解决 系统升级后Selinux的file_context指定的目录或者文件域变成unlabeled

最新推荐文章于 2024-06-07 14:56:37 发布
最新推荐文章于 2024-06-07 14:56:37 发布
阅读量7.6k 收藏 10
点赞数 1
分类专栏: android系统 SELiunux 文章标签: android SELiunux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nuanhua209/article/details/64905357
版权

最近遇到一个selinux相关问题,相关的denied打印如下:

avc: denied { write } for name="/" dev="mmcblk0pxx" ino=2 scontext=u:r:AAAA:s0 tcontext=u:object_r:unlabeled:s0 tclass=dir permissive=0

avc: denied { create } for pid=1886 comm="xxxxx" name=aaa" scontext=u:AAAA:s0 tcontext=u:object_r:unlabeled:s0 tclass=file permissive=0

之前指定的/aaa/bbb目录下的文件域为XXX_XXX突然全部变成unlabeled。


unlabeled的标签是系统没有指定的目录就是unlabeled。尝试把出现的denied规则加到te文件里?too yong to naive.

Google能随随便便让进程去建unlabeled ?在external/sepolicydomain.te文件中有如下neverallow规则:

# Do not allow any domain other than init or recovery to create unlabeled files.
neverallow { domain -init -recovery } unlabeled:dir_file_class_set create;

凡是过CTS的娃娃都应该明白这意味着什么,不能随便加!而且neverallow 规则不能修改,否则CTS会有fail项。

Google不让改怎么办?问Google吧!

Google到相关的资料都指向一个原因:系统可能做过OAT升级到时系统分区被破坏,selinux属性丢失

https://marc.info/?l=seandroid-list&m=142072965016559&w=2


咨询了报问题的同事,出问题的机器没有做过OAT升级/(ㄒoㄒ)/~~。但是还是怀疑和分区被破坏有关系。

接着分析:

1.拷贝出来板子的/file_contexts文件,发现指定/aaa/bbb目录的域确实是XXX_XXX。

2.实验把/aaa/bbb目录指定为CCC_CCC重新烧boot.img发现域还是没有改变。

使用命令restorecon -r /aaa/bbb指定的CCC_CCC域起作用,此时怀疑系统有备份file_contexts的属性到某个地方。

3.紧接着查到系统里有把file_contexts的指定设置到系统的分区镜像里。用dd命令拷贝出来/dev/block/分区镜像。查看多了unlabeled的字段。


最后联想到最近有同事做数据保护工作。咨询了同事在/aaa/bbb分区因为写数据掉电或者其他情况被破坏掉后,他会使用make_ext4fs重新格式化分区,但是格式化话后没有回复selinux的域指定。而系统在升级时不会去升级/aaa/bbb分区,系统每次起来都会读一句坏了的分区中保存的/file_contexts。导致出现u:object_r:unlabeled:s0 问题。


解决方法是在数据保护格式化分区后重新调用一次selinux_android_restorecon方法回复selinux属性。

关于selinux_android_restorecon 参考文章:http://blog.csdn.net/l173864930/article/details/17232547




fangandflower
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux资源的SELinux context详解
成长的足迹
06-30 5757
Linux操作系统中的每个资源(如进程、文件描述符、文件、网络等),也被称为SELinux对象,都拥有一个特别的security label,也被称为SELinux label,或SELinux context,以表示该对象能够执行的permissions和operations。这是一个标识符,从Linux系统的细节中抽象出,只聚焦于系统资源的安全属性。通过使用SELinux context,就可...
centos下file_put_contents()无法写入文件的原因及解决方法
12-20
3. **SELinux上下文**:在CentOS中,除了常规的权限系统外,SELinux(安全增强型Linux)也可能阻止写入操作,即使文件目录的权限看起来是正确的。 4. **用户和组**:PHP脚本运行时通常是以Web服务器用户(如`...
SELinux “unlabeled”标签产生的两种场景及解决方案
李老板的移动安全杂货铺
09-15 3214
SELinux出现unlabeled的两种场景做了简单的记录,深度分析形成原因,并且给出了对应的解决方式。两种场景均为笔者在实践过程中遇到的真实场景,是从事Linux安全开发的研发人员大概率会遇到的场景,希望可以帮助大家快速定位和解决类似问题。
SELinux学习:label相关
Linux
01-04 1198
参考链接: SELinux 安全策略解析 Understanding SELinux File Labelling and SELinux Context Practical SELinux for the beginner: Contexts and labels Security-Enhanced Linux SELinux/Labels SELinux/EnforcePolicy SELinux AVC denies at boot SELinux 及 permision denied 问题 SELi
Android 10添加分区unlabeled的原因分析及解决办法
最新发布
feibafeibafeiba的博客
06-07 47
既然清楚了问题,那就好办了,去找新建分区unlabeled解决办法,看到了一位博主的博客,大致的意思就是,新建的分区在SELinux初始化的时候还未挂载,所以即使配置好了相关的SELinux策略也不生效,因为配置的是具体的type的SELinux权限,而实际上该分区却是unlabeled,我们需要在新建的分区挂载之后重新去加载分区的sepolicy,故在device下的init.xxx.rc文件中加入restorecon_recursive [分区名]即可。
sepolicy 中unlabeled 修改
私房菜
08-23 4349
  文章出处:http://blog.csdn.net/shift_wwx/article/details/77500458 请转载的朋友标明出处~~       最近需要在平台上添加一个persist 分区,需要添加sepolicy,但是不管怎么修改,发现分区最终 ls -Z 出来一直是:u:object_r:unlabeled:s0,而不是想要的persist_file 属性。 ...
[AOSP]Android 9.0添加分区unlabeled的原因分析及解决办法
MasterC的博客
01-18 1767
问题分析 最近需要在系统中新建一个分区,整个流程走下来和其它Android版本差别不大,毕竟分区是对于底层Linux而言的,但是添加完却发现系统应用不能读写此分区,仔细研究后发现和SELinux有关,具体可以参阅Android Source上的相关资料,将SELinux设为Permissive模式之后能够正常访问,于是参照其它博主提供的方法抓取了SELinux权限拒绝日志,发现原来是因为此分区的...
context linux,使用selinux contexts
weixin_35181426的博客
05-25 513
SELinux增强了Linux系统的安全,但是对于初学者来说很容易造成各种各样的错误,经常被搞的莫名其妙不知所措,最后只能祭出大招把SELinux一关了之。笔者也是初学者,也没有搞清楚其中的道理,只是了解点皮毛而已。本文只从chcon命令的使用结合几个例子简单回顾一下,更加深入的知识有待继续学习。使用selinux contextsSELinux增强了Linux系统的安全,但是对于初学者来说很容易...
file_contexts(system/bin/添加)
热门推荐
houyizi337825770的专栏
05-13 1万+
最近在编译android4.1.2源码的时候,想在"out/target/……/system/bin/"目录添加几个二进制文件;但是每次把二进制文件拷贝到"out/target/……/system/bin/"目录后,在回到源码根目录“make -j8”生成system.img文件后,我从新打开system.img文件或者刷机到板子上面,总是没有我添加到那几个二进制文件!很是纳闷!如果一直这样工作就
selinux_internal.rar_SELinux_The First
09-14
3. **安全上下文(Security Context)**:每个对象(包括文件、进程等)都有一个安全上下文,它包含了对象的类型、等级、(MLS/MCS)等信息,决定了对象的访问权限。 4. **AV规则(Access Vector Rules)**:这些...
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
SELinux基于一个名为“类型 Enforcement”(TE)的机制,其中每个进程和文件都有一个安全上下文(security context),包括用户ID、角色、类型和等级。这些上下文定义了进程可以访问哪些资源以及如何访问。在默认...
selinux-example_SELinux_
09-28
1. **类型 Enforcement(TE)模型**:这是SELinux的基础,将系统资源(如文件、网络套接字等)和进程分为不同的安全上下文(security context),每个上下文都有特定的类型和级别。 2. **策略(Policy)**:定义了...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如...
Linux-Security-Module.rar_LSM_SELinux_linux lsm
09-19
SELinux的核心是其策略,这是一个定义了系统中所有对象(如文件、进程、网络端口等)以及它们之间交互规则的集合。策略通常由管理员或安全专家编写,并以一种称为“类型 Enforcement”(TE)的模式表示。TE策略定义...
selinux-utils_3.0-1build2_amd64.deb
03-12
ubuntu20.04.1_x86系统安装selinux所需软件包
selinux开启后shadow文件策略修改限制
02-17
SELinux 开启后 Shadow 文件策略修改限制 SELinuxSecurity-Enhanced Linux)是一种基于 Linux 内核的强制访问控制(Mandatory Access Control,MAC)机制,它可以限制进程对文件和资源的访问权限。在 SELinux 中...
SELinux
jerry7582597的专栏
01-26 1808
SELinux   Background LSM中文全称是linux安全模块。英文全称:linux security module. LSM是一种轻量级、通用的访问控制框架,适合多种访问控制模型以内核模块的形式实现。 通过系统调用进入内核之后,系统首先进行传统的权限检查(传统权限检查主要是基于用户的,用户通过验证之后就可以访问资源),通过之后才会进行强制访问控制。(强制访问控制是不允许主体干...
selinux介绍
成功不必在我,而功力必不唐捐!
08-23 595
selinux相关命令 // 0--代表Permissive // 1--代表Enforcing setenforce 0 // 查看selinux开关状态 getenforce // 查看进程的sContext ps -Z // 查看文件权限 ls -Z 如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题 抓取SELinux Log adb shell dmesg 抓kernel log,使用命令: adb shell "cat /
selinux 介绍
老鹰不捉小鸡
06-13 911
DAC和MAC的区别:DAC核心思想:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限 ...
service获取selinux权限_Android : 为系统服务添加 SeLinux 权限 (Android 9.0)
05-20
Android 9.0 及更高版本中,可以使用以下过程为系统服务添加 SeLinux 权限: 1. 定义一个 SePolicy 权限,该权限将授予系统服务访问所需资源的权限。例如,如果您想让服务能够访问 /data/myfile.txt 文件,则需要定义一个 SePolicy 权限来授予服务访问该文件的权限。以下是一个示例权限定义: ``` type myservice_data_file, file_type; permissive myservice_data_file; allow myservice myservice_data_file:file {read write open}; ``` 2. 将权限添加到系统服务的 SePolicy 文件中。例如,如果您要将权限添加到名为 myservice 的服务的 SePolicy 文件中,则可以使用以下命令: ``` $ sudo semanage permissive -a myservice_data_file ``` 3. 将服务的属性添加到 init.rc 文件中。例如,如果您要添加名为 myservice 的服务,则可以使用以下语法: ``` service myservice /system/bin/myservice class main user system group system seclabel u:r:myservice:s0 seclabel u:r:myservice_data_file:s0 ``` 在上面的 init.rc 文件中,seclabel 命令用于指定服务的 SeLinux 安全标签。在此示例中,服务标签为 u:r:myservice:s0,而文件标签为 u:r:myservice_data_file:s0。 4. 重新启动设备以使更改生效。 请注意,添加 SeLinux 权限可能会增加系统的不安全性。因此,必须谨慎地添加这些权限,并仅在必要时才添加它们。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值