Android SELinux访问data目录

最新推荐文章于 2024-10-15 09:15:02 发布
最新推荐文章于 2024-10-15 09:15:02 发布
阅读量924 收藏 16
点赞数 6
文章标签: android linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23069607/article/details/136044665
版权

Android SELinux默认开启时,若进程想访问并操作data分区的一个目录,通常需要解决部分进程访问data目录而造成的功能兼容性问题,如访问权限扩大或违反Google neverallow规则导致的认证失败。

实际案例

当进程没有添加SELinux的rule规则下去操作data目录,通过logcat可以看到会有许多的avc denied的信息,说明此操作被SELinux拦截处理了。可以执行setenforce 0临时关闭selinux防火墙,方便核对并添加sepolicy允许规则。

例如跑CTS测试时报了如下错误,必须想办法绕过它。在这里插入图片描述

1、新建data子目录
在/system/core/rootdir/init.rc中执行并设置目录文件的访问权限。

on post-fs-data
	 mkdir /data/hht 0770 system system

注意:在vendor的rc文件里创建data子目录是不会成功的。将rc文件push到/system/etc/init/hw可快速验证。

adb push xxx\system\core\rootdir\init.rc /system/etc/init/hw

2、声明文件类型的变量
在/device/rockchip/common/sepolicy/vendor/file.te中添加如下定义:

type hht_data_file, file_type, data_file_type, core_data_file_type;

3、为文件分配安全标签
在/device/rockchip/common/sepolicy/vendor/file_contexts中添加如下规则:

/data/hht(/.*)?            u:object_r:hht_data_file:s0

4、赋予控制访问文件节点的权限
在/device/rockchip/common/sepolicy/vendor/system_app.te中为system_app进程添加allow权限。

例如出现如下avc日志:

type=1400 audit(0.0:150): avc: denied { getattr } for path="/data/hht" dev="dm-37" ino=18203 scontext=u:r:system_app:s0 tcontext=u:object_r:hht_data_file:s0 tclass=dir permissive=0
type=1400 audit(0.0:151): avc: denied { search } for name="hht" dev="dm-37" ino=18203 scontext=u:r:system_app:s0 tcontext=u:object_r:hht_data_file:s0 tclass=dir permissive=0

宗旨是:缺啥补啥,并遵循如下规则:

{ getattr } 缺少的权限
scontext=u:r:system_app:s0 谁缺此权限
tcontext=u:object_r:hht_data_file:s0 对哪个类型文件缺少权限
tclass=dir 什么类型文件

若avc: denied过多,考虑使用audit2allow工具,可以获取日志中的所有拒绝事件并将其转换成相应的SELinux政策声明。
如下添加到对应的*.te文件中即可:
在这里插入图片描述

#============= 源类型 ==============
allow 源类型 目标类型:访问类型 操作权限;
完整的意思是:“源类型"进程对"目标类型"的"访问类型"缺少"操作权限”

5、编译验证:mmm /system/sepolicy或make selinux_sepolicy
push如下selinux产物验证:

adb push ***\out\target\product\rk3588_t\odm\etc\selinux /odm/etc
adb push ***\out\target\product\rk3588_t\product\etc\selinux /product/etc
adb push ***\out\target\product\rk3588_t\system\etc\selinux /system/etc
adb push ***\out\target\product\rk3588_t\system_ext\etc\selinux /system_ext/etc
adb push ***\out\target\product\rk3588_t\vendor\etc\selinux /vendor/etc

6、ls -aZ查看文件SELinux上下文
SELinux标签提供了用户(u)、角色(object_r)、类型(hht_data_file)和级别(s0)等信息用于做出访问控制决策。
在这里插入图片描述

7、参考链接

Android SELinux——上下文Context源码(十)
小旭的专栏
10-16 942
通过前面的文章我们知道,SELinux 中的上下文(contexts)包含很多类型,这里我们就来看看Androd 源码中 上下文 SELinux Contexts 的代码结构。
Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 626
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
Android11 无Root 访问data目录实现、Android11访问data目录Android11解除data目录限制、Android11 data空白解决
热门推荐
子君的博客
02-22 22万+
Android11 无Root 访问data目录实现、Android11访问data目录Android11解除data目录限制、Android11 data空白解决、SAF文件访问框架
Android SELinux开发入门指南之正确姿势解决访问data目录权限问题
IT先森
07-05 9052
  Android SELinux开发入门指南之正确姿势解决访问data目录权限问题 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。今天要讲的是Android开启SELinux后不允许部分进...
Android SELinux权限
weixin_75102992的博客
09-27 813
在mk中增加Prop,通过SystemProperties去获取时发现出现Access denied finding property "ro.vendor.firmware.version"问题。对于vendor下property权限,类似file权限attributes.te定义type:在property.te 中添加:在property_contexts中添加:system_app.te添加权限
selinux安全策略导致APP不能读取文件
airgreen的博客
11-07 1211
由于项目的需要,我们开发的画册类APP需要读取几个G的数据,系统启动后只有此APP自动启动显示,APP不能退出,用户不能使用其他APP。直接在普通平板上安装显示是不能满足需求的。因此我们定制了小米2平板将APP连同几个G的数据打包到系统中。原来开发的时候是用小米1平板做调试开发的,但是后来换了小米2平板就发现画册不能正常显示。查找原因发现每次在读取关键文件时有以下的Log出现: type=140
selinux修改(开启外网访问访问不是默认目录或报550错误)
Mr.韩的博客
08-06 745
外网是可以访问上去了,可是发现没法返回目录(使用ftp的主动模式,被动模式还是无法访问),也上传不了,因为selinux作怪了。 修改selinux: 执行以下命令查看状态: [root@hyy ~]# getsebool -a | grep ftp   allow_ftpd_anon_write --> off ftpd_full_access --> off allow...
详解Android Selinux 权限及问题
manshq163com的专栏
12-08 1029
由于现做的是MTK平台,源码路径基于MTK, 不过高通大同小异 说明 Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,4.4 会有些许差异。 SELinux Mode S...
Android 用户组权限SELinux心得总结
Mis_wenwen的博客
11-09 8226
这里要分两个部分来说,一个是Linux权限组的设定,一个是SELinux。 我们先不考虑SELinux。先单独来说Linux权限组。 因为要想对某个文件进行操作(read,write,execute等),必须先满足Linux权限组的规则,然后再满足SeLinux的allow条件,才能成功操作。 我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...
Android SELinux——Sepolicy基础语法(四)
小旭的专栏
10-11 938
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
Android SELinux——上下文Context介绍(九)
最新发布
小旭的专栏
10-15 714
前面文章中介绍 allow 语句中所说的 "映射",即将一个进程关联到一个 type,或者将一个文件关联到一个 type,是通过 context 来完成的。1、进程Context在 SELinux 中,进程的上下文(context)包含了多个字段,用于描述该进程的安全属性。user=_app:user 标识了拥有该进程的 SELinux 用户,_app 通常是 Android 系统中应用程序的默认用户,表示这是一个常规的 app。
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7712
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
为何Android普通APP可以执行私有数据中的so文件,而system app却不可以?
嵌入式Linux
12-28 965
本文基于Android 10的Sepolicy进行分析。 在热更新或者减少安装包的大小实践中,可以看到普通APP可以在安装以后下载共享库文件,也就是.so文件,然后进行动态加载动作。 同样的,如果是一个system app,想要执行类似地加载动态库的动作为什么会不行? 首先普通APP的私有数据区的数据标签为app_data_file,而在selinu的源码中,可以找到如下策略: #Some apps ship with shared libraries and binaries that they
Apache 与SELinux
我是个程序员
01-05 6459
配置Apache经常遇到的一个问题就是,Permission Denied,奇怪之处在于,我已经把owner:group都设置成apache,并且各级目录访问权限也都正确设置,仍然还是在进行文件操作的时候Permission Denied.问题的真正原因一般出在SELinux上。SELinux是「Security-EnhancedLinux」的简称,是美国国家安全局「NSA=The Na
Android Selinux详解[二]--新增文件标签相关
weixin_41028555的博客
03-07 2144
在工作过程中,SElinux常用的有以下几个文件可用于新增标签restorecon在Selinux中是一个非常常用的命令,其解释如下"restorecon" 是一个用于恢复文件或目录SELinux 安全上下文的命令。在使用 SELinux(Security-Enhanced Linux)时,每个文件和目录都有一个安全上下文,它描述了文件或目录的安全属性和访问权限。如果由于某种原因安全上下文发生了改变,例如文件被移动或复制,可能导致安全上下文不一致。
Android P SELinux权限获取
arrol1786936883的博客
04-26 2199
Android SELinux权限问题
Android SELinux
tengfeidx的博客
06-29 1815
ls -Z 查看selinux的服务
Android-SEAndroid权限问题指南
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值