Android6.0 selinux没有对某个文件的权限(又neverAllow)处理方法

最新推荐文章于 2024-03-14 11:32:14 发布
最新推荐文章于 2024-03-14 11:32:14 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: Android Recovery 文章标签: selinux

一、案例

我们举个案例,比如recovery升级中,碰到这个的log

  1. 01-01 08:03:22.410000   217   217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recovery:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0  

说明install_revovery没有block_device的权限。

 

而在原生的domain.te文件中,明确domain中是没有对block_device的读写权限,除了recovery vold等。

  1. neverallow { domain -kernel -init -recovery -vold -uncrypt -emsd -rild -radio_config} block_device:blk_file { open read write };  

 

二、方法1(后续cts测试会有问题)

那我们如何是好呢,可以在上面这句nevera中把install_recovery也减去,然后再install_recovery.te中再加入相应的allow,这个时候编译就不会报错了。

但是这个方法,后续会在cts测试的时候过不了。

 

因此我们不能采取这种方法。

 

三、方法2

 

所以我们得想别的方法,我们发现在domain.te中同样有下面这么一句,是可以允许install_recovery去写recover_block_device的权限。

  1. ./domain.te:354:neverallow { domain -install_recovery -recovery } recovery_block_device:blk_file write;  

 

于是我们再去查block_device 和 recover_block_device

  1. type recovery_block_device, dev_type;  
  1. type block_device, dev_type;  

这两个的类型一致。

但我们再看file_contexts,看下文件安全上下文

  1. /dev/block(/.*)?    u:object_r:block_device:s0  

定义的dev/block下面的文件都是block_device,而recover_block_device是没有定义的。那我们也能不能定义我们要操作的文件为recover_block_device类型。

答案肯定是可以的。

  1. /dev/block(/.*)?    u:object_r:block_device:s0  
  2. /dev/block/dm-[0-9]+    u:object_r:dm_device:s0  
  3. /dev/block/loop[0-9]*   u:object_r:loop_device:s0  
  4. /dev/block/vold/.+  u:object_r:vold_device:s0  
  5. /dev/block/ram[0-9]*    u:object_r:ram_device:s0  

我们也可以自己定义自己的文件为recover_block_device类型,感觉这是Android给大家预留的。

具体实现就不说了,因为具体要操作什么文件不是太清楚,这只是一个log而已。

 

最后我们只要在install_recovery.te中加入下面权限就可以了。

  1. allow install_recovery recover_block_device:blk_file { open read write };  


这样install_recovery就有了目标文件的open read write权限了。

 

 

分类:  Android
0
0
« 上一篇: android 6.0 SystemUI源码分析(1)-SystemUI介绍 转
» 下一篇: MSM8976(8952)平台的MSM-AOSP-M编译适配(1):寻找正确的代码版本
posted @  2016-06-13 13:52  重庆鲳鱼 阅读( 680) 评论( 0编辑  收藏

rockly89
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android SeLinux权限问题和解决方法
Lixby的博客
11-14 6231
1. 确认 seLinux导致权限问题 1.1 标志性log 格式: avc: denied  { 操作权限 }  for pid=7201 comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类别  permissive=0 1.2 举例: Kenel log: avc: denied { execheap } f...
Android security知识点总结
最新发布
汽车以太网和SOA
05-15 5970
Android security知识点总结
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
SELinux权限问题解决方法
w2064004678的博客
04-14 2937
前言 之前做系统应用操作设备节点的时候,出现SELinux权限的问题,即SELinux Policy Exception,查看log可以看到诸如此类的提示 avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=11725 scontext=u:r:untrusted_app:s0:c512,c7...
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 487
翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
SELINUX
yangzex的专栏
11-20 680
也就是说,目前android 只定义了一个user u,一个role r,file system 使用object_r,user u 只有一个role r,mls 的low_level 是s0,high level 是s0:c0.c1023。在后续的版本更新中,Google 导入了大批量的限制性 neverallow 语法,特别是从O 版本开始针对System/Vendor 的分离,进行了大量针对性的限制,具体可以参考Google 在/system/sepolicy 中所设定的neverallow 语句。
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程中涉及的Selinux权限问题在Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。Selinux(Security Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制...本文只是对AndroidSELinux的TE相关知识的简要介绍,希望能够对读者有所帮助。
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 1696
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 1766
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 1332
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
Android P SELinux权限获取
arrol1786936883的博客
04-26 2136
Android SELinux权限问题
Android O selinux违反Neverallow解决办法
纸上得来终觉浅,绝知此事要躬行
11-19 6256
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下: 1、Android O selinux相关配置文件所在路径 system/sepolicy/* AOSP device和APPS相关selinux配置 device/qcom/sepolicy/* 平台和板卡相关selinux配置 2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规...
selinux 语法
颇锐克
01-17 1183
1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 2. 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。 在an
权限问题
fuyinghaha的专栏
04-12 734
mm-audio-ftm: type=1400 audit(0.0:122): avc: denied { read write } for name="controlC0" dev="tmpfs" ino=478 scontext=u:r:system_app:s0 tcontext=u:object_r:audio_device:s0 tclass=chr_file permissive=0
Android9 Sepolicy规则基础 - MTK平台
技海淘金
02-29 4928
1. SELinux的基础原则 默认拒绝原则 - 任何未经明确允许的行为都会被拒绝(即:白名单制) 2. SELinux的两种执行模式 宽容模式 - 权限拒绝事件会被记录下来,但不会被强制执行。(权限不够时,仅警告) 强制模式 - 权限拒绝事件会被记录下来并强制执行。(权限不够时,拒绝执行) 3. SELinux在安卓平台上的演变 低于安卓4.3 - 默认不支持SELinu...
Android 8.0 SELinux: Changes and Customizations
在系统启动时,SELinux会进行第一阶段的挂载,对文件系统进行上下文标签,确保每个文件、目录和服务都有正确的安全上下文。这涉及到文件上下文、属性上下文、服务上下文和应用程序上下文的设置。 MAC权限: MAC...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值