SELinux用audio2allow生成添加权限的格式及neverallow解决方法

已于 2022-03-31 14:41:24 修改
阅读量4.6k 收藏 11
点赞数 1
分类专栏: android SELinux 文章标签: selinux
于 2020-05-20 10:58:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25815655/article/details/106230142
版权

        首先我们都知道,添加SELinux方法都是按这种格式来添加的 语句格式为:allow scontex tcontex:class action,但是类型比较多,有时候添加到那个文件还是不够清晰啊,能不能有工具来告诉我们 把avc报错生成对应的权限格式添加到对应的文件呢?这里还真有,有了这个工具,我们再遇到AVC报错就不用愁了,废话不多说

(一)我们还是先介绍下确定是否是SELinux的原因导致的问题,虽然网上很多,当你怀疑是SELinux原因导致的问题,用userdebug版本或者eng版本的机器执行下面语句

adb shell getenforce
Enforcing

在Enforcing模式下,除安全策略允许外的操作都会被阻止;使用setenforce命令设置成Permissive模式,只输出警告不阻止操作

$ adb shell setenforce 0

$ adb shell getenforce
Permissive

开发如果碰到怀疑是SELinux 可以通过这种方法关闭SELiunx( setenforce 0),以确认是不是SELinux引起的,当为Permissive模式时再去看你的问题是否存在,如果现在依然存在,那就是SELiunx问题导致的了,你需要换方向了,相反的话就是了,当然你还可以再试一下改回Enforcing模式,再验证问题依然存在,确认是SELinux原因导致无疑

$ adb shell setenforce 1

$ adb shell getenforce

Enforcing

(二)下面说工具吧,android的工具 audit2allow生成安全策略,网上关于audit2allow的文章较少,可能是用这个工具的人不多吧

1. ubuntu下安装工具

sudo apt-get install policycoreutils

安装完工具你可能看到仅有的几篇文章说此时处理你的log文件

grep "avc: *denied" log.txt > denied.txt

(这一步早晚的事,把log中的avc都提取出来放到 denied.txt),然后执行

audit2allow -i denied.txt

(我看网上都这么说的,我也执行了,但是报错啊)

unable to open (null):  Bad address

其实这里是你安装了python工具之后才可以执行这个命令

2. 我们需要再安装python

sudo apt-get install python2.7

好了 现在可以执行 audit2allow -i denied.txt(这里的denied.txt千万别看错成了你的log.txt,

否则又会报错You must specify the -p option with the path to the policy file)

如果你的avc只有一行,执行命令后不显示结果,复制avc多几行就好了

执行完结果见上图,其中#============= adpl ==============代表你要添加的te文件,这里我们需要找到adpl.te文件,然后添加allow adpl diag_device:chr_file { read write };,需要哪个添加那个即可

(三). 添加之后编译报neverallow错误(会引起CTS不过,需要跑CTS此方法不适用)

遇到一个avc报错 avc: denied { read } for name="libnative-api.so" dev="dm-8" ino=2495 scontext=u:r:untrusted_app_29:s0:c114,c256,c512,c768 tcontext=u:object_r:vendor_file:s0 tclass=file permissive=0 app=com.qualcomm.qti.qms.service.trustzoneaccess

1.我们先按上面方法添加untrusted_app_29.te文件

allow untrusted_app_29 vendor_file:file read;

2.如下图,提示system/sepolicy / public/domain.te里面,所以我们要在这个文件里面把我们添加的减去,就是不neverallow这个属性-untrusted_app_29

3.添加如下

再运行我们的程序,是ok的,不报错了

学无止境0205
关注
专栏目录
MTK Android12 分析system_app允许vendor_mtk_audiohal_prop SELinux 权限问题
我其实什么都不会
08-03 744
本文将尝试分析,在开发 Android 12 MTK 平台时遇到了 vendor_mtk_audiohal_prop 属性相关的 SELinux 权限问题。包括如何修改 SELinux 策略以允许 system_app设置 vendor_mtk_audiohal_prop属性。
rk3568 HAL3--Camera seLinux权限
weixin_35723192的博客
12-26 1037
rk3568 Android11 在特定场景发现 camera HAL3 的 RGA 无法正常调用,查看内核日志会发现某些服务缺少相关 seLinux 权限致使调用失败,按照正常情况则需要补齐就好。某些场景则需要增加新权限才能匹配相应功能;如果在 HAL 增加系统属性读取,就需要增加专属的 seLinux 权限申请。
SELinux权限添加
Felix
01-19 473
1、avc denied log: [27.832326] <2>.(2)[301:logd.auditd]type=1400 audit(1262304037.169:137): avc: denied { ioctl } for comm="BootAnimation" path="/proc/ged" dev="proc" ino=4026532249 ioctlcmd=0x6700 scontext=u:r:bootanim:s0 tcontext=u:object_r:proc_
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 2040
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
audit2allow工具修改selinux禁用规则
最新发布
m0_56484847的博客
08-16 211
【代码】audit2allow工具修改selinux禁用规则。
selinux权限neverallow解决
qq_36975610的博客
03-07 1850
selinux权限neverallow解决
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 2281
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules**
Uses_Permission的博客
11-26 3977
[DESCRIPTION]若有自行修改Sepolicy导致违反Google的Neverallow rule,CTS 将fail。比如:android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules110 FAIL junit.framework.AssertionFailedError: The following errors
selinux 记录
拒绝背八股文
10-11 458
SEPolicy 语言: Linux中有两种东西,一种死的(Inactive),一种活的(Active)。死的东西就是文件(Linux哲学,万物皆文件。注意,万不可狭义解释为File),而活的东西就是进程。此处的 死 和 活 是一种比喻,映射到软件层面的意思是:进程能发起动作,例如它能打开文件并操作它。而文件只能被进程操作。 根据 SELinux 规范,完整的 Secure Co...
【Android】关于selinux等引起的权限问题
Joymine的专栏
11-01 2362
本文章会持续更新问题背景1:在系统中间增加一个parameter分区,主要用来存储音频参数等硬件参数。但是在audioserver进程访问的时候权限问题 相关信息:Android N+MTK 如何创建分区打包成镜像放到手机? 在build/core/Makefile中间的修改如下: ## Generate an ext4 image TARGET_PARAMETER_OUT := $(PR
Android selinux配置和用法
makeyourprogress的博客
07-04 3990
SELINUX相关的代码目录: 1)kernel/msm-3.18/security/selinux/ 2)external/selinux/ 3)用BOARD_SEPOLICY_DIRS添加的各te文件和安全配置文件,主要包括device//sepolicy//和system/sepolicy/,以及其他功能模块添加的配置文件。 Android中对SELINUX来说,有两个类型,一种
selinux常见neverallow解决方法与常用命令
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
selinux解决sysfs neverallow问题
Rainman博的专栏
07-05 381
执行 restorcon -R /devices/platform/aaa/bbb/ccc 来重新加载selinux上下文,发现已经变成。system/etc/selinux下的所以文件push到设备相应目录下, 具体看修改的selinux编译在哪里。将vendor/etc/selinux下的所以文件push到设备相应目录下,或者将。在aosp源码/system/policy/下grep system_app就会发发现。system app需要访问/sys下设备节点信息。my_sysfs了。
Selinux调试工具 audio2allow 使用
研究员的自我修养
08-19 1345
文章目录Selinux调试工具 audio2allow 使用准备条件安装工具使用总结 Selinux调试工具 audio2allow 使用 androdi开发中的Selinux调试 可以借助工具 audio2allow 来自动生成allow规则。本文记录工具使用的过程 准备条件 首先你要有root权限来安装此工具 熟悉selinux格式与log 应该了解如何调试selinux 简单描述就是关闭selinux ,程序运行的时候会记录相关deny但不会阻止程序运行。 根据记录修改selinux的规则 安
SELinux】通过neverallow语句来认知“属性”的意义
aaajj的专栏
02-25 6187
关于neverallow   对于类型为system_server_service 的服务,由于设置了 add_service(system_server, system_server_service);   里面调用了neverallow, add_service是个宏,定义在 system/sepolicy/public/te_macros   556###########...
selinux
怪手大分的专栏
11-12 8568
Contents 引言 部份问题所在解决方案 SELinux 模式SELinux 政策SELinux 访问控制排除 SELinux 疑难 重新标签文件撤消缺省的安全性脉络重新标签整个文件系统允许访问某个端口 自定 SELinux 政策利用 audit2allow 创建自定 SELinux 政策模块 手动式自定政策模块 总结额外资源用户备注及陷阱
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 1570
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
Android O selinux违反Neverallow解决办法
热门推荐
yxw0609131056的博客
04-02 3万+
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:1、Android O selinux相关配置文件所在路径      system/sepolicy/*                      AOSP device和APPS相关selinux配置      device/qcom/sepolicy/*            平台和板卡...
SELinux audit2allow命令使用
dk_work的博客
05-22 1万+
解决方案: 首先将我们的报错avc日志拷来做成一个avc.txt放在Ubuntu系统下面在终端中运行以下命令生成的avc.te文件就是我们的解决方法了。 audit2allow –i avc.txt >avc.te avc.txt avc: denied { create } for name="hsdi_tmp" scontext=u:r:system_app:s0 tcontext=u...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值