SELinux之解决avc denied

最新推荐文章于 2024-04-17 14:44:20 发布
最新推荐文章于 2024-04-17 14:44:20 发布
阅读量4.7k 收藏 10
点赞数
分类专栏: SELinux 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46211029/article/details/105157587
版权

安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC

SELinux工作模式

SELinux 有三种工作模式,分别为:
enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻止
permissive: 宽容模式, 执行SELinux规则, 违反的行不会被阻止
disabled: 关闭SELinux

adb shell setenforce 0 设置SELinux 成为permissive模式
adb shell setenforce 1 设置SELinux 成为enforcing模式
adb shell getenforce 获取SELinux状态(permissive,enforcing,disabled)

avc denied

在Android系统开发中, 可能会遇到SELinux的权限不足而引起的各种问题. 可以尝试将SELinux工作模式临时改为宽容模式看问题是否解决, 来判定是否是SELinux引起的问题

标志性 log: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0
源类型:授予访问的类型,通常是进程的域类型
目标类型:客体的类型,它被授权可以访问的类型
访问类型:客体的类可
操作权限:表示主体对客体访问时允许的操作类型(也叫做访问向量)。

举例

打开三方apk出问题,其中错误log如下:

03-28 10:18:07.990 11883 11883 W re-initialized>: type=1400 audit(0.0:2918): avc: denied { read } for name="u:object_r:mtk_amslog_prop:s0" dev="tmpfs" ino=7544 scontext=u:r:system_app:s0 tcontext=u:object_r:mtk_amslog_prop:s0 tclass=file permissive=0

解释:
read:表示没有 read 权限
system_app:system_app 中缺少权限
mtk_amslog_prop:mtk_amslog_prop 文件系统缺少权限
file:file 类型的文件
分析:adb shell setenforce 0。设置SELinux 成为permissive模式。若apk可正常使用,则进行规避此权限问题

m0_46211029
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux 入门详解
01-09
回到 Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。 如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 在我开始之前,你应该已经了解的
如何解决SELinux阻止虚拟机访问文件?
01-09
我尝试访问主机系统上的一个文件,但SELinux阻止虚拟化访问除了/var/lib/libvirt/images里的其他文件。当在共享路径上宿主的虚拟机运行时,主机给出以下信息:SELinux is preventing /usr/bin/qemu-kvm from read ...
Android SELinux avc dennied权限问题解决方法
weixin_33975951的博客
11-14 171
2019独角兽企业重金招聘Python工程师标准>>> ...
avc: denied SELinux权限问题解决
Haomione的博客
03-31 6551
avc: denied SELinux权限问题解决
[Android开发技巧] 通过avc日志自动生成selinux策略
最新发布
a572423926的博客
04-17 487
当我们添加一个新的进程、或者移植一个新的平台时,日志中存在大量的selinux报错,根据日志手动添加selinux策略的方法就显得很笨且麻烦了。利用linux系统给我们提供的audit2allow工具,我们只需要抓取完整的日志,过滤出avc相关的报错,即可根据这些日志一次性生成对应的策略,然后添加到对应的te文件即可
selinuxavc报错处理
qq_39695119的博客
07-13 1566
avc: denied { read } for pid=1213 comm=".app.homescreen" name="/" dev="mmcblk0p13" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:unlabeled:s0 tclass=dir permissive=1 分析过程: 缺少什么权限:??????{?read }权限, 谁缺少权限:????????scontext=u:r:system_app:s0 对哪个文件
Android SELinux avc denied解决
wuzoujing的专栏
04-26 7235
参考:Android SELinux avc dennied权限问题解决方法 解决原则:缺什么权限补什么,直到没有avc denied为止。 解决方法:在对应的.te中增加allow语句。 格式一般如下: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 t...
SElinux avc dennied权限问题解决方法
Y的博客
09-26 848
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己写,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
Android seLiunx权限问题(avc dennied)解决方法
Crazy程序猿
03-29 2690
Android seLiunx 调试方法
Android avc: denied 深入沟兑01(ioctl)
小猪六月的博客
04-09 1898
1, ioctlcmd & ioctl avc: denied { ioctl } for comm="bmpdump" path="socket:[159003]" dev="sockfs" ino=159003 ioctlcmd=0x8946 scontext=u:r:unlogger_bmpdump:s0 tcontext=u:r:unlogger_bmpdump:s0 tclass=unix_dgram_socket permissive=0 04-08 13:45:44.194 ...
关于9.0系统Selinux权限问题报错的分析和处理
RenoY3的博客
05-17 1966
Selinux简介 SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
redhat 7 官档之selinux 日语版
10-22
redhat 7 官方文档之selinux日语版,我填这个的时候页面报错说资源描述不能少于五十个字节。
selinux avc权限设置
xhao1985的博客
08-07 2091
解决原则是:缺什么权限补什么,一步一步补到没有avc denied为止。 解决权限问题需要修改的权限文件如下位置,以.te结尾 A:Android/device/mediatek/common/sepolicy/*.te B:Android/external/sepolicy/*.te 其中,A是对B的overlay(覆盖),能在A修改的尽量在A修改,尽量避免修改B。 avc: deni...
avc: denied { read write }
zds05的专栏
05-16 8892
05-16 17:46:52.041 W/CodecLooper( 5420): type=1400 audit(0.0:9): avc: denied { read write } for name="video33" dev="tmpfs" ino=12962 scontext=u:r:system_app:s0 tcontext=u:object_r:video_device:s0 tcla
权限问题
fuyinghaha的专栏
04-12 730
mm-audio-ftm: type=1400 audit(0.0:122): avc: denied { read write } for name="controlC0" dev="tmpfs" ino=478 scontext=u:r:system_app:s0 tcontext=u:object_r:audio_device:s0 tclass=chr_file permissive=0
Android Q 平台 增加文件ioctl 的SElinux权限
sinat_37343534的博客
04-25 2603
Android Q 平台 增加文件ioctl 的SElinux权限 示例问题:avc: denied { ioctl } for path="/**/**" dev="**" ino=4026533781 ioctlcmd=0x6601 scontext=u:r:gap**:s0 tcontext=u:object_r:proc**:s0 tclass=file permissive=0 按照Android Q之前的selinux规则,只需要添加ioctl权限即可 allow gap** proc**:
type=1400 audit(0.0:396): avc: denied { ioctl } for path="socket[91373] 这种问题怎么解决
06-13
这是一个 SELinux 的错误,它拒绝了进程执行指定的 ioctl 操作。要解决这个问题,你可以采取以下步骤: 1. 检查是否有其他安全机制阻止了应用程序执行 ioctl 操作,例如 AppArmor、SELinux 或防火墙。 2. 检查应用程序是否有足够的权限执行 ioctl 操作。这通常需要 root 权限或 CAP_SYS_ADMIN 权限。你可以使用 "strace" 命令来跟踪应用程序的系统调用和错误信息。 3. 如果 SELinux 是问题所在,你可以使用 "audit2allow" 命令来生成一个定制的 SELinux 策略,以允许应用程序执行 ioctl 操作。这个命令会分析 SELinux 审计日志并生成一个定制的 SELinux 策略。 4. 最后,你可以考虑禁用 SELinux 或其他安全机制,但这并不是一个安全的解决方案,因为它可能会导致系统变得容易受到攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值