SeLinux问题实例:读写asce失败

最新推荐文章于 2024-07-06 20:00:00 发布
最新推荐文章于 2024-07-06 20:00:00 发布
阅读量768 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kandyma/article/details/54695636
版权

问题:Android 6.0安装第三方apk时,选择安装路径为SD卡,安装失败

关键log

Binder_4: type=1400 audit(0.0:84): avc: denied { ioctl } for path="socket:[39582]" dev="sockfs" ino=39582 ioctlcmd=7704 scontext=u:r:system_server:s0 tcontext=u:r:syst     em_server:s0 tclass=unix_stream_socket permissive=0

因为抓取的log里面有很多内容(我保存的log名称为packageinstall6.log)

在linux下,结合工具

$grep "avc" packageinstall6.log > test11.log
$audit2allow -i test11.log
#============= surfaceflinger ==============
allow surfaceflinger self:unix_stream_socket ioctl;

#============= system_server ==============
allow system_server self:unix_stream_socket ioctl;

#============= vold ==============
allow vold vold_tmpfs:file create;

发现surfaceflinger和system_server权限都是有的,只有vold权限没有,并且跟读写文件有关。

打开vold对应的权限策略文件Android 根目录下external/sepolicy/vold.te,把缺少的权限加进去,问题解决




参考文章:http://blog.csdn.net/aihua53/article/details/51198652

Android avc: denied 深入沟兑01(ioctl)
小猪六月的博客
04-09 2081
1, ioctlcmd & ioctl avc: denied { ioctl } for comm="bmpdump" path="socket:[159003]" dev="sockfs" ino=159003 ioctlcmd=0x8946 scontext=u:r:unlogger_bmpdump:s0 tcontext=u:r:unlogger_bmpdump:s0 tclass=unix_dgram_socket permissive=0 04-08 13:45:44.194 ...
Android——SELinux 权限简介
Yawn
06-23 2146
1. 问题 1.问题log E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0 I auditd : avc: denied { find } for service=display pid=3015 uid=1046
android selinuxavc denied权限和编译报neverallow解决方案
最新发布
Venus 的博客
07-06 884
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
关于9.0系统Selinux权限问题报错的分析和处理
RenoY3的博客
05-17 2140
Selinux简介 SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关
Android Q 平台 增加文件ioctlSElinux权限
sinat_37343534的博客
04-25 2922
Android Q 平台 增加文件ioctlSElinux权限 示例问题avc: denied { ioctl } for path="/**/**" dev="**" ino=4026533781 ioctlcmd=0x6601 scontext=u:r:gap**:s0 tcontext=u:object_r:proc**:s0 tclass=file permissive=0 按照Android Q之前的selinux规则,只需要添加ioctl权限即可 allow gap** proc**:
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
selinux-notebook:SELinux笔记本
05-01
SELinux笔记本 介绍 本笔记本应有助于说明: SELinux及其生活目的。 LSM / SELinux体系结构,其支持服务以及如何在GNU / Linux中实现它们。 SELinux网络,虚拟机,X-Windows,PostgreSQL和Apache / SELinux-Plus...
selinux-policy:Fedora的selinux-policy是主线的一个重要补丁
04-10
selinux-policy-contrib存储库与selinux-policy合并 2020年11月25日,selinux-policy-contrib存储库与selinux-policy合并。 以前,Fedora中的SELinux策略包使用2个存储库:base [1]和contrib [2]。 将该仓库分为...
selinux_disable:禁用SElinux和IPtable并重新启动
04-28
角色:禁用SELinux和IPTables 禁用SELinux和IPTables以安装并重新引导计算机 要求 没有任何 角色变量 没有任何 依存关系 没有任何 剧本范例 包括一个如何使用您的角色的示例(例如,将变量作为参数传递)也总是对...
SELinux安全特性加入安卓
02-21
本文概括了SELinux是如何应用到android系统里面去的。简单介绍了强制访问控制的概念,如何将SELinux添加到安卓,如何定制SELinux安全策略,如何验证你所定制的SELinux安全策略,同时给出了好几个应用案例。总而言之,这篇文章可以引领你了解SEAndroid的大概情况,有抛砖引玉的效果。
SELinux for Android 8.0
04-19
The SELinux policy build flow for Android 4.4 through Android 7.0 merged all sepolicy fragments (platform and non-platform) then generated monolithic files in the root directory. However, this flow contradicts the primary goal of Android 8.0 architecture, which is to allow partners to update their parts of the policy, build their images ( vendor.img , boot.img , etc ), then update those images independent of the platform or vice versa (i.e., perform a platform update without updating partner images
SELinux深度解析:掌握强化Linux安全的关键技术
3. 实践篇:通过实例演示,读者将掌握如何编写有效的安全策略,以及如何利用SELinux为系统提供强大的安全保障。这部分旨在引导读者将理论知识转化为实际操作能力,确保能够在日常维护和安全管理中有效地应用SELinux...
系统应用配置文件读写权限
qq_38996911的博客
05-11 3188
问题: 内置系统应用,出现failed path:/dev/socket/mdnsd Socket:54 Err:-1 Errno:2 No such file or directory type=1400 audit(0.0:150): avc: denied { write } for name=“com.kandaovr.meeting.screenshare-NTGJvDIA-a15t2RsCWVMQg==” dev=“dm-2” ino=794626 scontext=u:r:system_ap
Android SELinux avc denied解决
wuzoujing的专栏
04-26 7403
参考:Android SELinux avc dennied权限问题解决方法 解决原则:缺什么权限补什么,直到没有avc denied为止。 解决方法:在对应的.te中增加allow语句。 格式一般如下: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 t...
android SElinux安全机制--------缺少操作权限
xxwbwm的博客
05-21 1264
平台:intel---->sofia-3gr Android 6.0 问题:项目中使用了串口要传送数据,所以需要检测串口的可操作性,在检测中使用了第三方的apk来检测串口,测试中偶尔会出现测试失败,log如下: 05-20 09:25:11.040 1546 1546 I auditd : type=1400 audit(0.0:13): avc: denied { read ...
Android 中怎样查找SELinux导致的权限受限问题
oman111的专栏
08-06 4736
以adb remount为例 首先运行命令: adb remount 然后 adb shell dmesg -C | grep avc [  113.241627] (0)[281:logd.auditd]type=1400 audit(1438851627.212:214): avc: denied { ioctl } for pid=5684 comm="adbd
SEAndroid 问题解决
03-30 5543
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
Android6.0 在SElinux下如何获得对一个内核节点的访问权限
Android学习之旅
06-22 525
Android 6.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。本文涉及到的用户自定义的内核节点为/dev/freg_device 问题Log如下: 06-16 00:27:09.313 224 224 I SystemServer: Freg Service 06-16 00:27:09....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值