Android O selinux违反Neverallow解决办法

最新推荐文章于 2024-07-22 23:45:00 发布
最新推荐文章于 2024-07-22 23:45:00 发布
阅读量6.2k 收藏 17
点赞数 5
文章标签: android
原文链接:https://blog.csdn.net/yxw0609131056/article/details/79784490
版权

因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:

1、Android O selinux相关配置文件所在路径

      system/sepolicy/*                      AOSP device和APPS相关selinux配置

      device/qcom/sepolicy/*            平台和板卡相关selinux配置

2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规则,否则编译报错

例如:kernel log中提示“avc: denied { read write } for pid=867 comm="mmi" name="binder" dev="tmpfs" ino=10501 scontext=u:r:mmi:s0 tcontext=u:object_r:binder_device:s0 tclass=chr_file permissive=0”

如果直接在mmi.te文件中添加:allow mmi  binder_device : chr_file  rw_file_perms,就可能导致违反谷歌规定的Neverallow规则而编译报错: 

system/sepolicy/public/domain.te

neverallow {
  domain
  -coredomain
  -appdomain
  -binder_in_vendor_violators 

binder_device:chr_file rw_file_perms;

如果这时直接修改neverallow规则,可以通过编译,但是可能会导致CTS测试失败,所以这时就要想办法绕过neverallow规则,

上面有一个binder_in_vendor_violators貌似和binder有关,那我们就先看下这个东东如何定义的吧?

system/sepolicy/public/attributes

attribute binder_in_vendor_violators;

expandattribute binder_in_vendor_violators false;

system/sepolicy/private/binder_in_vendor_violators.te

allow binder_in_vendor_violators binder_device:chr_file rw_file_perms;

从中可以看出这个东东具有读写binder_device权限,那我们能否利用这个?如果可以,又该如何利用?

 其实很简单,只要做如下修改即可:

device/qcom/sepolicy/common/mmi.te

typeattribute mmi binder_in_vendor_violators;

将mmi domain关联到这个东东,问题就可以解决了

但是,但是凡事还有个但是,如果attribute找不到相应的属性,那怎么办呢  ,答案是自己添加节点
例如  我之前项目中配置GOTA是遇到一个neverallow问题 而且domain.te 不允许添加规则。

大致情况如下:
报错如下:

11-05 19:06:25.676 1236 1236 I update_engine: [INFO:delta_performer.cc(657)] Starting to apply update payload operations
11-05 19:06:25.679 1236 1236 I update_engine: [INFO:delta_performer.cc(385)] Opening /dev/block/bootdevice/by-name/recovery_b partition without O_DSYNC
11-05 19:06:25.670 1236 1236 W update_engine: type=1400 audit(0.0:960): avc: denied { read } for name="mmcblk0p18" dev="tmpfs" ino=10343 scontext=u:r:update_engine:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
11-05 19:06:25.683 1236 1236 E update_engine: [ERROR:utils.cc(626)] Opening block device /dev/block/bootdevice/by-name/recovery_b: Permission denied (13)
11-05 19:06:25.690 1236 1236 I update_engine: [INFO:delta_performer.cc(128)] Caching writes.
11-05 19:06:25.680 1236 1236 W update_engine: type=1400 audit(0.0:961): avc: denied { read write } for name="mmcblk0p18" dev="tmpfs" ino=10343 scontext=u:r:update_engine:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
11-05 19:06:25.694 1236 1236 E update_engine: [ERROR:delta_performer.cc(139)] Unable to open file /dev/block/bootdevice/by-name/recovery_b: Permission denied (13)
11-05 19:06:25.698 1236 1236 E update_engine: [ERROR:delta_performer.cc(390)] Unable to open target partition recovery on slot B, file /dev/block/bootdevice/by-name/recovery_b
11-05 19:06:25.701 1236 1236 E update_engine: [ERROR:download_action.cc(336)] Error ErrorCode::kInstallDeviceOpenError (7) in DeltaPerformer's Write method when processing the received payload -- Terminating processing

按道理需要在undate_engine.te中添加
allow update_engine block_device:blk_file {read write}
但是domain.te中写到:
neverallow { domain -kernel -init -recovery } block_device:blk_file { open read  write};

观察log发现
是update_engine 对recovery分区么权限
11-05 19:06:25.670 1236 1236 W update_engine: type=1400 audit(0.0:960): avc: denied { read } for name="mmcblk0p18" dev="tmpfs" ino=10343 scontext=u:r:update_engine:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
于是找到一台userdebug机器   root后观察/dev/block/by-name显示的节点
发现
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 recovery_a -> /dev/block/mmcblk0p17
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 recovery_b -> /dev/block/mmcblk0p18

lrwxrwxrwx 1 root root 21 1970-03-06 18:56 abl_a -> /dev/block/mmcblk0p33
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 abl_b -> /dev/block/mmcblk0p34
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 apdp -> /dev/block/mmcblk0p57
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 bluetooth_a -> /dev/block/mmcblk0p36
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 bluetooth_b -> /dev/block/mmcblk0p37
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 boot_a -> /dev/block/mmcblk0p12
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 boot_b -> /dev/block/mmcblk0p13
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 catecontentfv -> /dev/block/mmcblk0p73
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 catefv -> /dev/block/mmcblk0p72
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 cateloader -> /dev/block/mmcblk0p64
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 cmnlib64_a -> /dev/block/mmcblk0p22
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 cmnlib64_b -> /dev/block/mmcblk0p24
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 cmnlib_a -> /dev/block/mmcblk0p21
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 cmnlib_b -> /dev/block/mmcblk0p23
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 ddr -> /dev/block/mmcblk0p35
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 devcfg_a -> /dev/block/mmcblk0p50
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 devcfg_b -> /dev/block/mmcblk0p51
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 devinfo -> /dev/block/mmcblk0p58
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 dip -> /dev/block/mmcblk0p56
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 dsp_a -> /dev/block/mmcblk0p31
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 dsp_b -> /dev/block/mmcblk0p32
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 dtbo_a -> /dev/block/mmcblk0p39
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 dtbo_b -> /dev/block/mmcblk0p40
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 elableinfo -> /dev/block/mmcblk0p47
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 frp -> /dev/block/mmcblk0p54
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 fsc -> /dev/block/mmcblk0p78
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 fsg -> /dev/block/mmcblk0p77
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 hyp_a -> /dev/block/mmcblk0p9
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 hyp_b -> /dev/block/mmcblk0p10
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 imagefv_a -> /dev/block/mmcblk0p41
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 imagefv_b -> /dev/block/mmcblk0p42
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 keymaster_a -> /dev/block/mmcblk0p19
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 keymaster_b -> /dev/block/mmcblk0p20
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 keystore -> /dev/block/mmcblk0p49
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 limits -> /dev/block/mmcblk0p61
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 logdump -> /dev/block/mmcblk0p65
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 logfs -> /dev/block/mmcblk0p63
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 mdtp_a -> /dev/block/mmcblk0p27
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 mdtp_b -> /dev/block/mmcblk0p28
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 mdtpsecapp_a -> /dev/block/mmcblk0p25
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 mdtpsecapp_b -> /dev/block/mmcblk0p26
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 metadata -> /dev/block/mmcblk0p46
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 misc -> /dev/block/mmcblk0p48
lrwxrwxrwx 1 root root 18 1970-03-06 18:56 mmcblk0 -> /dev/block/mmcblk0
lrwxrwxrwx 1 root root 22 1970-03-06 18:56 mmcblk0rpmb -> /dev/block/mmcblk0rpmb
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 modem_a -> /dev/block/mmcblk0p29
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 modem_b -> /dev/block/mmcblk0p30
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 modemst1 -> /dev/block/mmcblk0p75
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 modemst2 -> /dev/block/mmcblk0p76
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 multiimgoem -> /dev/block/mmcblk0p69
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 multiimgqti -> /dev/block/mmcblk0p70
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 oemowninfo -> /dev/block/mmcblk0p11
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 persist -> /dev/block/mmcblk0p45
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 qupfw_a -> /dev/block/mmcblk0p52
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 qupfw_b -> /dev/block/mmcblk0p53
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 rawdump -> /dev/block/mmcblk0p55
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 recovery_a -> /dev/block/mmcblk0p17
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 recovery_b -> /dev/block/mmcblk0p18
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 rpm_a -> /dev/block/mmcblk0p7
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 rpm_b -> /dev/block/mmcblk0p8
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 secdata -> /dev/block/mmcblk0p71
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 splash -> /dev/block/mmcblk0p60
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 spunvm -> /dev/block/mmcblk0p59
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 ssd -> /dev/block/mmcblk0p38
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 storsec -> /dev/block/mmcblk0p68
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 super -> /dev/block/mmcblk0p14
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 toolsfv -> /dev/block/mmcblk0p62
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 tz_a -> /dev/block/mmcblk0p5
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 tz_b -> /dev/block/mmcblk0p6
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 uefisecapp_a -> /dev/block/mmcblk0p43
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 uefisecapp_b -> /dev/block/mmcblk0p44
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 uefivarstore -> /dev/block/mmcblk0p74
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 userdata -> /dev/block/mmcblk0p79
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 vbmeta_a -> /dev/block/mmcblk0p66
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 vbmeta_b -> /dev/block/mmcblk0p67
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 vbmeta_system_a -> /dev/block/mmcblk0p15
lrwxrwxrwx 1 root root 21 1970-03-06 18:56 vbmeta_system_b -> /dev/block/mmcblk0p16
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 xbl_a -> /dev/block/mmcblk0p1
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 xbl_b -> /dev/block/mmcblk0p2
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 xbl_config_a -> /dev/block/mmcblk0p3
lrwxrwxrwx 1 root root 20 1970-03-06 18:56 xbl_config_b -> /dev/block/mmcblk0p4
FelixMa:/dev/block/by-name #

于是作出如下修改即可解决问题
prebuilts/api/30.0/private/file_contexts  private/file_contexts
+/dev/block/mmcblk0p17 u:object r:recovery_block_device:s0
+/dev/block/mmcblk0p18 u:object r:recovery_block_device:s0


prebuilts/api/30.0/public/update_engine.te  public/update_engine.te
+allow update_engine recovery_block_device:blk_file {read write}


prebuilts/api/30.0/public/device.te   public/device.te
+ type recovery_block_device, dev_type

Felix.Ma
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
SELinux4AndroidO
02-05
m4.pdf/configuring-selinux-policy-report.pdf/implementing-selinux-as-linux-security-module-report.pdf/The_SELinux_Notebook-4th_Edition.pdf/SEAndroid-NDSS2013.pdf/abs2014_seforandroid_smalley.pdf/...
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 487
翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 1332
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限。
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 1696
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 1766
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
android selinux报avc denied权限和编译报neverallow解决方案
楼中望月
06-02 7423
android avc denied解决方案,以及nerverallow编译报错解决方案
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 1964
Android系统编译 报neverallow 错误的解决方法。
Android O 8.0 selinux特性 Google介绍文档
12-26
Android O 8.0 selinux特性 Google介绍文档,帮助学习最新selinux规则
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
Android SELinux Allow可视化生成工具
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell...
Android P SELinux (四) CTS neverallow处理总结
headwind的博客
08-15 6084
CtsSecurityHostTestCases 首先CTS测试里面关于neverallow的用例,可以学习下这篇文章,代码是动态生成的 Android CTS中neverallow规则生成过程 下面主要分享一些遇到的 CTS neverallow问题的处理方法: 目录一、一些权限的解决方案1.1、区分vendor域和system域1.2、setenforce的可行性1.3、dac_override 解决办法1.4、echo打印到终端1.5、读写U盘内容1.6、am 命令1.7、ioctl二、常见违反nev
android 编译报错,android avc 编译报错neverallow问题查找
weixin_39675178的博客
05-27 1065
android avc 编译报错neverallow问题查找2020年08月11日|萬仟网移动技术 |我要评论在修改avc后,有时候编译会报错neverallow。这个具体是在什么地方定义的呢目录:system/sepolicy/private/domain.te# Limit ability to ptrace or read sensitiv...
selinux权限neverallow解决
qq_36975610的博客
03-07 1624
selinux权限neverallow解决
Android SeLinux权限问题
Flying snow
09-29 2281
(1)权限确认&示例 avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0 Kenel log: avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u:r:untrusted_app:s0 tcontext=u:r:untrusted
SELinux/SEAndroid 实例简述(二) TE语言规则
sunnywalden
03-07 4166
一. 基本语法 很多te文件集中在\external\sepolicy文件夹下,MTK也有很多自定义的在\device\mediatek\common\sepolicy。它的最基本样式是       allow factory powerctl_prop:property_service set;allow factory ttyGS_device:chr_file { read
Android 自定义系统版本号
最新发布
码点
07-22 322
通过查看编译完成后的文件 out/target/product/generic_x86_64/system/build.prop 确认是否修改完成。重新编译,可以直接make,无需清理out文件夹重新花费大量时间全部编译。framework开发,实现自定义系统版本号。
如何处理selinux的 neverallow 冲突
03-31
要解决selinux的neverallow冲突,需要进行以下步骤: 1. 确定哪些进程或文件系统存在neverallow冲突。 2. 确定哪些selinux策略模块与冲突相关。 3. 通过修改selinux策略模块,允许相关的进程或文件系统访问被拒绝...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值