访问文件的SELinux权限添加

最新推荐文章于 2025-04-02 16:42:12 发布
最新推荐文章于 2025-04-02 16:42:12 发布
阅读量6.1k 收藏 22
点赞数 10
分类专栏: SELinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34211365/article/details/106056873
版权

最近做了一个功能:设备首次驻网时,在设备指定目录创建文件,并在此文件中写入当前的时间,然后通过暗码可以读取这个时间

这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。

首先通过rc文件创建一个目录

init.rc

mkdir /data/vendor/time_code 0771 radio radio

然后设备首次驻网时在此目录下创建txt文件,"/data/vendor/time_code/time_code.txt",此时SELinux权限问题就来了,如下所示:
SELinux权限拒绝
ps:如何确认是 SELinux 问题?可以关闭 SELinux(adb shell setenforce 0),确认相关功能是否 ok,如果 ok 是 SELinux 问题,如果nok,说明本身程序有问题

上述的SELinux报的权限并不全,通常SELinux打开时不会一次性打印出所有缺少权限,可以先将SELinux关闭,在通过adb logcat或者adb shell dmesg打印全部缺少权限

SELinux报错的标准格式是:

  avc: denied  { 操作权限  }  for pid=26382  comm=“进程名” 
  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  
  tclass=访问类型 permissive=0

添加规则是,在源类型.te文件中添加 :

allow  源类型 目标类型:访问类型 {操作权限};

例如上图报出的log:
05-11 16:39:13.249 1950 1950 W SharedPreferenc: type=1400 audit(0.0:99): avc: denied { read } for name=“time_code.txt” dev=“mmcblk0p65” ino=27156 scontext=u:r: radio:s0 tcontext=u:object_r:vendor_data_file:s0 tclass=file permissive=0

我们就应该在radio.te中添加:allow radio vendor_data_file:file { read };

添加SELinux权限的一个原则就是报出来什么,添加什么,上述log中缺少权限并没有报全,最终添加全部缺少权限如下:

allow radio vendor_data_file:dir rw_dir_perms;
allow radio vendor_data_file:file { open write read create rw_file_perms setattr};
allow radio vendor_data_file:file rename;
allow radio vendor_data_file:file unlink;

添加好了之后进行编译,mmma system/sepolicy/,此时发现编不过,
在这里插入图片描述
这是因为我们添加的SELinux权限违反了google的neverallow规则,google不允许名为radio源类型访问标签名为vendor_data_file的目标类型,

解决方案是修改我们要访问的文件的标签名vendor_data_file,如何修改呢?我们要访问的目录是/data/vendor/time_code/,先看一下这个目录的信息
在这里插入图片描述
需要修改的标签属于文件类型,另外还有属性类型和程序类型,对于文件类型标签的修改就是自定义一个新的标签,在file.te中定义,在file_contexts中使用,
file.te中添加如下语句:

type tct_time_data_file, file_type, data_file_type, mlstrustedobject;

file_contexts中添加如下语句:

/data/vendor/time_code(/.*)?       u:object_r:tct_time_data_file:s0

标签就被修改为了tct_time_data_file,然后再修改radio.te中的目标类型

allow radio tct_time_data_file:dir rw_dir_perms;
allow radio tct_time_data_file:file { open write read create rw_file_perms setattr};
allow radio tct_time_data_file:file rename;
allow radio tct_time_data_file:file unlink;

再进行编译,mmma system/sepolicy/
在这里插入图片描述
编译成功后push进手机验证,
adb push out/target/product/dubaivzw/vendor/etc/selinux/ /vendor/etc/

首先ls -Z看看/data/vendor/time_code/的信息,可以看到,标签名已经被修改
在这里插入图片描述
并且log中没有再报SELinux权限的问题,/data/vendor/time_code/time_code.txt文件也成功创建了,此文件中也成功写入了当前驻网时间:
在这里插入图片描述

Android SeLinux 权限添加
Android
09-30 3024
SeLinux 权限添加 调试时,可以关闭selinux 权限 setenforce 0 搜索avc,如下: type=1400 audit(0.0:292): avc: denied { read write } for name=“ttyHSL2” dev=“tmpfs” ino=11380 scontext=u:r:system_app:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0 system_app 中 devic
Android SELinux——添加新服务策略(十二)
小旭的专栏
10-17 1045
通过前面的学习我们也大致了解 SELinux 的相关只是,这里我们就来看一下实际开发中,如果需要为厂商新增的一个自定义服务添加相关权限该如何操作。
在系统中添加新的可执行文件,为其添加相关selinux权限
wyw1015
03-19 1289
最近在项目中要求添加一个新的可执行文件,编译后的路径是system/bin中,这就涉及两方面问题,如何去启动它,怎么添加selinux权限添加启动 参考系统相似的功能,发现都是通过init.rc去启动的,所以我们也在init.rc中启动 system/core/rootdir/init.rc +service htfsk /system/bin/htfsk + class core +...
SELinux
2302_77791905的博客
04-02 881
SELinux,即 Security-Enhanced Linux,意为安全强化的 Linux,由美国国家安全局(NSA)主导开发。开发初衷是防止系统资源被误用。在 Linux 系统中,系统资源的访问均通过程序进行。例如,当/var/www/html/目录权限被设置为 777 时,所有程序都能访问目录。若此时 Web 服务器软件已启动,其触发的进程便可以写入该目录,而该进程面向整个互联网提供服务,存在安全风险。
Android SELinux访问data目录
有何不可的博客
02-06 1136
Android SELinux默认开启时,若进程想访问并操作data分区的一个目录,通常需要解决部分进程访问data目录而造成的功能兼容性问题,如访问权限扩大或违反Google neverallow规则导致的认证失败。
Selinux权限以及使用
android 系统定制开发那些事
09-26 4918
selinux的使用
Android 修改系统文件权限
移动互联网后端服务架构
08-25 2916
修改系统文件夹的权限比较简单,执行几个简单的命令行即可,如下: 进入“运行——>输入cmd” 具体操作: lixinso@lixinso-desktop:~$ adb devices  List of devices attached  emulator-5554   device lixinso@lixinso-desktop:~$ adb shell  #
Android selinux权限设置
cuitianxiang的专栏
03-02 2169
背景 在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限selinux权限设置 案例一 db访问不了了 背景 有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。 解决方案及过程 最终解决方案 在系统fingerprint.te里添加权限 allow fingerprintserver apk_d
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 2600
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限
详解Android Selinux 权限及问题
08-28
在Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4中也有限制性地启用了这一...
linux允许程序创建目录失败,SELinux:允许进程在某个目录中创建任何文件
weixin_33345090的博客
04-28 450
我有一个脚本,当被调用时,将导致dmesg的内容被写入文件,文件的名称基本上是一个时间戳. SELinux阻止了这一点.根据Fedora的SELinux故障排除应用程序的建议,我试过:grep dmesg /var/log/audit/audit.log | audit2allow -M mypolsemodule -i mypol.pp但是,这似乎不起作用,可能是因为它创建的文件的名称每次都不同...
记一次selinux权限添加
chen_yuyunfox的专栏
11-09 3760
selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发中临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。 需求开发需要在system_server进程中调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不适配selinux权限的话会报错导致开不了机。 添加selinux权限的步骤: 1. 查看设备根目录的vendor_property_context.
Android 9.0怎样在data下创建多用户共享目录
Easyhood的博客
09-11 3684
前言 Google 在android M 版本后, 通过SELinux 的neverallow 语法强制性限制了普通进程访问data 目录权限. 严禁除init system_server installd system_app 之外的其他进程直接操作/data 目录比如在data 目录下面创建文件,写文件,重命名文件等等. 有很多客户都会在data 目录下创建文件, 保存资讯, 在M 版本上这...
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 8492
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
android10拷贝最近的log文件夹并重命名为txt
yhm2046的专栏
12-01 790
平台:rk3399 系统:Android10 编译器:android studio 需求:收到广播后拷贝 /data/vendor/logs/ 下面最新的文件夹到 /sdcard/tmp 下并重命名为 txt后缀 思路: 1.拷贝 /data/vendor/logs/ 到 /sdcard/tmp 2.筛选出最新的文件夹,删除其他文件夹 3.遍历最新文件夹下所有文件添加后缀txt 参考: * Java File中renameTo的介绍和使用说明: https://blog.csdn.n.
Android P SELinux (三) 权限检查原理与调试
headwind的博客
08-15 4640
目录引子一、权限检测原理1、拥有的权限2、需要的权限3、裁决4、其他二、avc denied信息分析三、调试1、快速编译和替换1.1 编译和替换1.2 load_policy2、尽量使用宏3、使用属性4、setools工具四、参考文章 引子 我们在处理SELinux权限问题的时候,avc denied信息是最关键的,那么avc denied 的打印信息要怎么看、里面的内容每一个字段是什么意思?kernel log的avc denied信息是哪里打印出来的? 以前有个想法,我们系统的操作、命令都是有限的,那其
Android P SElinux权限调试
Kian_G 的博客
04-21 7093
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
Android 用户组权限SELinux心得总结
Mis_wenwen的博客
11-09 9014
这里要分两个部分来说,一个是Linux权限组的设定,一个是SELinux。 我们先不考虑SELinux。先单独来说Linux权限组。 因为要想对某个文件进行操作(read,write,execute等),必须先满足Linux权限组的规则,然后再满足SeLinux的allow条件,才能成功操作。 我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...
添加selinux权限
最新发布
04-03
### 如何配置或添加 SELinux 权限 在 Linux 系统中,SELinux 是一种强制访问控制 (MAC) 安全模块,用于提供更精细的安全策略。为了应对特定场景下的权限需求,可以通过以下方式添加或调整 SELinux权限。 #### 添加 SELinux 权限时的一般流程 设备切换到宽容模式(Permissive Mode),以便观察并记录因缺少适当权限而产生的错误日志。随后根据这些日志提示创建新的 SELinux 策略文件[^4]。具体步骤包括: 1. **设置为 Permissive 模式** 使用命令 `setenforce 0` 将 SELinux 切换至 Permissive 模式,在此模式下不会阻止任何操作,但会记录违反策略的行为。 2. **复现问题场景** 执行引发权限拒绝的操作,确保能够捕获相关的 AVC(Access Vector Cache)消息。 3. **收集 AVC 日志** 查看 `/var/log/audit/audit.log` 文件或者通过工具如 `ausearch` 和 `sealert` 获取详细的拒绝信息。 4. **生成自定义策略** 基于上述日志数据利用自动化脚本 `audit2allow` 创建新规则。例如: ```bash grep denied /var/log/audit/audit.log | audit2allow -M my_custom_policy ``` 5. **加载新策略** 加载刚刚编译好的模块以扩展现有的 SELinux 配置: ```bash semodule -i my_custom_policy.pp ``` 完成以上过程之后,建议重新启用 Enforcing 模式 (`setenforce 1`) 并验证更改效果是否满足预期。 #### SELinux 策略类型概述 SELinux 提供多种预设的策略框架支持不同级别的安全性要求。主要包括 Targeted、Strict 及 MLS/MCS 这些主要类别[^1]。其中最常用的是 Targeted 策略,它仅对选定的服务实施严格的限制,而对于其他部分则保持宽松状态;相比之下 Strict 更加严格全面覆盖整个操作系统环境;MLS(Multi-Level Security)/MCS(Multi-Category Security)适用于高度敏感场合比如政府机构内部网络隔离等特殊用途。 #### Permissive 模式的功能描述 当处于 Permissive 模式时,虽然仍然会对不符合当前生效规则的动作发出警告通知,但是并不会真正拦截它们的实际运行行为。这种特性非常适合用来诊断潜在冲突以及测试即将部署的新规条目是否会带来负面影响之前先做评估工作。 ```python import os os.system('getenforce') # Check current SELinux mode. if 'Enforcing' not in str(os.popen('getenforce').read()): print("System is currently NOT enforcing SELinux policies.") else: print("SELinux enforcement is active on this system.") ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值