使用 audit2allow 工具添加SELinux权限的方法

已于 2024-06-26 14:22:11 修改
阅读量841 收藏 11
点赞数 21
分类专栏: Android Ubuntu 开发工具 文章标签: android ubuntu SElinux audit2allow
于 2024-06-26 14:21:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/netwalk/article/details/139987569
版权
Android 同时被 3 个专栏收录
111 篇文章 1 订阅
订阅专栏
Ubuntu
43 篇文章 1 订阅
订阅专栏
开发工具
4 篇文章 0 订阅
订阅专栏

1. audit2allow工具的使用

audit2allow 命令的作用是分析日志,并提供允许的建议规则或拒绝的建议规则。

1.1 audit2allow的安装

sudo apt-get install policycoreutils

sudo apt install policycoreutils-python-utils

1.2 auditallow的命令

命令含义用法
-v--version显示程序的版本号并退出
-h--help显示此帮助消息并退出
-b--boot自最近启动的audit的审计消息,与-i冲突
-a--all从审计的log中读取输入,与-i冲突
-i<输入文件>--input从输入文件中读取输入

1.3 audit2allow的使用

第一步:从android log中获取对应的avc log文件

直接抓取avc log命令如下:

adb logcat –b all | grep avc >avc_log.txt

也可以从抓取到的android log中,筛选导出avc log

一般avc_log.txt内容如下:

06-25 04:39:15.811 4534 4534 I auditd : type=1400 audit(0.0:122): avc: denied { execute } for comm="gripper-backgro" path="/data/user/10/tv.danmaku.bilibilihd/lib-main/libijkffmpeg.so" dev="dm-39" ino=37776 scontext=u:r:platform_app:s0:c522,c768 tcontext=u:object_r:app_data_file:s0:c522,c768 tclass=file permissive=0

第二步:处理log文件

此时需要将生成的log文件最后一行未打全的log进行删除

第三步:使用audit2allow工具生成te文件

在ubuntu终端下使用audit2allow工具,直接分析log生成对应的te文件

audit2allow –i avc_log.txt >avc_log.te

生成的avc_log.te对应的内容例如下:

#============= platform_app ==============

allow platform_app app_data_file:file execute;

第四步:根据抓取的生成的te文件确定需要添加的文件名

此时========platform_app.te========

表示需要在platform_app.te这个文件下添加提示的te语句

allow platform_app app_data_file:file execute;

第五步:编译打包

重新对Android源代码进行编译打包生成img文件

第六步:将ubuntu下编译的镜像刷写进入机器中

android侧常用刷写指令

fastboot devices:列出所有已经进入fastboot模式的设备

fastboot erase system 擦除设备指定的分区

fastboot flash system system.img 将指定的image文件刷入设备的指定分区

fastboot reboot:重启设备

第七步:验证

开机启动后,找到之前报avc错platform_app对应的进程名:tv.danmaku.bilibilihd

ps -A|grep tv.danmaku.bilibilihd

然后抓取avclog,自己添加的te语句对应的avc log是否出现,若未出现,则修改成功。

logcat -b all --pid=3584|grep avc

或者直接看对应的程序有没有正常运行,若正常运行,则修改成功

2.audit2allow无法使用的问题

2.1 问题

在使用audit2allow工具自动生成avc语句时,可能会出现此问题

$ audit2allow -i avc_audit.txt > avc_audit.te
ValueError: You must specify the -p option with the path to the policy file.


The above exception was the direct cause of the following exception:

Traceback (most recent call last):
  File "/usr/bin/audit2allow", line 381, in <module>
    app.main()
  File "/usr/bin/audit2allow", line 365, in main
    audit2why.init()
SystemError: <built-in function init> returned a result with an error set

2.2 解决方案

对/usr/bin/audit2allow文件进行修改,具体修改方案如下:

$ cd /usr/bin/
$ sudo gedit audit2allow

//把文件的第362行到365行注销掉,保存即可

2.3 验证

重新执行audit2allow –i avc_denied.txt >avc_deniedte.te语句,若正常生成te,则修改成功

JerryHe
关注
  • 21
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1210
使用audit2allow工具来根据avc log生成selinux规则
SELinux安全工具使用详解
10-21
3. 使用`audit2allow`生成允许规则,并编译成模块加载到策略中。 4. 如果频繁出现,考虑修改策略源代码,然后重新编译和安装。 ### 六、总结 SELinux提供了一种强大的安全层,通过严格的访问控制策略,增强了系统...
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 5519
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
android 9】【selinux】【2.工具篇】
最新发布
handsomethefirst的博客
05-07 1107
可跳转到下面链接查看下表所有内容文章浏览阅读2次。系列文章大全主要包含以下内容Input系统篇【android9】【input系统】【1工具篇】【android9】【input系统】【2.简介】【android9】【input系统】【3.启动】【android9】【selinux】【1.简介】
工具audit2allow自动生成Selinux策略语句
weixin_40366279的博客
09-24 2009
1.audit2allow的安装: #sudo apt install policycoreutils 2.audit2allow的用法 (1)抓取和权限相关的log指令,并重定向保存至文件(假如是:avcTest.txt): #adb logcat -b all | grep "avc" > ./avcTest.txt (2)将保存相关的log的文件复制到ubuntu里面,使用命令: #audit2allow -i avcTest.txt-o avc.te 3.打开生成的avc.te文件,根据.
SELinux avc权限--audit2allow
u012944254的博客
11-15 5548
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
他们需要使用工具如`adb shell`和`getenforce`来查看当前的Selinux状态,以及`ausearch`或`audit2allow`来分析日志并生成修复策略。有时,为了调试,开发人员可能需要临时切换到Selinux的“Permissive”模式,但这...
selinux权限说明
12-30
此外,`audit2allow`工具可以帮助开发者生成修复策略违规的补丁。 总结,Android 5.1的SELinux权限管理系统为平台提供了强大的安全保障,通过精细化的权限控制,有效地限制了潜在的恶意行为。理解和掌握SELinux机制...
APK启动bin相关selinux权限
04-22
2. 调试工具:`audit2allow`和`setenforce`是两个常用的调试工具。`audit2allow`可以帮助分析审计日志并生成修复策略,`setenforce`则可以临时切换SELinux模式。 五、安全实践 1. 正确的权限设定:为避免不必要的...
cheat_sheet_selinux_v2_cheat_V2_
09-28
3. **编写或修改策略**:根据 `audit2allow` 的建议,可能需要编写新的TE规则。 4. **测试策略**:在测试环境中验证新策略,确保不会引入新问题。 5. **更新策略**:使用 `semodule` 命令加载新策略到系统。 **五、...
Ubuntu环境下SSH的安装及使用
热门推荐
netwalk的专栏
10-22 19万+
SSH是指Secure Shell,是一种安全的传输协议,Ubuntu客户端可以通过SSH访问远程服务器 。SSH的简介和工作机制可参看上篇文章 SSH简介及工作机制。 SSH分客户端openssh-client和openssh-server 如果你只是想登陆别的机器的SSH只需要安装openssh-client(ubuntu有默认安装,如果没有则sudoapt-get install openssh-client),如果要使本机开放SSH服务就需要安装openssh-server。
Git新建本地分支与远程分支关联问题:git branch --set-upstream
netwalk的专栏
03-12 7万+
Git新建本地分支与远程分支关联问题:git branch --set-upstream git在本地新建分支, push到remote服务器上之后,再次pull下来的时候,如果不做处理会报以下提示: You asked me to pull without telling me which branch you want to merge with, and 'branch.production.merge' in your configuration file does not tell me, e
Linux ln命令详解及使用
netwalk的专栏
07-22 4万+
Linux ln命令详解及使用 ln是linux中一个非常重要命令,它的功能是为某一个文件在另外一个位置建立一个不同的链接,这个命令最常用的参数是-s,具体用法是:ln –s 源文件 目标文件。 1. ln命令概述 当我们需要在不同的目录,用到相同的文件时,我们不需要在每一个需要的目录下都放一个必须相同的文件,我们只要在某个固定的目录,放上该文件,然后在其它的目录下用ln命令链接(link)它就可以,不必重复的占用磁盘空间。例如:ln–s /bin/less /usr/local/bin/
Android系统信息获取 之四:系统语言信息获取
netwalk的专栏
08-06 3万+
Android系统信息获取 之三:系统语言信息获取 Android系统的当前系统语言,可以通过Locale类获取,主要方法:Locale.getDefault().getLanguage(),返回的是es或者zh;通过Locale.getDefault().getCountry()获取当前国家或地区,返回为CN或US;如果当前手机设置为中文- 中国,则使用方法返回zh-CN,同理可得到其他
Error处理:Conversion to Dalvik format failed: Unable to execute dex: java.nio.BufferOverflowException.
netwalk的专栏
11-12 3万+
Error解决:Conversion to Dalvik format failed: Unable to execute dex: java.nio.BufferOverflowException. 导入Eclipse Android2.X项目后运行,提示报错:
Error处理: android.media.MediaRecorder.start(Native Method) 报错:start failed: -19
netwalk的专栏
12-30 2万+
Error处理: android.media.MediaRecorder.start(Native Method) 报错:start failed: -19 spydroid-android测试在android4.0系统上报错 start failed: -19 而且也发现,在使用MediaRecorder进行视频录制,调用start()方法时报错,发生spydroid-android测试在android4.0系统上同样的错误,具体错误如下:
Ubuntu使用sshfs挂载远程目录到本地
netwalk的专栏
10-22 2万+
访问局域网中其他Ubuntu机器,在不同机器间跳来跳去,很是麻烦,如果能够把远程目录映射到本地无疑会大大方面使用,就像Windows下的网络映射盘一样。在Linux的世界无疑也会有这种机制和方式,最近在使用的过程中选择了sshfs这个工具来达到把远程目录映射到本地的功能。
Android系统信息获取 之七:获取IP地址和MAC地址
netwalk的专栏
08-07 2万+
Android系统信息获取 之七:获取IP地址和MAC地址 Android系统可以通过WIFI和移动网络GPRS或者3G上网,使用不同网络上网的时候本机的IP地址并不一样。这里予以总结Android系统获取IP地址的方法和获取MAC地址的方法。 1、使用WIFI时,获取本机IP地址: 很明显使用WIFI的时候,要想获取本机的IP地址是通过WIFI服务(WIFI_SER
SELinux by Example
01-16
1.内核策略语言部分旨在作为内核策略语言语句和规则的参考,并附有来自参考策略源的支持示例。此外,政策 DB 第 32 版的所有语言更新都应包含在内。如需更详细的策略语言解释,推荐阅读《SELinux by Example》一书。 《SELinux by Example》是一本专为理解和实践Security-Enhanced Linux(SELinux)安全模型而编写的指南性书籍。SELinux是Linux内核中的一个强制访问控制(MAC)系统,用于增强操作系统的安全性。 这本书通常会深入浅出地介绍SELinux的基本概念、架构以及如何配置和管理SELinux策略。书中通过实例和实际应用场景来帮助读者掌握SELinux的工作原理,内容可能包括: 1. **SELinux基础知识**:介绍SELinux的历史背景、目标、基本术语及工作模式(如`enforcing`、`permissive`和`disabled`)。 2. **策略构建与管理**:详细阐述如何创建、安装、更新和调试SELinux策略模块,使用工具如`semodule`、`checkpolicy`、`audit2all

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JerryHe

你的鼓励是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值