android 9 SELiunx权限添加

最新推荐文章于 2022-07-26 13:58:43 发布
最新推荐文章于 2022-07-26 13:58:43 发布
阅读量1k 收藏 3
点赞数
分类专栏: 系统服务 文章标签: linux android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34694875/article/details/105965675
版权

SELiunx的Liunx系统的安全策略,具体内容这里就不讲解了,网上资料很多。

android系统项目开发中需要对设备节点文件读写操作,遇到如下错误

根据log可以看出源类型system_server,目标类型sysfs,访问类别file,缺少权限write,然后就在源码对应位置添加相应权限。

android 9 的SELiunx的源码目录在system/sepolicy,根据源目录system_server,在private/system_server.te文件中添加

allow system_server sysfs:file { write }

并且对应修改prebuilts/api/28.0/private/system_server.te,这两个文件要保持一致,不然编译会报错;这时候编译源码会报错误:

libsepol.report_failure: neverallow on line 31 of system/sepolicy/domain.te (or line 9133 of policy.conf) violated by allow system_server sysfs:file { write};
libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy

这是因为在“system/sepolicy/domain.te” 添加了一些neverallow rules,导致编译检查的时候出现错误,新添加的sepolicy项目违反了domain.te 中规定的的总策略原则。

只需要在下面的规则中,去掉我们添加的system_server.te即可,在neverallow后的想对应的‘{}’里 利用“-xx”,排除某个,即不应有此规则,根据我的报错则在system/sepolicy/private/domain.te

在/sys/的{}添加“-system_server”,对应修改system/sepolicy/prebuilts/api/28.0/private/domain.te,保持两个文件一致。

编译源码,烧写镜像,然而没有作用,还是没有写入设备节点文件的权限。然后就各种百度,还是没有解决,只能看源码了,看源码过程中无意中看到如下代码

这个错误和我出现的错误很类似,它添加的权限多了一个r_file_perms,然后把这个权限加到system_server.te中,编译烧写,验证可以正常读取设备节点文件了。

r_file_perms的权限包括getattr open read ioctl lock,所以我猜测是缺少open的权限导致write的权限缺失,而w_file_perms的权限包括 open append write,所以讲write改为w_file_perms

编译,验证成功,添加write或者read的权限要注意open的权限,最后使用r_file_perms、w_file_perms、rw_file_perms。

不会写bug的程序员不是好码农
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 6806
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Selinux权限配置详解
秦逸轩的博客
07-15 1495
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 1857
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
修改sepolicy后编译出现‘Error while expanding policy’
Do Better Every Day
07-21 8667
在系统中添加某个“*.te”后,可能会出现下面的错误: libsepol.report_failure: neverallow on line 263 of system/sepolicy/domain.te (or line 9133 of policy.conf) violated by allow xx device:chr_file { read write open }; libsep
SELinux规则添加进阶
Ryan ZHENG的专栏
07-26 1416
在上一篇中,我们已经了解了一个常规`avc denied`日志信息该如何应对。当时挖的两个坑,今天来填一下: - 添加的SELinux规则是否存在权限放大; - 添加的SELinux规则是否触犯neverallow; 实际上,这是一类问题,今天正好遇到了对应的需求,就以此为例,进行以下介绍:...
Android SELiunx 权限添加
06-28
手把手教你Android SELiunx 权限添加
虚拟机考试2_答卷和错误情况
10-14
有破解密码,配置yum,配置selinux,增加用户,更换镜像和操作系统等
tigervnc-selinux-1.11.0-9.el8.noarch(1).rpm
12-06
官方离线安装包,亲测可用
01-运维监控-zabbix
最新发布
01-21
8.zabbix-seliunx ......... Zabbix 是一款开源的企业级监控系统,具有可扩展性、高度灵活性和完善的 Web 界面等特点。它能够监控各种网络设备、服务器和应用程序,并提供了丰富的报警和通知功能,是企业 IT 管理...
selinux权限问题
明朗晨光的专栏
10-24 6413
adb修改selinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前selinux状态 setenforce 1; //打开selinux setenforce 0; //关闭selinux 从kernel中彻底关闭 修改/linux/android/kernel/arch/arm64/configs/xxx_defconf...
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 7884
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解Android 下SELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
Android selinux权限设置
jaczen的博客
06-11 1万+
在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限。 selinux权限设置 案例一 db访问不了了 背景 有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。 解决方案及过程 最终解决方案 在系统fingerprint.te里添加权限 allow fingerprint
SEAndroid策略分析(三):类型强制和角色声明
苞谷猿的技术bug
12-09 1956
类型强制 TE规则语法: 规则名称源类型目标类型:客体类别许可 规则名称    allow,dontaudit,auditallow和neverallow。 源类型      授予访问的类型,通常是进程尝试访问的域类型。 目标类型    客体的类型,它被授权可以访问源类型。 客体类别    客体的类别。 许可        表示主体对客体访问时允许的操作类型(也叫做访问向量)。  
Android SELinux avc dennied权限问题解决方法
热门推荐
缥缈孤鸿影的专栏
05-25 8万+
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具
RK3399 Android 7.1.2 添加.sh的开机服务
u012975242的专栏
10-22 5010
RK3399 Android 7.1.2 添加.sh的开机服务 Android init.rc 添加开机服务,这里添加文件是device/rockchip/rk3399/rk3399_firefly_box/init.rc 在init.rc 添加服务,需要的话加上触发条件 +service ip_route /system/bin/ip_route.sh + user root + g...
Android 5.x 权限问题解决方法
u013952558的专栏
03-16 1万+
Android 5.x 权限问题解决方法               一、  android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。   本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。  遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9179
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android SELinux
tengfeidx的博客
06-29 1611
ls -Z 查看selinux的服务
seliunx权限问题
05-09
在 Linux 中,权限是非常重要的概念,它控制着系统中各个文件和目录的访问权限。在使用 Linux 时,有时候会遇到一些权限问题,例如无法访问某些文件、无法执行某些命令等等。下面是一些常见的 selinux 权限问题以及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值