Android SELinux 权限相关问题

最新推荐文章于 2024-08-09 23:36:21 发布
最新推荐文章于 2024-08-09 23:36:21 发布
阅读量1k 收藏 3
点赞数
文章标签: android android studio adb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jwg1988/article/details/129858667
版权

问题

再做OTA的时候,需要zip包放在data/ota_package下,再操作的时候,报错如下

avc: denied { write } for path="/data/ota_package/update.zip" dev="dm-9" ino=11969 scontext=u:r:system_app:s0 tcontext=u:object_r:ota_package_file:s0 tclass=file permissive=0

提取关键字

scontext: system_app

tcontext: ota_package_file

tclass: file

denied: write
翻译过来就是 system_app 对于ota_package_file 目录缺少write 权限
我们只需要android/device/qcom/sepolicy_vndr/generic/vendor/common/目录下 的system_app.te添加如下:

allow system_app apk_data_file:dir write;
allow system_app ota_package_file:dir { search write add_name create};
allow system_app ota_package_file:file { getattr read open map create write};

然后在Android 目录下执行make selinux_policy -j96

验证

make selinux_policy产生的编译文件会输出到out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux目录。
adb push out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux到设备的/system/etc/和/vendor/etc/目录,重启设备即可生效。

SELinux 权限不起作用

正常情况如上就可以,当然下面就是不一般的问题,在SystemUI里面操作文件节点写值,报错如下:

   systemui: type=1400 audit(0.0:102): avc: denied { write } for name="commit" dev="sysfs" ino=48206 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0 app=com.android.systemui

按照上面的经验,我们需要再platform_app.te里添加如下:
allow platform_app sysfs:file write
但是这样会有两个问题:

  • 一个是权限放大,这样的话所有的sysfs文件都被赋予了write权限,
  • 二是这样会导致never allow 报错,编译时会提示。所以不推荐这种方法
正确姿势
  • 在device/qcom/sepolicy_vndr / generic/vendor/common/file.te文件里声明如下
type sys_bus_devices_commit, sysfs_type, fs_type;
  • 在device/qcom/sepolicy_vndr / generic/vendor/common/file_contexts
/sys/bus/i2c/devices/0-0006/commit                                                         u:object_r:sys_bus_devices_commit:s0
/sys/devices/platform/soc/4a84000.i2c/i2c-0/0-0006/commit                                  u:object_r:sys_bus_devices_commit:s0
  • 最后在 platform_app.te追加如下
allow platform_app sys_bus_devices_commit:file {getattr read open write};
allow platform_app sys_bus_devices_commit:lnk_file {getattr read open write};

验证方法如上述,可是,死活就是不成功,错误一点都没变,说明添加的一直未生效,最后生生就在这卡了一天,增量编,整编都试了,最后问题出在
android/system/sepolicy/private/mls


mlsconstrain { file lnk_file sock_file chr_file blk_file } { write setattr append unlink link rename }
             (t2 == app_data_file or t2 == privapp_data_file or t2 == appdomain_tmpfs or l1 eq l2 or t1 == mlstrustedsubject or t2 == mlstrustedobject);

上一条的限制就导致了,即使在 platform_app.te 文件中添加的语句验证没有问题,但是这条限制没有通过,权限问题同样没有解决。
最终在file.te里添加如下:

type sys_bus_devices_commit, sysfs_type, fs_type, mlstrustedobject;

重新编译,验证,没问题了,
事实就是如此,真是竟无语凝噎
参考:https://blog.csdn.net/it_rensheng/article/details/121691982

去话巴山夜雨时
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android14之Selinux报错:unknown type qemu_device at token (一百八十三)
Android系统攻城狮
02-01 2210
本篇目的:在编译Android automotive车载系统时,遇到一个这样的报错,不清楚怎么引入的,但是解法很简单,分享给大家。Android平台的SELinux(Security Enhanced Linux)是一种基于Linux内核的安全增强技术,由美国国家安全局(NSA)发起并得到Red Hat、Tresys等公司的支持。SELinux的主要目的是在Linux操作系统上实现强制访问控制(Mandatory Access Control,MAC),以提高系统的安全性。
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限
Android 12 S 自定义Hal服务selinux权限添加
weixin_41028555的博客
06-13 2145
如果遇到如下错误,应该是漏了添加。自定义hal服务添加可参考。
Android T 添加vendor/bin下面的自启动服务
u013306216的博客
12-09 929
最后删除了odm/etc/selinux/下面的precompiled_sepolicy等相关文件后重启设备发现没有该问题了,原因是全刷的时候vendor/etc/selinux/下面并没有定义Selinux的标签,odm/etc/selinux/中的precompiled_sepolicy*文件是预编译的时候根据vendor和system中的selinux标签进行加载的。//iqi_bridge_exec将iqi_bridge_exec定义为可执行文件
Android P SELinux权限修改快速验证
arrol1786936883的博客
07-29 2825
SELinux权限修改快速验证修改编译验证 修改编译 Android P在android/system/sepolicy和android/device/qcom/sepolicy/目录下修改或添加xxx.te文件后,可通过make selinux_policy命令进行编译。 make selinux_policy产生的编译文件会输出到out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux
Android8.0 SELinux详解
热门推荐
从0到1,突破自己
02-08 3万+
该文档意译自Android官方 《SELinux for Android 8.0》,主要描述了SELinux策略在AndroidO版本上发生的一些变化,在AndroidO版本上,SELinux的客制化设计支持SELinux策略的模块化和可更新性。其设计目标是为了芯片厂商和ODM厂商在能够独立的客制化SELinux配置。官方文档请移步:http://download.csdn.net/downloa...
Android Selinux权限问题
qq_40721728的博客
05-08 2171
1.1:log提示: type=1400 audit(1262304982.420:57113): avc: denied { sys_ptrace } for pid=1 comm=“init” capability=19 scontext=u:r:init:s0 tcontext=u:r:init:s0 tclass=capability permissive=0 1.2:log格式: avc: denied { 操作权限 } for pid=1 comm=“进程名” scontext=u:r:源
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3165
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
详解Android Selinux 权限问题
08-28
本篇文章主要介绍了详解Android Selinux 权限问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
selinux权限修改.pdf
03-26
本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce ...
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
selinux 权限文档
09-11
SEAndroidSELinux in Android的缩写。SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA)...
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3129
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
Android 浅度解析:系统框架层修改,编译,推送相关操作
我其实什么都不会
07-01 7537
本文将详细介绍Android系统框架层如何编译和推送这些修改,以及如何进行一些常见的操作。
Android selinux策略配置
wanhex的博客
06-28 995
功能需求描述 在android的keystore服务中获取调用者的包名。 代码实现: #include <binder/IPCThreadState.h> //...... pid_t pid = android::IPCThreadState::self()->getCallingPid(); ALOGI("calling pid: %d", pid); char path[64] = { 0 }; sprintf(path, "/proc/%d/cmdli
sepolicy 配置和快速验证
kanyou222的专栏
04-28 1972
sepolicy修改后 快速验证 编译:(只针对 .te文件, 如果file_contexts service_contexts 这种文件好像不行) make selinux_policy -j8 // vendor 和system 都修改了 make selinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件 vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vend...
Android-app控制gpio
Paper_Love的博客
10-18 327
3、修改/OK3568-android11-source/system/sepolicy/private/coredomain.te文件。4、修改/OK3568-android11-source/system/sepolicy/public/app.te文件。7、修改完以上内容,重新编译源码,烧写update.img。1、android-app必须添加签名文件
Android8.1 新增系统自定义服务一 (SELinux权限
kaijiehui
10-27 1万+
           一开始并没有注意到android8.0以后和之前有多大区别,知道最近有需求要求增加一个自定义服务,一直没有生效报avc权限问题 在SystemServer startOthreService中 ServiceManager.addService () 出现了AVC权限SELinux: avc denied {add} for service=gesture pid=...
thinkphp漏洞之sql注入漏洞-builder处漏洞
最新发布
banliyaoguai的博客
08-09 548
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
android selinux权限设置
05-20
SELinux(Security-Enhanced Linux)是一种强制访问控制机制,它可以帮助你保护 Android 系统的安全性。在 Android 中,SELinux 有三种模式:enforcing(强制模式)、permissive(宽容模式)和disabled(禁用模式)。其中,enforcing 模式是最安全的,permissive 模式可以帮助你诊断问题,disabled 模式则完全关闭了 SELinux 的保护机制。 如果你需要修改 SELinux权限设置,可以按照以下步骤进行操作: 1. 首先,你需要将设备的开发者选项打开。在 Android 设备上,你可以通过进入“设置”应用,然后点击“关于手机”来找到“版本号”并连续点击它七次,即可开启开发者选项。 2. 接下来,在开发者选项中找到“Root访问权限”或“Root权限”,并将其打开。 3. 下载并安装一个 SELinux 管理工具,比如 SELinuxModeChanger 或 SELinux Toggle。 4. 打开 SELinux 管理工具,然后选择你想要的 SELinux 模式。如果你想要开启 enforcing 模式,你需要确保你的设备已经 root,并且你的 ROM 已经支持 SELinux。 5. 点击“应用”或“保存”按钮,然后重启你的设备。 请注意,修改 SELinux权限设置可能会影响你的设备的稳定性和安全性。如果你不确定自己在做什么,建议不要进行修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值