如何排查并解决SEAndroid 的审计不通过

最新推荐文章于 2024-08-16 10:59:50 发布
最新推荐文章于 2024-08-16 10:59:50 发布
阅读量7.5k 收藏 13
点赞数
分类专栏: SEAndroid 文章标签: selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/makingadream/article/details/51861902
版权
Android 5.0 之后,SEAndroid所有的部分均为Enforcing模式;如果当某个操作不被SEAndroid允许时,例如对文件进行write,该如何排查出信息,同时,在sepolicy中,添加上相应的allow语句,将权限开放出去;

1:SEAndroid不允许时,log记录在哪里?
SEAndroid的审计不通过时,log记录在dmesg 中,dmesg是kernel的log,如果想要获取该log,可以使用如下命令:
adb shell su -c dmesg    ----- 获取kernel log

2: 查看SEAndroid 不允许的log
SEAndroid 审计不通过的log,带有"avc:" 所以,用如下命令即可搜集到审计不同的log:

adb shell su -c dmesg | grep 'avc:'  ---- 得到审计不通过的log信息

如果有审计不通过的,会得出如下类似的信息: 
<5> type=1400 audit: avc:  denied  { read write } for  pid=177
comm="rmt_storage" name="mem" dev="tmpfs" ino=6004 scontext=u:r:rmt:s0
tcontext=u:object_r:kmem_device:s0 tclass=chr_file
不被允许的操作是:read 和write
访问者是:u:r:rmt:s0
被访问者是:u:object_r:kmem_device:s0
操作对象是:chr_file

相当于在sepolicy 策略语言中,缺乏这样的语句allow rmt kmem_device:chr_file {read write}

TIP:
pid=177 表示访问者所在的进程,comm中给的是一个提示,表示当这个denial发生时,什么正在运行;

3:如何消除这样的不通过
很简单,可以直接在sepolicy中加上这样的策略语句;
例如上处avc不通过,可以在/external/sepolicy/ 目录下,新建一个test.te
在test.te 中写入, allow rmt kmem_device:chr_file {read write},
重新编译策略语言,刷机即可;

但是当avc很多时,人工去看容易出错且慢,我们可以使用工具来完成这项工作;

selinux/policycoreutils/audit2allow环境搭建:
测试电脑的配置是:unbutu 12.04
step 1:在 ubuntu中安装policycoreutils
sudo apt-get install policycoreutils

step 2 : 使用audit2allow 工具完成策略语言的添加:
adb shell su -c dmesg | audit2allow

例如上诉avc语句就会输出: 
#============= rmt ==============
allow rmt kmem_device:chr_file { read write };

TIP:
1: 要知道,audit2allow是policycoreutils中的工具之一
2:如果在ubuntu 14.04 或者更新的版本中,可以直接将策略语句插入到编译好的sepolicy中
命令如下: 
adb shell su -c dmesg | audit2allow -p out/target/product/<device>/root/sepolicy
云夏之家
关注
专栏目录
SELinux For AndroidAndroid O)
从0到1,突破自己
02-05 8536
注!该文章主要是从Android官方文档SELinux模块进行精简,简单添加了一些自己的理解     从 Android 4.3 起,SELinux 开始为传统的自主访问控制 (DAC) 环境提供强制访问控制 (MAC) 保护功能。例如,软件通常情况下必须以 Root 用户帐号的身份运行,才能向原始块设备写入数据。在基于 DAC 的传统 Linux 环境中,如果 Root 用户遭到入侵,攻击
Android SePolicy验证方法
weixin_39690295的博客
01-15 1614
Android SePolicy验证方法 Android P之后,Selinux权限控制,需要编译以下的目录加以验证 1.编译 make sepolicy 2.编译 system/etc 3.编译 vendor/etc 4.adb push out/tartget/product/XXX/system/etc/selinux/ system/etc/selinux/ adb push out/tartget/product/XXX/vendor/etc/selinux/ vendor/etc/seli
audit2allow工具修改selinux禁用规则
最新发布
m0_56484847的博客
08-16 215
【代码】audit2allow工具修改selinux禁用规则。
android sepolicy 的编译
雪琴的博客
07-13 1万+
Android 4.3 为例,来说明sepolicy的编译 背景: sepolicy是所有的策略语言编译之后生成的二进制文件,最终被导入到kernel中,当某个操作发生时,seandroid会根据这个文件进行检查该操作是否被允许; 那么如何将所有的策略语言编译成sepolicy 一:编译 其实和android的源码编译一样,使用的
[SeLinux]audit2allow安装与使用
wu_shao_hua的专栏
06-29 5043
1.audit2allow的安装: sudo apt install policycoreutils 2.audit2allow的用法 抓log并保存至文件: adb logcat -b all > error_log.txt 3.分析SeLinux问题的log: audit2allow -i error_log.txt 有些系统在执行audit2allow时会出现错误“unable to open (null): Bad address” 有两个方法可以规避这个问题.....
工具audit2allow自动生成Selinux策略语句
weixin_40366279的博客
09-24 2121
1.audit2allow的安装: #sudo apt install policycoreutils 2.audit2allow的用法 (1)抓取和权限相关的log指令,并重定向保存至文件(假如是:avcTest.txt): #adb logcat -b all | grep "avc" > ./avcTest.txt (2)将保存相关的log的文件复制到ubuntu里面,使用命令: #audit2allow -i avcTest.txt-o avc.te 3.打开生成的avc.te文件,根据.
深入理解SELinux SEAndroid.docx
04-17
它基于FLASK安全模型,最初是为了解决传统Discretionary Access Control(DAC)模型的不足,因为DAC允许用户对自身拥有的资源有完全的控制权,这可能导致系统安全性的降低。SELinux引入了MAC,使得系统对资源的访问...
Android 7.0 SEAndroid app权限配置方法
08-27
SEAndroid通过seapp_contexts文件来定义不同应用的上下文信息,这包括应用的domain和type,这些都是由user和seinfo两个参数决定的。在定义中,不同的user标识和seinfo值对应不同的应用类型。例如,一个应用如果user...
SEAndroid安全机制简要介绍和学习计划
03-03
从4.3开始,Android引入了一套基于SELinux的安全机制,称为SEAndroid,来加强系统安全性。接下来我们就对SEAndroid进行简要介绍和制定学习计划。在介绍SEAndroid安全机制之前,我们要先了解一下Android当前所采用的...
android 9】【selinux】【2.工具篇】
handsomethefirst的博客
05-07 1765
可跳转到下面链接查看下表所有内容文章浏览阅读2次。系列文章大全主要包含以下内容Input系统篇【android9】【input系统】【1工具篇】【android9】【input系统】【2.简介】【android9】【input系统】【3.启动】【android9】【selinux】【1.简介】
Android6.0 selinux没有对某个文件的权限(又neverAllow)处理方法
kc58236582的博客
01-18 1万+
一、案例 我们举个案例,比如recovery升级中,碰到这个的log 01-01 08:03:22.410000 217 217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recov
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1498
使用audit2allow工具来根据avc log生成selinux规则
Selinux SeAndroid理解
lansehai的专栏
04-18 1万+
SELinuxSecurity-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation (SCC) 和 MITRE直接参与开发,以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制,该系统最初是作为一款通用访问软件,发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后,有直接整合
2020-11-25 audit2allow
ConceptCon
11-25 290
Android source tree to generate policy statements by taking indmesgandlogcatdenial logs. adb shell su -c dmesg | grep denied | audit2allow for example: android$ grep denied ../../log/zdebug5.txt | audit2allow #============= adbd =============...
SElinux 问题定位 与 添加权限
03-11 3191
adb shell setenforce 0 关闭selinux 验证selinux的配置规则: 首先要了解sepolicy的结构: a. App进程 -> mac_permissions.xml b. App数据文件 -> seapp_contexts c. 系统文件 -> file_contexts d. 系统属性 -> property_contexts一
android sepolicy 最新小结
热门推荐
ch853199769的博客
09-07 2万+
两种模式 标签、规则和域 实现 SELinux neverallow 规则 编译sepolicy Source files Platform public sepolicy Platform private sepolicy Platform private mapping sepolicy兼容性 Object ownership and labeling Type/attribute n...
Android7.1 Selinux使用
不喜欢debug的疯子
07-26 7564
Android7.1 Selinux使用讲Selinux的原理的文章太多了,讲实际使用也是有一些,但是都不够完整,这里举一个在Android7.1下的服务的例子。服务第一步,我们会在init.rc下增加服务。 因为我的设备是freesale sabresd 所以路径是: device/fsl/sabresd_6dq/init.rcservice crondd /system/bi
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值