如何排查并解决SEAndroid 的审计不通过

最新推荐文章于 2024-08-16 10:59:50 发布
最新推荐文章于 2024-08-16 10:59:50 发布
阅读量7.5k 收藏 13
点赞数
分类专栏: SEAndroid 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/makingadream/article/details/51861902
版权
Android 5.0 之后,SEAndroid所有的部分均为Enforcing模式;如果当某个操作不被SEAndroid允许时,例如对文件进行write,该如何排查出信息,同时,在sepolicy中,添加上相应的allow语句,将权限开放出去;

1:SEAndroid不允许时,log记录在哪里?
SEAndroid的审计不通过时,log记录在dmesg 中,dmesg是kernel的log,如果想要获取该log,可以使用如下命令:
adb shell su -c dmesg    ----- 获取kernel log

2: 查看SEAndroid 不允许的log
SEAndroid 审计不通过的log,带有"avc:" 所以,用如下命令即可搜集到审计不同的log:

adb shell su -c dmesg | grep 'avc:'  ---- 得到审计不通过的log信息

如果有审计不通过的,会得出如下类似的信息: 
<5> type=1400 audit: avc:  denied  { read write } for  pid=177
comm="rmt_storage" name="mem" dev="tmpfs" ino=6004 scontext=u:r:rmt:s0
tcontext=u:object_r:kmem_device:s0 tclass=chr_file
不被允许的操作是:read 和write
访问者是:u:r:rmt:s0
被访问者是:u:object_r:kmem_device:s0
操作对象是:chr_file

相当于在sepolicy 策略语言中,缺乏这样的语句allow rmt kmem_device:chr_file {read write}

TIP:
pid=177 表示访问者所在的进程,comm中给的是一个提示,表示当这个denial发生时,什么正在运行;

3:如何消除这样的不通过
很简单,可以直接在sepolicy中加上这样的策略语句;
例如上处avc不通过,可以在/external/sepolicy/ 目录下,新建一个test.te
在test.te 中写入, allow rmt kmem_device:chr_file {read write},
重新编译策略语言,刷机即可;

但是当avc很多时,人工去看容易出错且慢,我们可以使用工具来完成这项工作;

selinux/policycoreutils/audit2allow环境搭建:
测试电脑的配置是:unbutu 12.04
step 1:在 ubuntu中安装policycoreutils
sudo apt-get install policycoreutils

step 2 : 使用audit2allow 工具完成策略语言的添加:
adb shell su -c dmesg | audit2allow

例如上诉avc语句就会输出: 
#============= rmt ==============
allow rmt kmem_device:chr_file { read write };

TIP:
1: 要知道,audit2allow是policycoreutils中的工具之一
2:如果在ubuntu 14.04 或者更新的版本中,可以直接将策略语句插入到编译好的sepolicy中
命令如下: 
adb shell su -c dmesg | audit2allow -p out/target/product/<device>/root/sepolicy
云夏之家
关注
专栏目录
SEAndroid策略
移动编程
05-21 636
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
如何设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理?
老雷的Android学习
09-11 2万+
[Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc:  denied" 或者"avc: denied" 如一行LOG: [ 17.285600].(0)[503:idmap]type=1400 audit(1
audit2allow工具修改selinux禁用规则
最新发布
m0_56484847的博客
08-16 215
【代码】audit2allow工具修改selinux禁用规则。
深入理解SELinux SEAndroid(最后部分)
热门推荐
Innost的专栏
02-23 4万+
接第二部分的内容(http://blog.csdn.net/innost/article/details/19641487)SEAndroid最后一部分全文PDF下载地址为:http://vdisk.weibo.com/s/z68f8l0xZUS9w     深入理解SELinux/SEAndroid(结局)二  SEAndroid源码分析有了上文的SELinux的基础知识,本节再来看看Googl
android sepolicy 的编译
雪琴的博客
07-13 1万+
Android 4.3 为例,来说明sepolicy的编译 背景: sepolicy是所有的策略语言编译之后生成的二进制文件,最终被导入到kernel中,当某个操作发生时,seandroid会根据这个文件进行检查该操作是否被允许; 那么如何将所有的策略语言编译成sepolicy 一:编译 其实和android的源码编译一样,使用的
工具audit2allow自动生成Selinux策略语句
weixin_40366279的博客
09-24 2121
1.audit2allow的安装: #sudo apt install policycoreutils 2.audit2allow的用法 (1)抓取和权限相关的log指令,并重定向保存至文件(假如是:avcTest.txt): #adb logcat -b all | grep "avc" > ./avcTest.txt (2)将保存相关的log的文件复制到ubuntu里面,使用命令: #audit2allow -i avcTest.txt-o avc.te 3.打开生成的avc.te文件,根据.
深入理解SELinux SEAndroid.docx
04-17
它基于FLASK安全模型,最初是为了解决传统Discretionary Access Control(DAC)模型的不足,因为DAC允许用户对自身拥有的资源有完全的控制权,这可能导致系统安全性的降低。SELinux引入了MAC,使得系统对资源的访问...
Android 7.0 SEAndroid app权限配置方法
08-27
SEAndroid通过seapp_contexts文件来定义不同应用的上下文信息,这包括应用的domain和type,这些都是由user和seinfo两个参数决定的。在定义中,不同的user标识和seinfo值对应不同的应用类型。例如,一个应用如果user...
SEAndroid安全机制简要介绍和学习计划
03-03
从4.3开始,Android引入了一套基于SELinux的安全机制,称为SEAndroid,来加强系统安全性。接下来我们就对SEAndroid进行简要介绍和制定学习计划。在介绍SEAndroid安全机制之前,我们要先了解一下Android当前所采用的...
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 7329
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
android 9】【selinux】【2.工具篇】
handsomethefirst的博客
05-07 1765
可跳转到下面链接查看下表所有内容文章浏览阅读2次。系列文章大全主要包含以下内容Input系统篇【android9】【input系统】【1工具篇】【android9】【input系统】【2.简介】【android9】【input系统】【3.启动】【android9】【selinux】【1.简介】
Ubuntu上使用audit2allow解决Android Selinux问题
fred专栏
05-06 552
遇到错误,提示需要用-p指定policy file,然偶尝试创建一个policy空文件,用-p选项,遇到如下错误。首先跟进错误log的堆栈信息找到源码,尝试把352行和354行注释掉,试试。提前用dmesg或者串口抓取kernel log。
[SeLinux]audit2allow安装与使用
c_z_w的博客
08-17 1956
[SeLinux]audit2allow安装与使用 audit2allow的安装 sudo apt install policycoreutils audit2allow的用法 1.抓log并保存至文件: adb logcat -b all  > error_log.txt 2.分析SeLinux问题的log: audit2allow -i error_log.txt 有些系统在执行audit2allow时会出现错误“unable...
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1498
使用audit2allow工具来根据avc log生成selinux规则
SELinux用audio2allow生成添加权限的格式及neverallow解决方法
qq_25815655的博客
05-20 4688
首先我们都知道,添加SELinux方法都是按这种格式来添加的语句格式为:allow scontex tcontex:class action,但是类型比较多,有时间添加到那个文件还是不够清晰啊,能不能有工具来告诉我们 把avc报错生成对应的权限格式添加到对应的文件呢?这里还真有,有了这个工具,我们再遇到AVC报错就不用愁了,废话不多说 (一)我们还是先介绍下确定是否是SELinux的原因导致的问题,虽然网上很多,当你怀疑是SELinux原因导致的问题,用userdebug版本或者eng版...
由于AppArmor拦截导致snap程序异常的问题
Linux内核研究者
03-12 553
由于AppArmor拦截导致snap程序异常的问题
18. SELinux管理
qq_27009517的博客
08-07 866
root 用户实在是一个超人,它在 Linux 系统当中就是无所不能的,而且读、写和执行权限对 root 用户完全没有作用。root 用户的存在极大地方便了 Linux 的管理,但是也造成了一定的安全隐患。 大家想象一下,如果 root 用户被盗用了,或者 root 用户本身对 Linux 并不熟悉,在管理 Linux 的过程中产生了误操作,则会造成什么样的后果? 其实绝大多数系统的严重错误都是由于 root 用户的误操作引起的,来自外部的攻击产生的影响反而不是那么严重。root 用户的权限过高了,一...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值