SELinux权限问题分析与修改

最新推荐文章于 2024-08-05 09:42:39 发布
最新推荐文章于 2024-08-05 09:42:39 发布
阅读量1.9k 收藏 2
点赞数
文章标签: java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51760191/article/details/118969440
版权

SELinux权限问题分析与修改

SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性

通常进行文件/分区读写时,就可能存在缺少SELinux权限,而导致读取和写入值失败。首先时如何确认时否是SElinux权限引起的问题:

一、通过log分析:

通过查看手机中的log,过滤出关键信息(关键字avc: denied):

比如这一条log:
M000001 01-01 00:02:15.109 223 223 W init : type=1400 audit(0.0:15): avc: denied { write } for name=“misc” dev=“mmcblk0p37” ino=23 scontext=u:r:vendor_init:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

1、这句log中给出的信息:
1)denied { write } :缺少写的权限
2)scontext=u:r:vendor_init:文件:vendor_init.te

u:object_r:system_data_file:s0 ----> user:role:type:sensitivity //用户(u):角色(system_data):类型(文件):权限(s0)

根据信息在对应文件 vendor_init.te 给对应的权限:allow vendor_init system_data_file:dir { write }

2、再如这个log:

M000001 01-01 00:02:14.979 1 1 W init : type=1400 audit(0.0:7): avc: denied { getattr } for path="/data/nativetest" dev=“mmcblk0p37” ino=7 scontext=u:r:init:s0 tcontext=u:object_r:nativetest_data_file:s0 tclass=dir permissive=0 b/77873135

根据信息在对应文件:init.te给对应的权限:allow init nativetest_data_file:dir { getattr }

对应文件的路径通常都是在:devices/sprd/mpool/sepolicy/vendor/domain.te 或者 device/sprd/sharlk/common/sepolicy/domain.te

给权限我们采取需要什么权限就给哪些,不要多给的原则)

对应文件在项目的路径: device/sprd/sharlk/common/sepolicy/init.te(具体根据项目来)

给了SELinux权限时,可能会报错(neverallow ):

libsepol.report_failure: neverallow on line 31 of system/sepolicy/private/domain.te (or line 26746 of policy.conf) violated by allow system_app sysfs:file { read write create setattr open };
libsepol.report_failure: neverallow on line 507 of system/sepolicy/public/app.te (or line 8383 of policy.conf) violated by allow system_app sysfs:file { write };
libsepol.check_assertions: 2 neverallow failures occurred

这时可以根据错误去修改:

修改system/sepolicy/private/domain.te中的内容,增加-system_app

# /sys  
  neverallow {  
    coredomain  
    -init  
    -ueventd  
    -vold  
    -system_app     //排除system_app  
  } sysfs:file no_rw_file_perms;

这样去改的话,就可能会对GMS造成fail了,你需要自己去评估/测试是否要过GMS测试,以及别的规避方法。
GMS需要测试的case:(有点多,但国内可能不需要过GMS)
在这里插入图片描述

调节Selinux权限得一个一个给,需要长时间的调试。

二、通过直接给SElinux权限确认:

在userdebug模式下,直接给权限,查看问题是否得到解决,如果给了SElinux权限,问题未复现,那基本可以确定是权限问题导致的了。
注:在USER 版本中无法设置SELinux权限

adb shell getenforce //显示SELinux权限,一般默认的为:Enforcing
adb shell setenforce 0 //给SELinux权限,Permissive
adb shell setenforce 1 //恢复到原来的状态
在这里插入图片描述

So_Cool 华
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MTK Android 12修改 XX IoT 应用 SELinux 策略和权限配置
我其实什么都不会
07-12 1272
本篇博客介绍,在开发和调试MTK A12系统预置 xxx IoT 应用过程中,遇到了一系列 SELinux权限管理相关的问题。以下是详细的错误日志和对应的修改记录。
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
selinux解决sysfs neverallow问题
Rainman博的专栏
07-05 317
执行 restorcon -R /devices/platform/aaa/bbb/ccc 来重新加载selinux上下文,发现已经变成。system/etc/selinux下的所以文件push到设备相应目录下, 具体看修改selinux编译在哪里。将vendor/etc/selinux下的所以文件push到设备相应目录下,或者将。在aosp源码/system/policy/下grep system_app就会发发现。system app需要访问/sys下设备节点信息。my_sysfs了。
android10.0(Q) MTK 6765 user版本打开root权限
最新发布
u010345983的博客
08-05 4322
相比较 Android8.1、9.0 而言,Android10.0 版本 的 root变得相当麻烦,10.0 中引入了动态分区机制,同样的要想完全 adb root,需要 fastboot 解锁,然后关闭 verity 才能 adb remount 成功。我尝试和之前一样修改 fstab.in.mt6765 中的 ro 和 rw 初始值,容易导致无法正常开机,在这耗费了很长时间,就暂时先跳过吧,apk root 是 ok的。
selinux权限说明
12-30
关于android5.1权限管理说明文档
selinux限制linux程序运行,如何修改SELinux访问限制
weixin_42429956的博客
05-06 1038
我希望SELinux允许LogRotate守护程序在/var/log/audit/audit.log下旋转和压缩审计日志,但是它被阻止并显示以下错误消息:Oct 27 04:06:03 setroubleshoot: SELinux is preventing /usr/sbin/logrotate "read" access on /var/log/audit./ var / log / aud...
Linux文件权限chmod命令使用说明
一颗开花的术
11-02 396
chmod用于修改文件权限 命令格式:chmod 权限 文件 如:chmod 777 /home/user/aaa/test 常用的linux文件权限: 444 r–r--r– 600 rw------- 644 rw-r–r-- 666 rw-rw-rw- 700 rwx------ 744 rwxr–r-- 755 rwxr-xr-x 777 rwxrwxrwx 从左至右,1-3位代表文件所有...
Selinux文件节点读写权限和控制器权限配置
weixin_37961937的博客
06-28 982
排查方法主要是查看点击该功能,系统打印出来的日志,发现缺少权限配置,我的最开始是文件读写权限缺少,后来又是控制器权限配置,很多权限他不是一次性出来的,以上截图是我其中一份日志是,仅供参考,是告诉你们看到系统日志里面如何找自己需要配置哪些全部。下面开始看我的日志,这段错误日志跟上面第一点的几乎一样,唯一不同的就是他是denied { read }这一段是 denied { write }这里面操作权限是可读,因为操作的不同,日志中体现的错误日志也不同,所以最终的写法就是。上面就是我所有需要配置的权限了。
Selinux权限介绍
littleyards的博客
03-26 564
可以看出,这里对主体(platform_app )访问客体(system_file)的子项(比如文件夹)的某项权限都进行了精确的规定。一个文件可以规定为:拥有它的用户具有什么权限,和它同组的用户具有什么权限以及其它的用户具有什么权限。这里说的是用户空间,是因为Seliunx的权限检查还是由内核完成的。load_policy : 加载二进制策略文件,临时性的操作,重启无效, 一般用于调试,如重新编译了策略文件, 替换新的策略二进制文件, 可以重新让系统加载策略文件。五,Seliunx 常见的命令。
Android SElinux认知与调试
u013391407的专栏
01-27 2154
Linux 内核资源访问控制分为 DAC(Discretionary Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类。 DAC 基于“用户-用户组-其他”的“读、写、执行”的权限检查,进程理论上所拥有的权限与执行它的用户的 权限相同,该管理过于宽松,如果获得 root 权限,可以在 Linux 系统内做任何事情。
APK启动bin相关selinux权限
04-22
本文将深入探讨APK启动bin相关selinux权限的原理、配置以及重要性。 一、SELinux基础 1. SELinux简介:SELinux由美国国家安全局(NSA)开发,主要目的是提供细粒度的访问控制,防止恶意软件或错误配置对系统造成...
SELINUX工作原理详解
01-09
**一、SELinux的概述与组件** **1. SELinux的主要价值** SELinux(Security-Enhanced Linux)是Linux系统的一个重要安全增强组件,它的核心价值在于提供了一种灵活且可配置的强制访问控制(MAC)机制。这种机制能够...
MTK Android12 分析system_app允许vendor_mtk_audiohal_prop SELinux 权限问题
我其实什么都不会
08-03 701
本文将尝试分析,在开发 Android 12 MTK 平台时遇到了 vendor_mtk_audiohal_prop 属性相关的 SELinux 权限问题。包括如何修改 SELinux 策略以允许 system_app设置 vendor_mtk_audiohal_prop属性。
Linux下文件权限:ACL与selinux
weixin_30808693的博客
04-10 711
经常接触电脑文件的人都会知道在电脑中存在的文件其实是有权限限制的,规定了什么用户拥有什么样的权限;这种设定在Windows和Linux上都可以看到,只是大家经常使用的是win的图像化界面可能感觉不是太明显,如果你经常操作过Linux的命令行界面或者架设网站,可能对文件权限有很深的理解。 接下来,就来说一下在Linux下的文件权限的设定以及原理,Linux下对于文件权限的控制主要是通过两个方面,一...
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 8311
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
selinux权限问题
明朗晨光的专栏
10-24 6492
adb修改selinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前selinux状态 setenforce 1; //打开selinux setenforce 0; //关闭selinux 从kernel中彻底关闭 修改/linux/android/kernel/arch/arm64/configs/xxx_defconf...
【Linux】SELinux
嚴 帅的博客
01-09 692
一、SELinux说明 SELinux是Security-Enhanced Linux的缩写,中文意思你是安全强化的linux。 SELinux 主要由美国国家安全局(NSA)开发,当初开发的目的是为了避免资源的误用。 系统资源都是通过程序进行访问的,如果将/var/www/html/权限设置为777,代表所有程序均可对该目录访问,如果已经启动www服务器软件,那么该软件触发的进程将可以...
selinux详解及配置文件
co1590的博客
06-26 2611
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ; 如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。 DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制。Root有最高权限无法限制。r,w,x权限划分太粗糙。无法针对不同的进程实现限制。 Selinux
Android SELinux介绍和配置
fanx9339的博客
06-22 4494
SELinux是什么? SELinux是一套完整的安全策略,最开始是美国国家安全局和一些公司联合设计为了针对Linux系统的安全隐患而产生的一套系统,它为每一个进程,每一个文件,每一个属性都定义了标签,用来控制进程对文件的操作的权限控制!在安卓里面,SELinux有三种状态: enforce模式:强制模式,必须有配置权限才能执行相应的访问/操作permissive模式:宽容模式,打印记录出现的越权行为,但是不禁止该访问/操作disable:关闭模式,关闭SELinux,不受SELinux权限控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值