selinux配置

已于 2024-06-06 14:34:52 修改
阅读量289 收藏
点赞数
文章标签: linux 大数据 运维
于 2022-07-08 18:28:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/o343196469/article/details/125683941
版权
该博客介绍了如何处理Android系统中mediacodec组件访问vendor_data_file的权限问题,通过使用sepolicy-inject工具修改SELinux策略,并详细阐述了编译、生成及替换策略文件的过程,以及如何使用adb进行权限设置。
摘要由CSDN通过智能技术生成

https://github.com/phhusson/sepolicy-inject

A. 版本有remount权限,可直接添加到版本
B. sepolicy-inject push到手机的/data/local/tmp,sepolicy-inject 给工具赋权限 777

Line 9123: [ 3043.848311] (1)[731:logd.auditd][20220708_10:02:03.695154]@1 type=1400 audit(1657245723.689:5572): avc: denied { read } for comm="HwBinder:20018_" name="videodump" dev="dm-45" ino=471 scontext=u:r:mediacodec:s0 tcontext=u:object_r:vendor_data_file:s0 tclass=dir permissive=1



adb shell ./data/local/tmp/sepolicy-inject -s mediacodec -t vendor_data_file -c dir -p search -l 
adb shell ./data/local/tmp/sepolicy-inject -s mediacodec -t vendor_data_file -c dir -p getattr -l 

adb shell cat /data/seinfo.txt


mediacodec.te
allow mediacodec vendor_data_file:file { setattr getattr rw_file_perms open create unlink};
allow mediacodec vendor_data_file:dir { search getattr write read add_name create open remove_name rmdir};

b:
1.编译:
在system/sepolicy/vendor 目录修改后直接在工程根目录编译

./prebuilts/build-tools/linux-x86/bin/ninja -f ./out/combined-pineapple.ninja selinux_policy

2.生成物

out\target\product\pineapple\vendor\etc\selinux\vendor_sepolicy.cil

3.替换(可能无效, 需要整编构建)

adb push "\\172.16.215.102\share\work\8650\out\target\product\pineapple\vendor\etc\selinux\vendor_sepolicy.cil" /vendor/etc/selinux

修改scontext

adb shell chcon -v u:object_r:vendor_videofilter_data_file:s0 /data/vendor/videofilter
adb root && adb shell ls /data/ -Z
u:object_r:vendor_data_file:s0                    vendor
u:object_r:vendor_videofilter_data_file:s0           videofilter
VinterYoung
关注
服务器SELinux配置
suchenbin的博客
08-04 586
最近遇到了SElinux配置的问题,所以简单记一下。 1、SElinux有3种模式 宽容模式(permissive):代表SELinux正在运行,并且已经正确开始限制domain/type的访问; 强制模式(enforcing):代表SELinux正在运行,不会实际限制domain/type的访问,仅有警告信息,一般调试时使用; 永久关闭(disabled):SELinux没有运行。 2...
Selinux配置
云梦归遥【qq_45834685】
11-03 2048
Selinux配置 selinux对于Linux系统可谓是十分重要。它的主要作用是对非超级用户和普通用户进行控制,而是对系统用户进行控制,尤其是一些服务,安装之后会默认创建一些系统用户,为了避免外部人员通过服务访问Linux系统的时候进入系统,访问到其他内容,以及限制服务的作用范围。 但是也可以对端口等作出操作,比如说修改一些著名的服务,比如说httpd的默认访问端口80为10000,避免外部恶意用户进行恶意访问等。 selinux状态: enforcing: 使用selinux强制保护系统 perm
Linux系统:selinux规则配置详解
最新发布
十七拾的博客
03-07 4908
SELinuxSecurity-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
SELINUX配置
limengshi138392的博客
04-18 416
SELINUX配置
Selinux 配置
qq_44844314的博客
06-30 554
SOC: Rk3399, Platform: Android 8.0. 一: 文件不可写,未获取到write属性。 在打印错误log中获取主要信息 denied -->需要获取的权限,name-->需要获取权限的文件,scontext-->需要配置的文件,tcontext-->文件所在路径,tclass-->文件类型。 type=1400 audit(0.0:49): avc: denied { write } for name="dwc3_mode" dev="s...
SElinux配置
在路上的学习者
01-11 594
系统版本:centos 6.5 mini查看selinux状态查看selinux的详细状态,如果为enable则表示为开启$ /usr/sbin/sestatus -v查看selinux的模式$ getenforce关闭selinux永久性关闭(这样需要重启服务器后生效)$ sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/con
操作系统安全:selinux配置语言.docx
06-01
**操作系统安全:SELinux配置语言详解** SELinuxSecurity-Enhanced Linux)是一种强制访问控制(MAC)系统,用于提高Linux操作系统的安全性。其核心在于一套详细的策略配置,该配置通过SELinux配置语言来描述,...
linuxseliunux配置文件,CentOS7中的SELinux配置记录
weixin_42522374的博客
05-13 975
前面在配置vsftpd的时候已经接触过SELinuxSELinux是什么?干什么?还没有具体研究过,所以现在专门记录一下SELinux的了解学习情况。1.简介安全增强式 Security-EnhancedLinux(SELinux)是一个在内核中实践的强制访问控制(MAC)安全性机制。SELinux 首先在 CentOS 4出现,并在后续的CentOS发行版中获得重大改善。这些改善代表用 SEL...
linuxseliunux配置文件,SELinux配置文件简单说明
weixin_42136826的博客
05-13 782
SELinux配置文件(/etc/selinux/config)SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子:清单13-1./etc/selinux/config文件的内容1 # This file contro...
selinux配置详解
05-08
SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局开发的 Linux的一个扩张强制访问控制安全模块。
Linuxselinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在selinux运作时,会有警告讯息,但不会限制domain/type的存取。 disabled: 关闭模式。 可用getenforce查看selinux状态 selinux对文件的作用: 当开启selinux后,selinux会给每个文件加载标签context,安全上下文必须配对,否则文件不能访问 测
SELinux配置
gaby0611的博客
09-07 3190
一:SELinux简介 在SELinux访问控制体系的限制下,进程只能访问那些在他的任务中所需要的文件,从而实现系统的安全性。 1:常见的读取控制机制 (1)DAC (Discretionary Access Control,任意式读取控制),每个对象都会记录一个拥有者的信息。只要是对象的拥有,就可以获得该对象的完全控制权限。DAC允许拥有者完全权限。其他需要读取该对象的时候,必须授予适当的权限。但是每个对象仅有一组拥有者的信息,如果需要更复杂的读取控制能力,必须使用ACL。ACL是DAC的延伸,.
selinux配置
博客
08-07 392
SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个用户、进程、应用和文件的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。 selinux有三种模式:enforcing(强制)、permissive(警告)、disabled(关闭)模式的查看与更
Linux CentOS 8(SELinux配置与管理)
正月十六工作室
10-31 1536
SELinux是安全增强型Linux系统,是一个Linux内核模块,也是Linux的一个安全子系统。开启后,会关闭系统中不安全的功能。主要作用是最大限度地减小系统中服务进程可访问的资源。
SELinux 简介与配置指南
IsdCoding的博客
09-30 497
安全上下文(Security Context):SELinux 为每个进程和文件对象分配一个安全上下文,该上下文由标签组成,用于标识对象的安全属性。强制访问控制(MAC):与传统的自由访问控制(DAC)不同,SELinux 使用强制访问控制来限制进程和文件对象之间的交互。SELinux Booleans:SELinux Booleans 是可以切换的开关,用于启用或禁用特定的 SELinux 功能。通过了解 SELinux 的基本概念和配置步骤,您可以更好地保护您的服务器并提高系统的安全性。
SELinux配置与使用
Ada的专栏
08-07 632
SELINUX 有 disabled、permissive、enforcing 3 种模式选择。enforcing:强制模式,只要 selinux 不允许,就无法执行;permissive:警告模式,将该事件记录下来,依然允许执行;disabled:关闭 selinux停用,启用需要重启计算机。
SElinux的介绍及配置
mogexiuluo的博客
04-18 1780
SELinux(Security-Enhanced Linux) 是(NSA)对于的实现,是 Linux历史上最杰出的新安全子系统SELinux安全增强型Linux系统,是Linux内核子系统,旨在最大限度的减少服务进程对文件、端口等资源的访问SELinux ===》提供系统防护 //内核的功能模式Firewalld ===》提供网络防护 //通过系统服务 firewalld。
linux系统之selinux设置。
热门推荐
shang_feng_wei的博客
04-20 1万+
1、SELinux SELinuxLinux 内核中提供的强制访问控制系统。selinux有disabled、permissive、enforcing 三种选择: Disabled :不启用控制系统。 permissive:开启控制系统,但是处于警告模式。即使你违反了策略的话它让你继续操作,但是把你的违反的内容记录下来。 Enforcing:开启控制系统,处于强制状态。一旦违反了策略,就无法继续...
linux selinux配置
11-11
以下是Linux SELinux配置的基本步骤: 1. 确认SELinux是否已安装并启用: ```bash sestatus ``` 2. 查看SELinux的工作模式: ```bash getenforce ``` 3. 修改SELinux配置文件/etc/selinux/config,将SELINUX=enforcing改为SELINUX=disabled,重启系统使其生效: ```bash vi /etc/selinux/config # 修改SELINUX=enforcing为SELINUX=disabled reboot ``` 4. 查看和修改文件或目录的上下文信息: ```bash # 查看文件或目录的上下文信息 ls -Z /path/to/file_or_directory # 修改文件或目录的上下文信息 chcon -t type /path/to/file_or_directory ``` 5. 恢复文件或目录的上下文信息: ```bash restorecon -R /path/to/file_or_directory ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值