下代码。

/dev/mmcblk1rpmb u:object_r:my_rpmb_device:s0

4、修改te文件,添加process/domain的访问权限
这里就比较简单了,直接添加对应的规则就可以了。

allow tee my_rpmb_device:chr_file { open read write };

最后重新再编译一下android,就不会再报之前的编译问题了。

------------------------------ 分割线 -------------------------------------------------------------
另外补充一个在用户空间调用ioctl导致的selinux权限报错问题
报错日志如下:

[   36.348961] type=1400 audit(88595.495:24): 
avc: denied { ioctl } for comm="tee-supplicant" path="/dev/mmcblk1rpmb" dev="tmpfs" ino=25620 ioctlcmd=0xb301 scontext=u:r:tee:s0 tcontext=u:object_r:tee_rpmb_device:s0 tclass=chr_file permissive=0

报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。

那有没有办法解决这个报错呢?当然也是有的~
解决方法如下:
1、在对应的te文件添加如下code
根据报错的日志,添加如下对应code即可。

allow tee tee_rpmb_device:chr_file { open read write ioctl };
allow tee tee_rpmb_device:blk_file ioctl;
allowxperm tee tee_rpmb_device:blk_file ioctl 0xb301;
楼中望月
关注
  • 6
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
Android系统中,Selinux对每一个应用和系统服务的权限进行了严格的限制,以保护系统的安全性和稳定性。 MTK Android 6.0平台是MediaTek公司针对Android 6.0 Marshmallow系统定制的一套硬件抽象层(HAL)和驱动...
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 1696
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android O selinux违反Neverallow解决办法
纸上得来终觉浅,绝知此事要躬行
11-19 6256
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下: 1、Android O selinux相关配置文件所在路径 system/sepolicy/* AOSP device和APPS相关selinux配置 device/qcom/sepolicy/* 平台和板卡相关selinux配置 2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规...
Android SELinux
最新发布
许浑的博客
05-26 958
在/dev/中加载sepolicy并发布关键的restorecons,小心避免从/system读取任何内容。- 设备处于SELinux的宽容模式,出厂设备都是强制模式Enforcing(即。3、mk添加编译:BOARD_SEPOLICY_DIRS += device/1、通常情况下,添加或修改自己的设备专用SELinux文件(/device/结尾的文件是 SELinux 政策源代码文件,用于定义域及其标签。- 要访问的对象(例如,文件、套接字)的类型。- 要执行的操作(或一组操作,例如读取、写入)。
avc: denied SELinux权限问题解决
Haomione的博客
03-31 6638
avc: denied SELinux权限问题解决
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
SElinux avc dennied权限问题解决方法
Y的博客
09-26 893
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己写,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
修改sepolicy后编译出现‘Error while expanding policy’
Do Better Every Day
07-21 8727
在系统中添加某个“*.te”后,可能会出现下面的错误: libsepol.report_failure: neverallow on line 263 of system/sepolicy/domain.te (or line 9133 of policy.conf) violated by allow xx device:chr_file { read write open }; libsep
Android SELinux Allow可视化生成工具
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell...
selinux权限修改.pdf
03-26
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常...遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破:
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 5618
开发应用错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译错 ,已解决
weixin_43522377的博客
08-11 1964
Android系统编译 neverallow 错误的解决方法。
android笔记 SELinux
reasonboy的博客
11-22 415
目前遇到一个问题:把所有的avc错解完还是没能拿到权限,但是在临时关闭权限问题又能解决,不知道是哪里出了问题,迫于无奈只能在system/core/init/selinux.cpp中把SELinux权限关闭,如果后续找到了原因再更新。在调试SELinux权限问题时候先把临时权限关掉,如果问题还是存在,说明不是权限问题引起的,而且打开以后所需的权限会全部给你打出来,不会出现加了一个重新编译以后发现还需要再加,而且还有一点就是不关闭的话,有一些权限问题还不会打出来。访问类型:system_app。
节点写入avc权限问题
youthking1314的博客
12-28 653
节点写入avc权限问题
2021-12-30 Android SELinux msg=‘avc: denied的解决方法,Android 11 上测试。
海月汐辰
12-30 5153
一、log出现avc: denied,确认是否由于SELinux致使的问题,简单粗暴有效可以直接关掉。 可先执行: setenforce 0 (临时禁用掉SELinux)app getenforce (获得结果为Permissive)dom 若是问题消失了,基本能够确认是SELinux形成的权限问题,须要经过正规的方式来解决权限问题。 二、实际案例。 1、我在device\rockchip\rk356x\init.rk356x.rc文件里面添加如下内容 2、然后在ad...
Android14之Selinux解决neverallow错(一百七十六)
Android系统攻城狮
01-03 1766
本篇目的:Android14之Selinux解决neverallowSELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
Android P SELinux (四) CTS neverallow处理总结
headwind的博客
08-15 6084
CtsSecurityHostTestCases 首先CTS测试里面关于neverallow的用例,可以学习下这篇文章,代码是动态生成的 Android CTS中neverallow规则生成过程 下面主要分享一些遇到的 CTS neverallow问题的处理方法: 目录一、一些权限解决方案1.1、区分vendor域和system域1.2、setenforce的可行性1.3、dac_override 解决办法1.4、echo打印到终端1.5、读写U盘内容1.6、am 命令1.7、ioctl二、常见违反nev
Android系统SELinux详解
u010345983的博客
10-24 827
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
Android selinux 权限的作用?
03-20
Android SELinux(Security-Enhanced Linux)是一种安全机制,用于加强Android系统的安全性。它通过强制访问控制(MAC)来限制应用程序和系统服务的权限,以防止恶意应用程序对系统进行攻击或滥用权限Android SELinux的主要作用如下: 1. 强制访问控制:SELinux通过为每个进程和文件分配安全上下文,限制了进程和文件之间的访问权限。这样可以防止应用程序越权访问其他应用程序或系统资源。 2. 提高应用程序安全性:SELinux可以限制应用程序的权限,使其只能访问其需要的资源,从而减少了应用程序被攻击的风险。 3. 隔离应用程序:SELinux可以将不同应用程序隔离开来,防止恶意应用程序通过攻击其他应用程序来获取敏感信息或控制系统。 4. 减少攻击面:SELinux可以限制系统服务的权限,防止恶意应用程序利用系统服务进行攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值