SELinux 爬坑:default_prop(IAM 20680 IMU Sensor库导入)

最新推荐文章于 2024-07-22 14:15:06 发布
最新推荐文章于 2024-07-22 14:15:06 发布
阅读量795 收藏 4
点赞数 1
文章标签: java android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33862477/article/details/129829468
版权

 这些propert_get的属性值如果不去定义,对应的SELinux权限为default_prop.AVC 的审计log会打印

03-27 11:19:59.322 13405 13405 I android.hardwar: type=1400 audit(0.0:1796): avc: denied { read } for name="u:object_r:default_prop:s0" dev="tmpfs" ino=25020 scontext=u:r:hal_sensors_default:s0 tcontext=u:object_r:default_prop:s0 tclass=file permissive=1
03-27 11:19:59.322 13405 13405 I android.hardwar: type=1400 audit(0.0:1797): avc: denied { open } for path="/dev/__properties__/u:object_r:default_prop:s0" dev="tmpfs" ino=25020 scontext=u:r:hal_sensors_default:s0 tcontext=u:object_r:default_prop:s0 tclass=file permissive=1
03-27 11:19:59.322 13405 13405 I android.hardwar: type=1400 audit(0.0:1798): avc: denied { getattr } for path="/dev/__properties__/u:object_r:default_prop:s0" dev="tmpfs" ino=25020 scontext=u:r:hal_sensors_default:s0 tcontext=u:object_r:default_prop:s0 tclass=file permissive=1
03-27 11:19:59.322 13405 13405 I android.hardwar: type=1400 audit(0.0:1799): avc: denied { map } for path="/dev/__properties__/u:object_r:default_prop:s0" dev="tmpfs" ino=25020 scontext=u:r:hal_sensors_default:s0 tcontext=u:object_r:default_prop:s0 tclass=file permissive=1

转换成的SE语句为

allow hal_sensors_default default_prop:file { getattr map open read };

这时就会报错

neverallow check failed at out/target/product/***/obj/ETC/plat_sepolicy.cil_intermediates/plat_sepolicy.cil:22912 from system/sepolicy/private/property.te:47

解决方法

property_contexts

persist.vendor.invn.hal.             u:object_r:vendor_imu_sensor_prop:s0

property.te

vendor_public_prop(vendor_imu_sensor_prop)

*.te

set_prop(hal_sensors_default, vendor_imu_sensor_prop);
get_prop(hal_sensors_default, vendor_imu_sensor_prop);
执笔点人生
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Android MTK Selinux机制学习
Android驱动开发
09-06 1622
https://blog.csdn.net/m0_52481422/article/details/109812319 如何选择Selinux目录 Google Original: alps/system/sepolicy MTK Plaform: alps/device/mediatek/common/sepolicy/bsp alps/device/mediatek/common/sepolicy/basic alps/device/xxx/ProjectConfig.mk 查看版本定义的MTK_
Selinux 权限解决记录
storm_peng的专栏
11-01 1512
再ls -z /sys/devices/platform/soc/fe08c000.mmc/mmc_host/mmc0/mmc0:0001/life_time 名字就变过来了。setenforce 0 之后,操作正常的,就可以确认为selinux权限问题了,下面记录曾经遇到过的权限问题。wakelock 的owner 为radio, group 为wake_lock,而tvhalserver属于root 的。场景:客户的app 应用需要在他的APP 里,读取系统文件节点,但运行的时候,获取不到需要的值。
[Android]通过logcat抓取开机log的方法
aaajj的专栏
04-10 8704
开机logcat启动 2018-4-9如何让系统开机后就自动抓取log呢在rc中启动logcatservice  get_log /system/bin/logcat -f/data/local/tmp/log.txt    class main    oneshot 尝试在系统启动的时候,由init进程fork出logcat进程,通过logcat -f /data/local/tmp/log.t...
SEAndroid
he980725866的博客
01-22 2470
Android selinux SEAndroid
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 4029
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如...
selinux_internal.rar_SELinux_The First
09-14
SELinux(Security-Enhanced Linux)是Linux操作系统中的一种安全模块,它为系统提供了一种强制访问控制(MAC)机制,增强了系统的安全性。"SELinux_The First" 指的可能是对SELinux的初步理解和应用,特别是针对...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
SELinux_System_Administration_Implement_mandatory_access_control
04-11
SELinux_System_Administration_Implement_mandatory_access_control.epub
selinux_disable:禁用SElinux和IPtable并重新启动
04-28
角色:禁用SELinux和IPTables 禁用SELinux和IPTables以安装并重新引导计算机 要求 没有任何 角色变量 没有任何 依存关系 没有任何 剧本范例 包括一个如何使用您的角色的示例(例如,将变量作为参数传递)也总是对...
记一次selinux权限添加
chen_yuyunfox的专栏
11-09 3179
selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发中临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。 需求开发需要在system_server进程中调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不适配selinux权限的话会报错导致开不了机。 添加selinux权限的步骤: 1. 查看设备根目录的vendor_property_context.
SeLinux权限相关问题
weixin_43911199的博客
03-28 2363
SeLinux可以看成是Linux的安全机制;就是一个进程要访问资源,在访问资源之前先看这个进程是否有访问资源的权限。那么问题来了,怎样确定资源没有访问到是SeLinux权限问题呢? 方法一:1.刷机的版本是Eng 2. add shell 3. setenforce 0 4. 再验证,如果这个bug解决了,说明是是SeLinux权限问题 备注:刷机版本一定是Eng,如果userdebug版本,输入setenforce 0会 显示permission denied. setenforce 0这句话的意思是
Android 7.1.1中SystemProperties 设置属性无限问题分析
wed110的专栏
07-15 1186
Android 7.1.1中SystemProperties详解 https://blog.csdn.net/yin1031468524/article/details/67640786 另外,如果满足了上面的条件,如果设置 属性但是没有生效,可能是权限问题 通过 adb shell dmesg 分析如下log,可以看到是缺乏 Te权限,加上就可以。 [ 172.6080...
【QCM6125】Android12 selinux权限修改及快速调试
sunnywalden
01-04 2911
【QCM6125】Android12 selinux权限修改及快速调试
Android系统10 RK3399 init进程启动(三十八) 属性Selinux实战编程
ldswfun的专栏
09-07 1952
一般在pemissive模式下, 修改属性时, 权限问题不是很突出, 但是一旦在enfocing模式,权限配置就非常重要, 甚至有些时候非常麻烦, 所以希望大家通过这几次实战selinux编程, 对selinux的规则有深刻理解。
[SDM660 Android9.0]selinux权限
但行前路 无问西东
05-20 539
1.apk控制gpio init.qcom.rc里给该io 666权限 也不能操控 操控报错 应用层 5244 5244 W ing.aliveDetect: type=1400 audit(0.0:183): avc: denied { write } for name="value" dev="sysfs" ino=50119 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:sysfs:s0 tclass=file perm
Android系统开发_Selinux权限问题相关
Android开发,终身学习者。有问题欢迎私信交流~
11-29 880
在修改了system_app.te的内容后,make selinux_policy的时候,会提示有其它的never allow,这时要根据提示,找到对应的位置进行修改。3)system/sepolicy/prebuilts/api/31.0/private/property.te 中添加。2)system/sepolicy/prebuilts/api/31.0/public/domain.te 中添加。1)在system_app.te中添加。日志过滤搜索 avc。
SEAndroid策略分析
热门推荐
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1208
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
u:object_r:system_prop:s0
07-14
u:object_r:system_prop:s0 是 Android 系统中的 SELinux 标签,用于标识系统属性的安全上下文。SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,用于增强操作系统的安全性。 在 Android 中,每个进程和文件都有一个安全上下文,用于确定其权限和访问控制。u:object_r:system_prop:s0 是 sys.oem_unlock_allowed 属性的安全上下文,它指示了这个属性的访问权限。s0 表示该属性具有系统级别的安全上下文。 通过设置适当的 SELinux 标签,可以限制对系统属性的访问权限,从而提高设备的安全性。u:object_r:system_prop:s0 表示只有具有系统级别权限的进程才能读取或修改 sys.oem_unlock_allowed 属性。 请注意,修改 SELinux 标签需要 root 权限,并且这是一个高级操作。如果您不熟悉相关操作或不确定后果,请谨慎处理,并确保了解相关风险和保修政策。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值