快速解决Android中的selinux权限问题

最新推荐文章于 2024-07-07 08:44:18 发布
最新推荐文章于 2024-07-07 08:44:18 发布
阅读量4.3w 收藏 43
点赞数 6
分类专栏: ANDROID 文章标签: Android Selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mike8825/article/details/49428417
版权

关于selinux的详细资料,请查阅http://blog.csdn.net/innost/article/details/19299937

在Android开发的过程中,遇到关于selinux相关的东西,当时还一下子看不懂,现在好像有点眉目了。

 

比如,内核打印这个提示

type=1400 audit(32.939:25): avc: denied { open } for pid=2592 comm="chmod" path="/dev/block/mmcblk0p25" dev="tmpfs" ino=6494 scontext=u:r:init_shell:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=1

 

我们可以遵循这个方法,从头开始寻找关键对象,然后调整一下顺序,生成一条语句,最后将该语句填写到.te文件中即可。

denied { open }             u:r:init_shell:s0            u:object_r:block_device:s0       tclass=blk_file                  

             A                               B                                              C                                       D
 
             B                               C                                              D                                       A

 

allow init_shell  block_device:blk_file open;

 

这条语句表示允许init_shell域中的block_device进程打开block_device类型的块设备文件。

或者直接使用工具生成external/selinux/prebuilts/bin/audit2allow

有时候会遇到编译该规则失败,这也许就是neverallow语句做怪了。

neverallow用来检查安全策略文件中是否有违反该项规则的allow语句(不可修改newerallow的定义)

 

如external/sepolicy/netd.te文件中,语句

neverallow netd dev_type:blk_file { read write };

表示永远不允许netd域中的进程读写dev_type类型的块设备文件,这时只需屏蔽该语句即可。

 

当然,在调试阶段,可在终端上运行如下命令获取SELinux的状态和临时关闭SELinux

setenforce 0                  ##设置SELinux 成为permissive模式(SELinux开启,但对违反selinux规则的行为只记录,不会阻止)

setenforce 1                  ##设置SELinux 成为enforcing模式 (SELinux开启)

getenforce                     ##获取SELinux状态(permissive,enforcing,disabled)

 

当然,如果要验证某些selinux问题,可以在cmdline中加入androidboot.selinux=0来关闭selinux

或者到Android源码的根目录下,直接修改system/core/init/init.c文件。

static void selinux_initialize(void)
{
    if (selinux_is_disabled()) {
        return;
    }

    INFO("loading selinux policy\n");
    if (selinux_android_load_policy() < 0) {
        ERROR("SELinux: Failed to load policy; rebooting into recovery mode\n");
        android_reboot(ANDROID_RB_RESTART2, 0, "recovery");
        while (1) { pause(); }  // never reached
    }

    selinux_init_all_handles();
    bool is_enforcing = selinux_is_enforcing();
    INFO("SELinux: security_setenforce(%d)\n", is_enforcing);
    security_setenforce(is_enforcing);
}

修改is_enforcing的值为0。

当然,最好的修改方法可参考http://blog.csdn.net/u013983194/article/details/50462694

基本思路就是:默认A不许对B和C干什么,但没定义A对D的行为,那可以建一个D的对象,让A对D为所欲为。

修改后,然后编译mmm system/sepolicy -j30,会将devices下的selinux文件包含进去,生成的文件在system/etc/selinux/或vendor/etc/selinux/下,然后用grep进行字符串进行检索,确保修改成功,最后把相应的文件push到机器上验证(高版本的Android手机需要解锁后,push后才能生效)。

那颗流星
关注
  • 6
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Android 关闭SElinux权限
hyg55555的博客
01-09 344
【代码】Android 关闭SElinux权限
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3189
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
android6.0/7.0禁掉Selinux(六十)
Android系统攻城狮
11-28 1万+
注意:android 6.0/7.0的selinux_is_disabled()最终在selinux_reload_policy(void)函数里调用,让selinux_is_disabled()返回true即可。 路径:system/core/init/init.cpp int selinux_reload_policy(void) { if (selinux_is_disabled())...
Android关闭SLinux
最新发布
lmpt90的专栏
07-07 522
adb shell getenforce 查看当前 Selinux 状态是 permissive(关闭)还是 enforce(打开)的。adb shell setenforce 0 开Selinux:设置成模式permissive。adb shell setenforce 1 关Selinux:设置成模式enforce。调试Android的时候有时需要关闭Selinux验证问题。总结下关闭SELinux的方法。
Android 系统调试(1)---禁止Selinux 的方法
zhangbijun1230的专栏
04-01 3759
Android 开发过程经常需要关闭Selinux 功能,通常关闭Selinux的方法如下:1.方式一    static bool selinux_is_disabled(void)   {      if (ALLOW_DISABLE_SELINUX) {          if (access("/sys/fs/selinux", F_OK) != 0) {              r...
Android6.0 selinux没有对某个文件的权限(又neverAllow)处理方法
热门推荐
kc58236582的博客
01-18 1万+
一、案例 我们举个案例,比如recovery升级,碰到这个的log 01-01 08:03:22.410000 217 217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recov
Android Selinux 应用读写设备节点
人生只是一种体验,不必用来演绎完美。
01-22 3704
写入设备节点 final String FILE_PATH = "/sys/dev"; private void writeSysFile(){ final File file = new File(PATH_REPORT) ; String cmd = "1"; FileOutputStream fos = null; try{ fos = new FileOutputStream(file);
详解Android Selinux 权限问题
08-28
Android 5.0及之后的版本SELinux已经被完全集成到系统安全,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4也有限制性地启用了这一...
快速解决AndroidSELinux权限问题
HDDevTeam的专栏
09-20 1448
关于selinux的详细资料,请查阅http://blog.csdn.net/innost/article/details/19299937 通过如下命令: adb shell logcat | grep 'avc:'查看内核log打印的权限错误提示: avc: denied { search } for name="/" dev="tmpfs" ino=9626 scontext=
Android SELinux Enforcing 模式下问题解决
ansondroider的博客
09-30 6344
平台:RK3288 + android 5.11修改selinux模式为enforcing (默认为 permissive) 主要修改parameter:FIRMWARE_VER:5.1.1 MACHINE_MODEL:rk3288 ... #private 6GB, System 512MB, Data 3GB, origin 512MB CMDLINE:console=ttyFIQ0 andr
Android 5.x SEAndroid/SElinux内核节点的读写权限
建建的博客
12-25 829
转载自:http://blog.csdn.net/tung214/article/details/44461985   Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。 本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点的访问权
SElinux
shichaog的专栏
12-08 8691
SElinux是一个linux安全增强功能,其允许用户和管理员对访问控制有更多的控制权。 访问控制可以做到哪个用户可能访问哪些资源的级别。这些资源可以来自文件。标准的Linux存取控制,如文件权限(-rwxr-xr-x)由用户或用户运行的程序修改。相反的,SELinux 的存取权限由系统加载时的policy确定,这个policy不能随意更改。 SELinux同样提供了细粒度的存取控制,不仅仅是
Android SELinux 添加权限后不生效
a785722173的博客
01-26 3746
Android SELinux 添加权限后不生效 Android 12上需要对一个节点进行写操作,但是添加了Selinux以后还是报错 allow platform_app yft_temperature_file:file { write read getattr open }; 加了权限还是一直报avc 01-26 09:40:55.556 7891 7891 W yft.factorymode: type=1400 audit(0.0:361): avc: denied { write }..
Android 11 selinux 权限设置
mjfh095215的专栏
09-12 1万+
快速阅读 框架 SELinux介绍 看Android怎么写? 如何确认是SELinux 约束引起? 怎么抓取SELinux Log? 修改之后,怎么快速验证? 怎么从log提取有效信息? 重点介绍 参考文档 架构 从上层到驱动层的调用流程,但是我们重点关注sContext: 注: file_contexts //系统所有file_contexts安全上下文 seapp_contexts //app安全上下文 property_contexts //属
Android 12关闭Selinux
我的学习笔记专栏
08-05 3596
Android 12 selinux
Android手游绘制基础--13AndroidApp不关闭selinux访问驱动解决方案
2401_83038597的博客
03-22 190
Android应用通常运行在一个沙箱环境,具有限制性的权限,尤其是对于需要高级权限的操作,如直接访问硬件驱动。但是这个方案调试还是比较容易的,在ndk编译完成elf之后push到tmp,授权,App就可以执行了,可以说隔离了App的逻辑,App只需要授权和执行完事了。目录下的设备文件需要超出普通应用权限的操作,但你可以检查并确保你的应用有所有可能需要的权限。使用上面的代码授权。如果关了selinux,那和裸跑没啥区别,流氓的app可以随意读取你的设备信息,很容易拿到你的驱动模块信息了,这个不能关。
Android R setenforce 实现
tq501501的博客
11-03 2346
1、开机启动 system/core/init/main.cpp int main(int argc, char** argv) { #if __has_feature(address_sanitizer) __asan_set_error_report_callback(AsanReportCallback); #endif if (!strcmp(basename(argv[0]), "ueventd")) { return ueventd_main(argc,.
SEAndroid 问题解决
03-30 5431
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值