selinux权限之vendor_executes_system_violators属性

最新推荐文章于 2024-09-27 16:28:24 发布
最新推荐文章于 2024-09-27 16:28:24 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: 踩坑记录 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38059875/article/details/119978009
版权

Time:20210829
Question:在Android的kernel中,libxxx库中用system函数调用cmd命令,但是无法执行cmd。
Root cause:查看log,用关键字“avc:”发现对应的selinux权限不足。
验证方法:
adb root
adb shell # 进入手机
getenforce # 查看对应的权限设置enforcing表示拦截,permission表示允许
setenforce 0 # 设置为permission
setenforce 1 # 设置为enforcing
如果设置为permission可以正确调用system函数执行cmd,那么说明是selinux权限问题。

allow添加权限

然后开始解决selinux权限问题。将log中被denied的权限,添加到对应的xxx.te文件中,allow该权限。举个例子:
log:

avc: denied  { connectto } for  pid=2671 comm="ping" path="/dev/socket/dnsproxyd"
scontext=u:r:shell:s0 tcontext=u:r:netd:s0 tclass=unix_stream_socket
  • 上方的 { connectto } 表示执行的操作。根据它和末尾的 tclass (unix_stream_socket),您可以大致了解是对什么对象执行什么操作。在此例中,是操作方正在试图连接到 UNIX 信息流套接字。
  • scontext (u:r:shell:s0)表示发起相应操作的环境,在此例中是 shell中运行的某个程序。
  • tcontext (u:r:netd:s0) 表示操作目标的环境,在此例中是归 netd 所有的某个 unix_stream_socket。
  • 顶部的 comm="ping" 可帮助您了解拒绝事件发生时正在运行的程序。在此示例中,给出的信息非常清晰明了。

然后在对应的xxx.te文件(例子中根据shell,应该在shell.te文件)中添加权限。

allow shell netd:unix_stream_socket { connectto };

添加权限的模板:

allow scontext tcontext:tclass permission;

permission表示执行的操作。

添加file的execute等权限

一般的权限问题以上方法就可以解决,但是**如果要添加file的executeexecute_no_trans等权限,需要将vendor_executes_system_violators属性在对应的xxx.te文件中type出来。

typeattribute xxx vendor_executes_system_violators;

然后再编译,如果没问题,就可以了。但现实很残酷,编译报错,说vendor_executes_system_violators仍然neverallow。
经过排查,需要确认下vendor_executes_system_violators属性是否打开,即被设置为true
attribute文件中:

# All vendor domains which violate the requirement of not executing
# system processes
# TODO(b/36463595)
attribute vendor_executes_system_violators;
expandattribute vendor_executes_system_violators false;

从中可以看到vendor_executes_system_violators属性被设置为false,将其改为true。再编译,应该就可以解决问题了。

解决selinux问题的方向

  1. 查看log中avc:关键字中被denied的操作
  2. setenforce 0看是否为selinux权限问题
  3. 确认权限问题后,在对应的xxx.te文件中allow对应的权限
  4. source build/envsetup.shlunch。在system/sepolicy路径下,mma -j32编译
  5. 如果报错,切记一定要仔仔细细地分析mma编译的错误,然后再看.te文件的注释的,check权限的代码。根据错误来修改,这是通往正确的最快路径。
  6. 然后可以将对应的文件adb push到手机,验证是否修改生效。
MTK Android12 分析system_app允许vendor_mtk_audiohal_prop SELinux 权限问题
我其实什么都不会
08-03 864
本文将尝试分析,在开发 Android 12 MTK 平台时遇到了 vendor_mtk_audiohal_prop 属性相关的 SELinux 权限问题。包括如何修改 SELinux 策略以允许 system_app设置 vendor_mtk_audiohal_prop属性
Makefile中通过sed命令生成文件系统的selinux的配置文件vendor_filesystem_config.txt
csdn66_2016的博客
07-15 1598
今天在编译android-O(8.0)的时候,我自己新增加了一个ext4格式的分区,在编译这个分区的时候,需要对应的生成文件系统的配置文件xxxx_filesystem_config.txt,发现了生成这个配置文件的的Makefile里面,调用了sed命令来处理一些字符串: build/core/Makefile define fs_config (cd $(1); find . -type
Android O selinux违反Neverallow解决办法
纸上得来终觉浅,绝知此事要躬行
11-19 6563
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下: 1、Android O selinux相关配置文件所在路径 system/sepolicy/* AOSP device和APPS相关selinux配置 device/qcom/sepolicy/* 平台和板卡相关selinux配置 2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规...
Android SELinux 小结
github_33381613的博客
10-14 2111
Android SELinux 知识点 运行模式 SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。SELinux 可按两种全局模式运行: 宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。 强制模式:权限拒绝事件会被记录下来并强制执行。 调试中修改运行模式 获取运行模式 getenforce //Enforcing: seLinux已经打开; //Permissive:seLinux已经关闭; 修改运行模式 //关闭selinux setenforce 0
Android SELinux权限
最新发布
weixin_75102992的博客
09-27 947
在mk中增加Prop,通过SystemProperties去获取时发现出现Access denied finding property "ro.vendor.firmware.version"问题。对于vendor下property权限,类似file权限attributes.te定义type:在property.te 中添加:在property_contexts中添加:system_app.te添加权限
Android系统10 RK3399 init进程启动(二十七) Selinux Type和Attribute
ldswfun的专栏
06-14 2705
Selinux实现的是强制类型访问模型, 可以简单理解一切都是类型, 不管是主体还是客体,都必须类型化, 如客体和客体和主体都需要设置安全上下文, 客体格式为u:r:xxx:s0, 主体为u:object_r:yyy:s0, 其中xxx和yyy是可以自定义的, 但是需要通过type进行类型化声明, 你可以理解type为一个动词,为xxx取名,客体一般声明type, 主体一般声明为domain...
SELINUX
yangzex的专栏
11-20 773
也就是说,目前android 只定义了一个user u,一个role r,file system 使用object_r,user u 只有一个role r,mls 的low_level 是s0,high level 是s0:c0.c1023。在后续的版本更新中,Google 导入了大批量的限制性 neverallow 语法,特别是从O 版本开始针对System/Vendor 的分离,进行了大量针对性的限制,具体可以参考Google 在/system/sepolicy 中所设定的neverallow 语句。
selinux
lei7143的专栏
11-10 336
https://source.android.google.cn/security/selinux/concepts https://blog.csdn.net/kongbaidepao/article/details/61416862   1、属性 定义在 attributes  文件中,属性是一组域或类型的名称 如: # All types used for processes. ...
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 1850
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
深入理解SELinux SEAndroid(第一部分)
热门推荐
Innost的专栏
02-16 13万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
Android P SELinux权限获取
arrol1786936883的博客
04-26 2218
Android SELinux权限问题
SELinux_System_Administration_Implement_mandatory_access_control
04-11
SELinux_System_Administration_Implement_mandatory_access_control.epub
selinux-utils_3.0-1build2_amd64.deb
03-12
ubuntu20.04.1_x86系统安装selinux所需软件包
关于Selinux详解
段小苏的学习之路
04-03 5151
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言  ...
Android中的SELinux
麦芽的博客
01-16 2026
SELinux (Security Enhanced Linux)是由美国NSA(国安局)和 SCC 开发的 Linux 的一个扩张强制访问控制安全模块,目的是最大限度减少系统中服务进程可访问的资源。Google 在 Android 4.4 上正式添加以 SELinux 为基础的系统安全机制,命名为SEAndroid。SEAndroid 在架构和机制上与 SELinux 完全一样,基于移动设备的特点,SEAndroid 的只是所以移植 SELinux 的一个子集。
Android 系统SELinux(SEAndroid)
tq501501的博客
06-25 4025
一、SE 概述 SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedoracore 2开始, 2.6内核的版本都支持SELinux。 1.1、DAC 与MAC 在 SELinux 出现之前,Linux 上的使用的安全模型是DAC( Discretionary Access Control 自主访问控制)。 DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用...
SELinux详解
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
Selinux详解
xxdw1992的博客
10-21 9890
一.介绍 1.1百度百科 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。 SELinux 是 2.6 版本的 Linux内核中提.
selinux介绍
成功不必在我,而功力必不唐捐!
08-23 654
selinux相关命令 // 0--代表Permissive // 1--代表Enforcing setenforce 0 // 查看selinux开关状态 getenforce // 查看进程的sContext ps -Z // 查看文件权限 ls -Z 如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题 抓取SELinux Log adb shell dmesg 抓kernel log,使用命令: adb shell "cat /
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>