selinux权限调试

最新推荐文章于 2024-08-15 13:24:05 发布
最新推荐文章于 2024-08-15 13:24:05 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: Android相关知识 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/python_bigniu/article/details/120112258
版权

在Android 中启动一个新的进程的时候,需要添加相关权限,否则进程无法启动。
以最近添加的BT/WIFI功能进程为例,解决步骤如下:

一、首先设置为permissive模式再启动进程

1.adb shell

setenforce 0 设置为宽容模式
logcat -c 清零logcat 里的log

2.使用QCOM启动相关进程后,再使用QRCT进行进程的通信测试

二、抓取log搜索相关关键字

1.logcat | grep ftmdaemon (也可以使用dmesg | grep ftmdaemon) 查看与启动的该进程所需要的相关权限
logcat 里可能会有如下log报出:

05-19 02:59:38.989 478 478 I hwservicemanage: type=1400 audit(0.0:54): avc: denied { transfer } for scontext=u:r:hwservicemanager:s0 tcontext=u:r:ftmdaemon:s0 tclass=binder permissive=1
05-19 03:00:19.189 4688 4688 I ftmdaemon: type=1400 audit(0.0:55): avc: denied { call } for scontext=u:r:ftmdaemon:s0 tcontext=u:r:hal_bluetooth_default:s0 tclass=binder permissive=1
05-19 03:00:19.199 687 687 I bluetooth@1.0-s: type=1400 audit(0.0:56): avc: denied { call } for scontext=u:r:hal_bluetooth_default:s0 tcontext=u:r:ftmdaemon:s0 tclass=binder permissive=1
05-19 03:00:19.199 4688 4688 I ftmdaemon: type=1400 audit(0.0:57): avc: denied { search } for name="diagchar" dev="sysfs" ino=25033 scontext=u:r:ftmdaemon:s0 tcontext=u:object_r:sysfs_diag:s0 tclass=dir permissive=1
05-19 03:07:55.399 5249 5249 I ftmdaemon: type=1400 audit(0.0:58): avc: denied { dac_override } for capability=1 scontext=u:r:ftmdaemon:s0 tcontext=u:r:ftmdaemon:s0 tclass=capability permissive=1
05-19 03:08:09.339 5249 5249 I ftmdaemon: type=1400 audit(0.0:63): avc: denied { create } for scontext=u:r:ftmdaemon:s0 tcontext=u:r:ftmdaemon:s0 tclass=netlink_generic_socket permissive=1
05-19 03:08:09.339 5249 5249 I ftmdaemon: type=1400 audit(0.0:64): avc: denied { setopt } for scontext=u:r:ftmdaemon:s0 tcontext=u:r:ftmdaemon:s0 tclass=netlink_generic_socket permissive=1
05-19 03:08:09.339 5249 5249 I ftmdaemon: type=1400 audit(0.0:65): avc: denied { bind } for scontext=u:r:ftmdaemon:s0 tcontext=u:r:ftmdaemon:s0 tclass=netlink_generic_socket permissive=1
05-19 03:08:09.339 5249 5249 I ftmdaemon: type=1400 audit(0.0:66): avc: denied { getattr } for scontext=u:r:ftmdaemon:s0 tcontext=u:r:ftmdaemon:s0 tclass=netlink_generic_socket permissive=1
05-19 03:08:09.339 5249 5249 I ftmdaemon: type=1400 audit(0.0:67): avc: denied { write } for scontext=u:r:ftmdaemon:s0 tcontext=u:r:ftmdaemon:s0 tclass=netlink_generic_socket permissive=1
05-19 03:08:09.339 5249 5249 I ftmdaemon: type=1400 audit(0.0:68): avc: denied { read } for scontext=u:r:ftmdaemon:s0 tcontext=u:r:ftmdaemon:s0 tclass=netlink_generic_socket permissive=1
2.分析log

以 05-19 02:59:38.989 478 478 I hwservicemanage: type=1400 audit(0.0:54): avc: denied { transfer } for scontext=u:r:hwservicemanager:s0 tcontext=u:r:ftmdaemon:s0 tclass=binder permissive=1为例
denied { transfer } 资源访问的操作 transfer
scontext=u:r:hwservicemanager:s0 操作主体 hwservicemanager
tcontext=u:r:ftmdaemon:s0 操作客体 ftmdaemon
tclass=binder permissive=1 操作客体所属类别binder

3.根据以上log可以看出,需要在以下两个路径下

\device\qcom\sepolicy\legacy\vendor\common
\device\qcom\sepolicy\generic\vendor\common
ftmdaemon.te文件中添加如下权限(也可以再此目录下任意选择一个te文件添加,因为最后会编译汇总到一个文件):

#============= ftmdaemon ==============
allow ftmdaemon hal_bluetooth_default:binder call;
allow ftmdaemon self:capability dac_override;
allow ftmdaemon self:netlink_generic_socket { write getattr setopt read bind create };
allow ftmdaemon sysfs_diag:dir search;
#============= hal_bluetooth_default ==============
allow hal_bluetooth_default ftmdaemon:binder call;

   注:也可以添加如下修改,直接授予关于ftmdaemon进程的所有权限

userdebug_or_eng(` permissive ftmdaemon; ')
这里编辑TE控制语句格式为 : rule_name source_type target_type : class perm_set
rule: 控制类型, 分为:allow 以及 audit
source_type:也叫subject,通常是domain,可以是一组subject,用{}包含起来。
target_type: 代表请求的资源的类型,可以是一组target,用{}包含起来。
class perm_set: 代表对资源访问的操作,perm_set可以是一组,用{}包含起来。
:一般出现的带有dac_override的那条log可以不管,dac_override 拒绝事件意味着违规进程正在尝试使用错误的 unix user/group/world 权限访问某个文件。正确的解决方案几乎从不授予 dac_override 权限,而是更改相应文件或进程的 unix 权限。有些域(例如init、vold 和 installd)确实需要能够替换 unix 文件权限才能访问其他进程的文件。 — — 来自 google官方文档 <授予 dac_override 权限 >

三、重新编译安卓即可,需要更新 super.img 和 userdata.img

把编译产生的新的镜像文件刷入模块,在不setenforce 0 情况下,再次启动进程,使用QRCT 进行进程通信验证权限是否添加完毕。

多吃青菜长的高
关注
专栏目录
SELinex权限问题调试
撒哈拉的绿洲
11-07 1749
SELinex调试   当SELinux处于enforcing模式下时某些程序的执行会失败,在这里总结此类问题的总体分析方法。 1、首先排除DAC权限的问题,使用“ls –l”检查相关文件的属主和权限。如果DAC的权限许可,则就是SELinux的策略显式地拒绝了当前操作的执行。 2、通过“setenforce 0”命令进入permissive模式(getenforce命令查看模式)
Linux验证SELinux状态
weixin_48692664的博客
01-07 3060
安全增强型Linux(SELinux)是一个Linux内核的功能,它提供支持访问控制的安全政策保护机制。记录操作如何验证SELinux,并且避免系统无法启动的问题。 以root权限执行:sudo su - 运行命令getenforce,验证SELinux状态,返回状态应为enforcing或者permissive 运行命令:sestatus,获取更多SELinux信息 参数信息SELinux status显示为enabled,表示SELinux已启动 ...
调试SELinux
qq_45364825的博客
12-05 470
调试SELinux
Android系统和开发--安全性和权限管理 SELinux 策略 安全架构
最新发布
chenhao0568的专栏
08-15 1050
学习android权限知识 SElinux chmod -R 777 ./ setenforce 0 adb root su fastboot oem at-unlock-vboot adb disable-verityAndroid系统是基于Linux内核构建的,因此它继承了Linux的权限管理机制。Android应用需要通过声明权限来访问系统的某些功能(如摄像头、存储、位置等)。开发者在中声明权限,用户在安装应用时或者运行时可以授予或拒绝这些权限。简介: 是一个用于修改文件或目录权限的命令。含义:注意
android系统user/userdebug版本设置selinuxSELINUX_PERMISSIVE模式
jinron10的专栏
01-06 1388
不是针对消费电子,像工控特殊行业应用,有时需要将androidselinux强行打开。 方法如下: 1、system\core\init\Android.mk --- a/system/core/init/Android.mk +++ b/system/core/init/Android.mk ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT))) init_options += \ -DALLOW_LOCAL_PROP_OVERRIDE=
Android P SElinux权限调试
Android 系统开发
08-27 809
Android P SElinux权限调试Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控制“data”分区文件和“sys”文件节点状态。 因此该功能涉及到selinux权限有两部分,一部分是sy
Android SElinux认知与调试
u013391407的专栏
01-27 2178
Linux 内核资源访问控制分为 DAC(Discretionary Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类。 DAC 基于“用户-用户组-其他”的“读、写、执行”的权限检查,进程理论上所拥有的权限与执行它的用户的 权限相同,该管理过于宽松,如果获得 root 权限,可以在 Linux 系统内做任何事情。
selinux权限修改.pdf
03-26
本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce ...
安卓selinux调试
kk_judge的博客
07-01 691
selinux安卓权限问题
Android11编译第六弹:user版本增加su+内置root用户
joedan0104的专栏
11-14 3526
问题1:user版本默认不开放root,adb登录后默认采用system用户,收紧用户权限;问题2:因为有些功能需要用到root用户,例如设置网卡地址,网卡开启和关闭等,因为线上设备user版本没有root用户开放,很不方便。采用允许登录root用户的方式,登录时增加密码验证。
FTM启用wifi
htt789的博客
03-23 387
检查/sys/module/qca****/parameters/con_mode节点内容为5。启动ftmdaemon程序,分发diag指令到固件。
高通 wlan 调试总结随笔
|~~~热爱生活、努力学习的小伙汁~~~|
06-09 6265
高通 wlan 调试总结随笔1. 进入ftm模式2. 抓取wifi log2.1 抓取 Android log2.1.1 How to enable wifi verbose log?2.1.2 How to collect adb log and kernel log in one file?2.1.3 How to open wpa_supplicant debug log?2.2 抓取 Tcpdump2.3 抓取 wifi driver log & FW log - for WCN36xx2
Android编译选项user、userdebug和eng的区别
beijing2008lm的专栏
09-08 1108
user* eng。
MDM-WIFI(QCA9377,QCA6174)
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
12-09 2775
一:wlan的配置文件其目录 apps_proc\mdm-init中wlan_sdio 中的makefile有如下内容 etcdir = ${sysconfdir} dist_etc_DATA = cld-hostapd-wlan0.sh dist_etc_DATA += cld-hostapd-wlan1.sh misc_ddir = ${userfsdatadir}/misc/wifi d...
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 8392
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
seandroid 中app权限设置
Chaos_hu__的专栏
04-20 1721
在开启了seandroid的设备中,app想调用底层驱动和接口光靠 签名+"android:sharedUserId="android.uid.system""是不行的,调用会不成功。 查看kernel log时会发现类似如下提示: avc: denied { call } for pid=229 comm="chargerhd" scontext=u:r:chargerhd:s0 tcont
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值