高通平台中为一个server添加SELinux权限

最新推荐文章于 2024-05-31 00:34:00 发布
最新推荐文章于 2024-05-31 00:34:00 发布
阅读量1.4k 收藏 6
点赞数 1
分类专栏: Linux 设备驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24622489/article/details/88992098
版权

假设我们在Android平台中实现了一个server,编译生成的应用程序位于/vendor/bin/testfd.下面为这个应用程序添加selinx权限。
1.在devices/qcom/sepolicy/vendor/common/目录下新建一个testfd.te文件,这个文件将用来添加testfd这个应用程序的权限。
2.将testfd.te这个文件加入到devices/qcom/sepolicy/Androd.mk中BOARD_SEPOLICY_UNION的列表中。现在的Android P 版本已经不用进行这步操作了,只需在第一步创建文件即可,Androd.mk的组织结构改进了。
3.在testfd.te 中定义新的domain 名字(testfd)和新的执行程序 文件type(testfd_exe)

type testfd, domain;
type testfd_exec, exec_type, file_type;
//如果这个server是被init进程启动的话还需要进行如下定义来进行作用域的转换
init_daemon_domain(testfd)

4.在devices/qcom/sepolicy/vendor/common/目录下的file_contexts文件中加上我们自己的server的type和server将要访问和生成的文件的type。

//我们server的type
/(vendor | system/vendor)/bin/testfd	u:object_r:testfd_exec:s0
//server访问文件的type,假设server生成的文件目录是/data/vendor/testfd
/data/vendor/testfd(/.*)?			u:object_r:testfd_log_file:s0
/dev/socket/testfd(/.*)?                         u:object_r:testfd_socket:s0
/data/system/testfd(/.*)?                       u:object_r:testfd_data_file:s0

我们server生成的文件testfd_log_file 还没有定义,需要在devices/qcom/sepolicy/vendor/common/目录下的file.te中加上

type testfd_log_file , fs_type, data_file_type;
//后面的这些attribute根据具体文件位置来选,data分区下的data_file_type,sys目录下的就是sysfs_file_type具体视情况而定

5.最后一步,就是在testfd.te文件下面加上我们自己设置的权限即可。

allow testfd	testfd_socket:dir rw_dir_perms;
allow testfd	testfd_data_file:file { create_file_perms unlink };

修改完成以后需要重新编译boot.img和system.img,然后重新烧录运行。
开机以后可以使用ls -Z和ps -Z来查看相应的文件和server的权限设置

最后,假如你的Android系统kernel log出现了seLinux权限禁止访问的avc log,下面是修复案例:

//错误log信息如下
Line 841: [ 62.078199] type=1400 audit(86434.459:326): avc: denied { write } for pid=1701 comm="mpdecision" name="socket" dev="tmpfs" ino=7171 scontext=u:r:init:s0 tcontext=u:object_r:socket_device:s0 tclass=dir

将以上信息保存为avc.txt,然后使用Ubuntu的audit2allow工具来自动生成权限信息:
audit2allow -i avc.txt

allow init socket_device:sock_file { write create setattr };

done

TNT_TT
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
在Android系统中,Selinux对每一个应用和系统服务的权限进行了严格的限制,以保护系统的安全性和稳定性。 MTK Android 6.0平台是MediaTek公司针对Android 6.0 Marshmallow系统定制的一套硬件抽象层(HAL)和驱动...
关于高通平台SELINUX权限问题
qq_14892521的博客
12-24 706
举例:type=1400 audit(1358758415.820:7): avc: denied { write } for pid=1229 comm="sh" name="relay" dev="proc" ino=4026533065 scontext=u:r:shell:s0 tcontext=u:object_r:proc:s0 tclass=file permissive=0 语法...
高通Android Q编译selinux,并push
wangjicong_215的博客
08-10 1376
修改在: 编译,通过./build.sh dist -j32 --target_only push adb push out/xxxx/vendor/etc/selinux /vendor/etc
高通Selinux权限规则
最新发布
郑敏
05-31 357
权限规则,另外不要忘记,/system/sepolicy/prebuilts/api/32.0/private/system_server.te也要添加同样信息,否则编译报错。切记一定要同步,包括添加位置要一模一样,报错信息日志 如下图所示(不知道avc权限控制是什么东西,请看这篇文章。4、翻译上面dmesg avc报错修改如下所示。参考第4点,报错信息如下所示。1、背景:原因是因为这张图。6、修改之后进行编译验证。
Android高通8.1 Selinux问题
郑敏
08-12 841
然后请教了一下某aosp大佬,于是他们这个就是selinux权限问题,加上就ok,顺着这个思路我去system/sepolicy/private/目前去找 这个里面有很多te文件比如nfcte,initte,于是我看着上面日志也有init,然后。根据某个网友回答你可能要拿user debug去验证下 avc一些相关权限,其实我也描述不是很清楚,反正就是需要添加类似于android一样权限,比如像android 读写权限 等等,有需要了解可以自己百度去查下哈,这里不再赘述。7、 于是在adb 下面执行。
SELINUX安全访问机制,配置
lhh_qrsly的博客
12-08 767
前言: 此篇blog直接切入主题教大家怎么去修改相应代码,配置相应的寄存器直至设备正常运行,至于原理之前有博客介绍了,不在这里多谈了。 应用层控制呼吸灯 Android是基于Linux内核,设备的节点是设备驱动的逻辑文件,可以通过设备节点来访问设备驱动。但是由于Android 5.0及以上的版本,Google对源码环境普遍采用了SELINUX安全访问机制,APP及Framework层在默认情况下是无权限访问设备节点的。 解决办法有两种:以System APP或者System Server进程开放权限。 1)
Android HIDL模型下HAL Service添加SELinux规则实战
IT先森
02-07 7082
Android HIDL模型下HAL Service添加SELinux相关规则实战
Android 11 添加Service服务SELinux问题
一歲抬頭的博客
06-29 8167
d
访问文件的SELinux权限添加
01-20
这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件...
selinux 权限文档
09-11
SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA)开发,已经被集成到2.6版的Linux核心之...
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SELinux for Android 8.0 中文版
05-04
Android4.4到Android7.0,SELinux策略的构建流程是将所有的策略(平台和非平台)合并在一起,最后将合并生成的文件统一放在root目录下(即boot.img)。但这种方式有悖于Android 8.0的预定设计目标;Android8.0设计的初衷是允许合作方可以独立的更新他们自有的策略,即在Android8.0之后Google允许合作方将自有的策略部分与系统原有的进行分离,如合作方可以将自有的部分解耦到vendor.img分区中,在需要更新的情况下只需更新vendor部分即可实现
selinux权限修改.pdf
03-26
然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认...
service获取selinux权限_Android 系统添加SELinux权限
weixin_39528843的博客
12-19 332
CPU:RK3288系统:Android 5.1SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。通过虚拟文件系统 proc 来读写 gpio 的方法非常受欢迎,不仅因为其省去了 hal 层、 jni 层的代码,而且可以直接通过 adb shell 来读写 gpio。在 user 版本,虽然驱动代码中已经将节点权限设置为 777 或...
selinux-sepolicy配置
卓越之路
01-21 5299
一、概念 1. 运行模式 Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissivedomain。 语法格式 Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:m...
selinux [转发]
碧海湾
03-03 209
一,SElinux是什么,如何分析此类问题 定义:SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制机制。它主要整合在 Linux 内核当中,是针对特定的进程与指定的文件资源进行权限控制的系统。主要是增强传统 Linux 操作系统的安全性,并解决传统 Linux 系统中自主访问控制(DAC)系统中的各种权限问题(如 root 权限过高等)。 分析此类问题:selinux三种状态 强制模式 宽容模式 关闭模式 Enforcing:强制模式。代表S
android sepolicy 最新小结
热门推荐
ch853199769的博客
09-07 2万+
两种模式 标签、规则和域 实现 SELinux neverallow 规则 编译sepolicy Source files Platform public sepolicy Platform private sepolicy Platform private mapping sepolicy兼容性 Object ownership and labeling Type/attribute n...
android init.rc文件语法详解(续)
wince_lover的专栏
12-03 1万+
    在“上一篇android  init.rc文件语法详解”,但是到了android5.0之后,按照上面的方法做,可能我们要启动的服务就起不来了。这是因为采用了新的安全机制了——SEAndroid/SElinux的安全机制。     下面就介绍下,在SEAndroid/SElinux如何配置才能启动init.rc里面定义的服务。     下面我们在rc文件里面定义一个服务     ser...
Android编译系统产品线
adl30141的博客
10-06 134
1.Android源码中的产品线解析 通常产品厂商在拿到Android源码后会在Android源码基础上进行定制修改,以匹配适应自己的产品。这就引入了产品线的概念。Android系统源码中,产品相关的文件通常保存在 device/company/product目录下其目录的组织结构为 在tiny4412 android 5.0中如下图所示: (1)vendorsetup....
怎么开启SElinux
05-05
要开启SELinux,请按照以下步骤进行操作: 1. 使用root用户登录到Linux系统。 2. 打开SELinux配置文件/etc/selinux/config: ``` vi /etc/selinux/config ``` 3. 将SELINUX的值改为enforcing: ``` SELINUX=enforcing ``` 4. 保存并关闭配置文件。 5. 重新启动系统: ``` reboot ``` 在重新启动后,SELinux将会被开启并运行。您可以使用getenforce命令来检查SELinux的状态: ``` getenforce ``` 如果输出“Enforcing”,则表示SELinux已经被开启了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值