SELinux policy问题解决思路总结

最新推荐文章于 2024-04-20 18:57:00 发布
最新推荐文章于 2024-04-20 18:57:00 发布
阅读量1.9k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_350984705/article/details/50353762
版权

最近一个月项目由user版本打开SELinux功能开关,从板子无法启动,到baseband可以识别,基本功能正常使用,添加了一些列相关policy。代码不方便贴了,下面简单汇总一下SELinux policy的解决思路:

一、了解SELinux基本概念,这个网上资料很多,参考下(http://jingpin.jikexueyuan.com/article/55398.html)

二、抓dmesg log,转换出系统缺少的policy

dmesg log:
dmesg | grep rpcServer
[ 8.132704] init: Starting service 'rpcServer'...
[ 12.936186] type=1400 audit(1449623772.120:13): avc: denied { read } for pid=174 comm="rpcServer" name="mmcblk0p1" dev="tmpfs" ino=8105 scontext=u:r:rpcServer:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

比如上面这个log,你需要能清楚这句话的意思:原进程(scontext)需要目标(tcontext)进程tclass属性的read权限 。

我们可以通过ls -Z、ps -Z、ls -l等查看具体设备文件相关属性

三、如何添需要的权限(这个可以分3类来处理)

1.第一类比较简单,通过audit2allow等工具转换出对应模块缺少的policy(.te文件)

添加到sepolicy/rpcServer.te

allow rpcServer block_device:blk_file read ;

2.第二类,有一些policy加进来,编译的时候系统会报错,原因是我们上面转换的policy一般都是某个进程对所以的的设备文件具有相关权限,这个权限过大,会和google的安全策略(external/sepolicy下neverallow)想冲突。这种情况下,我们需要找出原进程究竟需要哪个具体的设备文件的相关权限,就可以解决

添加:

先在sepolicy/file_contexts定义mmcblk0p1 设备节点:/dev/block/mmcblk0p1 u:object_r:rpc_block_device:s0

sepolicy/rpcServer.te添加该设备节点的权限:allow rpcServer rpc_block_device:blk_file read;

3.第三类,原进程的属性(root、radio、system等)与目标设备文件的属性不匹配,这种情况下我们映射会不起作用。这样的话,需要在init.rc 和ueventd.rc里面修改相应的属性:

我这边例子是查下来问题原因:

vmodem driver is not able openthe NVM partitions so default NVM values are expected. Issue is with permissionmis-match:

vmodem driver context is “radio”and block device nodes are “root”

由于mmcblk0p1是modem使用的Nvm Calculate Static,rpcServer无权限挂载,先将rpcServer和设备mmcblk0p1都设置设置成一样的radio属性:

ueventd.rc文件中:

/dev/block/mmcblk0p1  0660   radio   radio

/dev/vmodem     0660    radio   radio

init.rc和init.ptest.rc文件中,system/bin/rpcServer 的user、group的root属性改成radio:

chown radio radio /sys/class/misc/vmodem/modem_state 

service rpcServer /system/bin/rpcServer
   socket msmSock stream 660 system radio
   class core
   user radio
   group radio

然后添加kernel和rpcServer对mmcblk0p1 设备的权限:

sepolicy/file_contexts定义mmcblk0p1 设备节点:/dev/block/mmcblk0p1 u:object_r:rpc_block_device:s0

sepolicy/kernel.te:allowkernel rpc_block_device:blk_file read;

sepolicy/rpcServer.te:allow rpcServer rpc_block_device:blk_file read;


其中上面两种情况解决套路是一样的,而第三种,需要根据不同的平台,对应的设备和进程属性来具体分析。


qq_350984705
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
selinux-policy:Fedora的selinux-policy是主线的一个重要补丁
04-10
selinux-policy-contrib存储库与selinux-policy合并 2020年11月25日,selinux-policy-contrib存储库与selinux-policy合并。 以前,Fedora中的SELinux策略包使用2个存储库:base [1]和contrib [2]。 将该仓库分为两个部分只是一个历史产物,现在只是造成混乱的原因,这使得处理SELinux策略仓库变得更加困难。 从现在开始,这些存储库合并为一个,包含来自两个存储库的源。 所有更改都会影响回购, rawhide分支以及将来的分支f34和更高版本。 在Rawhide分支中工作时,现在仅使用基本仓库。 相应的contrib分支已归档,将不再使用。 contrib存储库的提交历史记录是基本存储库的一部分。 稳定分支( f33 , f32 ,所有较旧的分支)保持不变。 这主要是git存储库的存储位
管理SELinux策略:优化故障排除及访问控制
weixin_33725272的博客
07-04 799
如果您的新部署的SaaS应用程序或任何您刚刚开发的系统或服务由于SELinux而无法运行,最好的办法是在允许模式(Permissive)下进行故障排除。 SELinux在日志事件记录方面的SELinux模式分为不同的三类——增强(Enforcing)、允许(Permissive)以及禁用(Disabled)——这也展示了管理员在SELinux系统内部如何...
Android-SeLinux安全策略
最新发布
qq_46422460的博客
04-20 1011
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制)MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限。
Linux内核学习笔记——SELinux介绍(SELinux Policy是什么?)
ZP1015
07-01 2073
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Policy。 本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。 一、SELinux Overview 1. SELinux 来源 SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation
浅析linux之SElinux的targeted规则(Policy
完颜振江
02-11 2997
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖! 这里学习的是在规则targeted下的一些常用操作 1、查看本机的selinux的状态 [root@localhost
linux宽容模式,浅析linux之SElinux的targeted规则(Policy)(转)
weixin_42400904的博客
05-14 702
转自:SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖!这里学习的是...
SELinux Policy Editor-开源
05-03
**SELinux Policy Editor (seedit) - 开源解决方案** 安全增强型Linux (SELinux) 是一个内置于Linux操作系统中的强制访问控制(MAC)系统,它为系统提供了更高级别的安全防护。SELinux Policy Editor(seedit)是...
Configuring the SELinux Policy
12-05
介绍SELinux的文档。This technical report describes how to configure the SELinux security policy for the example security server.
selinux问题
01-05
SELinux 权限问题案例分析 SELinux 是 Security-Enhanced Linux 的缩写,表示安全强化型 Linux。...通过本文档,我们可以更好地理解 SELinux 的基本概念和 مکانیsms,并掌握解决 SELinux 权限问题思路和方法。
selinux-policy-3.14.3-80.el8.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-policy-3.13.1-229.el7.noarch.rpm
11-30
离线安装包,亲测可用
selinux-policy-devel-3.14.3-78.el8.noarch.rpm
12-20
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
selinux-sepolicy配置
卓越之路
01-21 5284
一、概念 1. 运行模式 Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissivedomain。 语法格式 Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:m...
selinux-policy-default(2:2.20231119-2)软件包内容详细介绍(1)
phmatthaus的专栏
11-21 1089
selinux-policy-default(2:2.20231119-2)软件包内容详细介绍(1)
SELinux policy相关问题总结
jinron10的专栏
01-21 2580
在开发Android系统的时候或多或少遇到一些Selinux的相关的问题,在这里进行一些总结和整理,内容大部分来源网络. 1、了解SELinux基本概念,这个网上资料很多,具体参考: http://jingpin.jikexueyuan.com/article/55398.html http://blog.csdn.net/innost/article/details/19299937/  h...
[SELinux Policy]如何设置SELinux策略规则?
sandform的博客
06-03 5697
[SELinux Policy]如何设置SELinux策略规则? [Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc: denied" 或者"avc: denied" 如一行LOG: [ 17.2
SELinux
baiyuani的博客
01-07 112
1.SELinux安全机制 运行模式:enforcing(强制) permissive(宽松) disabled(禁用) 切换运行模式 临时切换:setenforce 0|1 //当前有效 getenforce //查看当前设置 固定配置: /etc/selinux/config //永久有效 2.SELinux策略: 布尔值 安全上下文值 ...
一文学会SepolicySelinux)快速修改验证
weixin_36389889的博客
01-29 982
一文学会SepolicySelinux)快速修改验证
valueerror:selinux policy is not managed
05-15
yum install policycoreutils policycoreutils-python selinux-policy selinux-policy-targeted libselinux-utils setroubleshoot-server setools setools-console mcstrans ``` 3. 如果SELinux已安装但未启用,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值