Android seLinux导致的APP访问设备权限问题

最新推荐文章于 2023-11-21 16:11:04 发布
最新推荐文章于 2023-11-21 16:11:04 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: Android SELinux 文章标签: Android SELinux Android系统权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33611327/article/details/106210711
版权

目录

1. 确认 seLinux导致权限问题

1.1 标志性log 格式:

1.2 举例:

1.3 方法1:adb在线修改

1.4 方法2: 从kernel中彻底关闭 (用于开机初始化时的seLinux权限问题,要重编bootimage)

2. 在sepolicy中添加相应权限

2.1 修改依据

2.2 修改步骤:

2.3 按如下格式在该文件中添加: 

2.4 举例

3. 添加权限后的neverallowed冲突

3.1 编译报错:

3.2 原因:

3.3 解决方法:3.4 举例

android KK 4.4 版本后,Google 默认启用了SELinux,即均为Enforcing模式;如果当某个操作不被SEAndroid允许时, 会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: “avc: denied” 或者”avc: denied”。例如对文件进行write,该如何排查出信息,可以在sepolicy中,添加上相应的allow语句,将权限开放出去;当然还有其他方法。

1. 确认 seLinux导致权限问题

1.1 标志性log 格式:

avc: denied  { 操作权限 }  for pid=7201 comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类别  permissive=0

1.2 举例:

Kenel log:

avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u:r:untrusted_app:s0tcontext=u:r:untrusted_app:s0tclass=processpermissive=0

Logcat log:

com.baidu.input: type=1400audit(0.0:29): avc: denied { execheap } for scontext=u:r:untrusted_app:s0tcontext=u:r:untrusted_app:s0tclass=processpermissive=0

1.3 方法1:adb在线修改


关闭 seLinux:

打开seLinux:

Enforcing:seLinux已经打开;        

Permissive:seLinux已经关闭;

1.4 方法2: 从kernel中彻底关闭 (用于开机初始化时的seLinux权限问题,要重编bootimage)


修改LINUX/android/kernel/arch/arm64/configs/XXXdefconfig文件(找相应config文件)
去掉CONFIG_SECURITY_SELINUX=y 的配置项

 

2. 在sepolicy中添加相应权限

2.1 修改依据

log 信息:

avc: denied  { 操作权限  }  for pid=7201  comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类别  permissive=0

2.2 修改步骤:

找相应的“源类型.te ”文件
有两个位置可能存在相应的te文件:
位置一:LINUX/android/external/sepolicy
位置二:LINUX/android/device/qcom/sepolicy/common 


2.3 按如下格式在该文件中添加: 

allow  源类型 目标类型:访问类别 {权限};

2.4 举例

Kernel Log:

avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u:r:untrusted_app:s0tcontext=u:r:untrusted_app:s0tclass=processpermissive=0

修改:

在LINUX/android/external/sepolicy/untrusted_app.te 中添加:

allow untrusted_app untrusted_app:process { execheap };

备注:

在这个例子中,由于源类型和目标类型都是untreated_app, 所以也可以写成:

allow untrusted_app self:process { execheap };

3. 添加权限后的neverallowed冲突

3.1 编译报错:

libsepol.check_assertion_helper: neverallow on line xxx ofexternal/sepolicy/domain.te ……

3.2 原因:

新添加的sepolicy项目违反了domain.te 中规定的的总策略原则。所以该条权限策略不能添加,如果强行添加的话有CTS测试失败的风险。

3.3 解决方法:

1.从运行log中找到要访问的目标名称,一般是name字段后的名称
avc: denied { read write } for pid=303 comm="mediaserver" name="tfa9890"dev="tmpfs" ino=3880 scontext=u:r:mediaserver:s0tcontext=u:object_r:device:s0tclass=chr_file permissive=0

2.找到相应的*_contexts文件。

  一般有file_contexts, genfs_contexts,  property_contexts,  service_contexts 等文件

3.在contexts文件中指定要访问的目标为一个“源类型 ”有权限访问的“目标类型”
  如:在file_contexts中添加: /dev/tfa9890     u:object_r:audio_device:s0

3.4 举例

添加权限:

在mediaserver.te中添加allow mediaserver device:chr_file { read write open};


编译报错:

libsepol.check_assertion_helper: neverallow on line 258 ofexternal/sepolicy/domain.te (or line 5252 of policy.conf) violated byallow mediaserver device:chr_file { read write open};


违反了domain.te 258的:

neverallow {domain –unconfineddomain –ueventd } device:chr_file { open read write}


运行Log:

avc: denied { read write } for pid=303 comm="mediaserver"name="tfa9890" dev="tmpfs" ino=3880 scontext=u:r:mediaserver:s0 tcontext=u:object_r:device:s0tclass=chr_file permissive=0

修改步骤:
1.目标名称是: tfa9890, 其在系统中的路径是: /dev/tfa9890,  是audio相关的设备文件
2.源类型是mediaserver, 在mediaserver.te 文件中发现其具有 audio_device 目标类型的权限
3.所以在file_contexts 中添加 “/dev/tfa9890        u:object_r:audio_device:s0” 可以解决问

布施
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AndroidSElinux下 如何获得对一个内核节点的访问权限
04-21 254
Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。 本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点的访问权限。 第一步:找到需要访问...
Android8.1-全志R311-如何打开APP获取su权限.pdf
09-02
本文将详细介绍在全志R311平台上,针对Android 8.1系统如何使APP能够获取到`su`权限。 首先,了解SELinux的基本概念。SELinux是一种强制访问控制(MAC)系统,它为Linux内核添加了一个额外的安全层,允许管理员精细...
Android 7.0 SEAndroid app权限配置方法
01-20
1.SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app 第三方app,没有Android平台签名,没有system权限 2)platform_appAndroid平台签名,没有system权限 3)system_appandroid平台签名和system权限 从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app 2.seapp_contexts定义 system/sepolicy/seapp_cont
Android SELinux 权限问题(二)—添加权限后不生效
it_rensheng的博客
12-03 4899
​ 通过上面的方法介绍,我们已经知道了,如何添加权限问题,但有时会遇到一个问题就是: 明明已经添加了对应的权限,但是编译固件烧录到板子后,还是会报这个权限没有添加。 1.问题说明 ​ 在实际的项目开发中,遇到了如下图所示的权限问题 通过 audit2allow 工具解析出了需要添加的权限,于是乎我在 untrusted_app.te 文件中添加了对应的权限,如下图所示: 然后,重新编译打包固件,烧录到板子后,发现 “allow untrusted_app proc:file write;" 权限问题仍然
Android SeLinux权限问题和解决方法
loji521的专栏
10-27 1001
1. 确认 seLinux导致权限问题 1.1 标志性log 格式: avc: denied {操作权限} for pid=7201comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0 1.2 举例: Kenel log: avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u...
Android Selinux 权限添加
shiluohuashengmi的专栏
07-05 3128
今天学习下 Android 在 缺少 selinux 权限的情况下,如何进行添加 一、权限问题 如下遇到的权限问题: avc: denied { append } for pid=8317 comm=”RenderThread” name=”glsl_shader_log.txt” dev=”mmcblk0p35” ino=4077 scontext=u:r:system_app:s0 tc...
解决Android SeLinux权限问题
qq_40896477的博客
08-17 1017
解决Android SeLinux权限问题1. 确认 seLinux导致权限问题1.1 标志性log 格式:1.2 举例:1.3 方法1:adb在线修改1.4 方法2: 从kernel中彻底关闭 (用于开机初始化时的seLinux权限问题,要重编bootimage)2. 在sepolicy中添加相应权限2.1 修改依据:2.2 修改步骤:2.3 按如下格式在该文件中添加:2.4 举例3. 添加权限后的neverallowed冲突3.1 编译报错:3.2 原因:3.3 解决方法:3.4 举例 转自:https
SELinux权限问题解决
aylr2015的博客
06-27 945
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程中涉及的Selinux权限问题Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。Selinux(Security Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux...SELinux是一个强大的访问控制机制,它可以保护Android系统免受恶意攻击。本文只是对AndroidSELinux的TE相关知识的简要介绍,希望能够对读者有所帮助。
Android不同版本SELinux的介绍
01-01
Android系统中,SELinux扮演着至关重要的角色,它限制了应用程序和服务对系统的访问权限,从而降低了恶意软件的危害。本文将详细介绍Android 8.0中的SELinux特性和工作原理。 **一、Android 8.0中的SELinux概述**...
快速解决Android中的selinux权限问题
蓝精灵的专栏
10-11 1240
比如,内核打印这个提示 type=1400 audit(32.939:25): avc: denied { open } for pid=2592 comm="chmod" path="/dev/block/mmcblk0p25" dev="tmpfs" ino=6494 scontext=u:r:init_shell:s0 tcontext=u:object_r:block_device:s0...
Android 用户组权限SELinux心得总结
Mis_wenwen的博客
11-09 7684
这里要分两个部分来说,一个是Linux权限组的设定,一个是SELinux。 我们先不考虑SELinux。先单独来说Linux权限组。 因为要想对某个文件进行操作(read,write,execute等),必须先满足Linux权限组的规则,然后再满足SeLinux的allow条件,才能成功操作。 我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...
Linux 命令 常用总结(二)
java_2017_csdn的博客
03-11 1410
目录 (21):tree 命令简介 语法格式 选项说明 应用举例 (22):pwd 命令简介 语法格式 选项说明 应用举例 (23):file 命令简介 语法格式 选项说明 应用举例 (24):chattr/lsattr 命令简介 语法格式 选项说明 应用举例 (25):more 命令简介 命令格式 选项说明 应用举例 (26):less 命令简介 命令格式 选项说明 应用举例 (27):head 命令简介 命令格式 选项说明 应用.
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8942
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9403
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
由于SELinux造成的权限问题分析与解决
yikunbai5708的博客
03-19 7898
1 背景 基于Android10,在进行sd卡读取权限配置时候,发现只配置AndroidManifest.xml不能解决权限问题,经过多方查找发现当前版本的Android还需要配置SELinux,废话不多说,请看下面的分析。 2 Android权限问题 AndroidManifest.xml是Android应用的入口文件,它描述了package中暴露的组件(activities,servi...
“轻松解决Linux应用程序无法访问的难题:关闭SELinux就对了!“
最新发布
Linux基础知识、计算机网络基础学习分享。
11-21 168
SELinux 是 Linux 安全增强版 (Security Enhanced Linux) 的简称,它是一种强制访问控制机制,可以在操作系统内部保护应用程序、文件和网络资源免受恶意攻击者的侵害。SELinux 是一种内核级别的安全模块,可以在不影响性能的情况下提供多层保护,包括网络安全、文件系统保护、网络访问保护和进程保护等,SELinux 可以有效地防止未经授权的应用程序运行,并防止已授权的应用程序执行非法操作。它可以使用角色、类型和域来限制文件和进程之间的访问,以确保系统资源的安全性。
Android11 SELinux:avc:denied { read } for name=“cache“ dev=“dm-4“ ino=16 scontext=u:r:system_app等报错
lwz的博客
09-08 2890
(1) avc: denied { read } for name="cache" dev="dm-4" ino=16 scontext=u:r:system_app:s0 tcontext=u:object_r:cache_file:s0 tclass=lnk_file permissive=0 分析过程: 缺少什么权限: { read }权限, 谁缺少权限: scontext=u:r:system_app:s0 对哪个文件缺少权限:tcontext=u:obje...
安卓selinux给自定义app加type规则写法
05-26
Android 系统中,SELinux 是一个安全机制,它可以限制应用程序的权限,从而保证系统的安全性。如果你想给自定义的应用程序添加 type 规则,可以按照以下步骤进行操作: 1. 在应用程序的 AndroidManifest.xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值