[Android Framework]Android 11 SELinux avc权限解决方法

最新推荐文章于 2024-04-02 10:49:22 发布
最新推荐文章于 2024-04-02 10:49:22 发布
阅读量5.4k 收藏 34
点赞数 8
分类专栏: Android 文章标签: android framework selinux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38059988/article/details/121418840
版权

1.SELinux与Android的关系

SELinux(Security-Enhanced Linux)是由美国国家安全局开发的一种安全增强型Linux内核模块,从Android5.0(API 21)开始被Google引入并强制集成,用于最大限度地减小系统中服务进程可访问的资源,从而增强系统安全性,也就是说即使系统漏洞被Hacker钻了空子,也不容易为所欲为。对于开发者来说,也就意味着即使你开发的服务拥有root权限,你开发的系统服务也并不能任意访问系统资源。

2.在Android中与SELinux有关的命令:

前提:处于root模式下

1.adb shell getenforce 获取系统当前SELinux运行模式
2.adb shell setenforce 0 设置运行模式为Permissive
3.adb shell setenforce 1 设置运行模式为Enforcing

Permissive:只打印log,不进行限制
Enforcing:打印log+限制权限
Disabled:不打印log,不进行限制(无法通过ADB设置)

3.如何定位和理解SELinux权限问题

在进行系统开发时,容易遇到开发定制的系统级服务运行时功能不正常的情况,比如获取不到系统属性和cmdline的节点值,这种时候可以优先排查avc权限问题。即在kernel日志或者logcat中通过过滤功能有问题的服务名称或者avc或者audit和找到如下的Log输出。

avc: denied { read } for service=csdn scontext=u:r:csdn:s0 tcontext=u:object_r:sysfs:s0 tclass=file

如果出现了该Log,那么说明当前的系统服务是存在SELinux权限受限的,此时,我们需要理解这句Log对我们来说意味着什么。

首先,我们可以通过以下几个关键词来"肢解"该Log:
denied:read : 被拒绝的权限是read
scontext:csdn : 被拒绝权限的服务是csdn
tcontext:sysfs : csdn被拒之门外的文件未sysfs
tclass:file : 文件类型为file

再整合成我们自己的话,也就是说我们开发的csdn服务被SELinux拒绝读取file类型的sysfs这个文件的权限。

4.如何解决SELinux权限问题

我们再次回到上述的关键词

denied:read : 被拒绝的权限是read
scontext:csdn : 被拒绝权限的服务是csdn
tcontext:sysfs : csdn被拒之门外的文件未sysfs
tclass:file : 文件类型为file

此时,我们需要在源码的根目录下寻找我们开发的服务所需要的策略文件csdn.te,例如我们项目中位于device/qcom/sepolicy/目录下。在里面加入如下代码:

allow csdn sysfs:file { read };

有一点需要注意的地方是,SELinux权限报错并不会一次全部输出在log中,一次可能只会输出一条,所以需要一个权限一个权限去解决,比如在该例子中,假设后面又报了对sysfs的open权限,只需要在上述代码的花括号中加入open即可,即:

allow csdn sysfs:file { read open };

如果是一般的权限问题,可能到这里就解决了,只需要再重新编译刷机即可。
至此,感谢阅读。

BUT,对于有的幸运玩家来说,在Android的SELinux机制中,有的文件是不允许通过这种方式来放开权限的,比如该例中的sysfs,如果像上面那样加了代码并编译,会提示neverallow错误,顾名思义,就是这种操作是从来不被允许的。

#1 neverallow on line XXX of system/sepolicy/csdn.te (or line XXX of XXX) violated by allow system_app sysfs:file { read };
#2 1 neverallow failures occurred
#3 Error while expanding policy

对于neverallow错误的解决方法,可以去另外百度,有直接修改neverallow规则,或者去提示violate的策略文件中加上我们需要的例外服务,但这些方法都违反了Google定义的强制规则,并可能导致CTS报错,故在这里我只分享一种比较安全但是稍显复杂的方法。

共需要修改3个文件:

1.在csdn.te同级目录的file.te中,加入一个域的别名,如在该例中,我们原本需要访问的是sysfs域中的一个文件,所以我们在file.te中定义一个新的域,名字可以随便取,如:

type csdn_sysfs, fs_type, sysfs_type;

该语句的意思是,定义一个叫做csdn_sysfs的域(domain),该域具有fs_type和sysfs_type属性(attribute),关于更多domain和attribute的语法和定义可以百度SELinux关键字和语法。

2.在同目录中的file_contexts中加入对需要操作权限的文件路径与我们定义的域进行映射,如:

/sys/devices/sensors_info/sensors_prop/sensor_dir u:object_r:csdn_sysfs:s0

这样即可将sensor_dir与我们定义的域csdn_sysfs映射起来。
3.最后一步,在我们定义的csdn.te策略文件中,把之前的sysfs替换为我们新定义的域,即

allow csdn csdn_sysfs:file { open read };

完成后,编译刷机,对于这部分幸运玩家来说,大部分问题也可以解决了。

BUT, 在这部分幸运玩家中,还有极少数幸运玩家中的幸运玩家,会碰到一个情况,就是编译通过了,刷机成功了,但是仍然在log中打出缺少对sysfs操作权限的错误。

有一个概率较大的原因,是由于我们在file_contexts中映射的路径并不是它实际存在的路径,导致了映射失败,从而添加权限失败。
确定该问题的方法是,adb shell中通过ls -Z取查看该文件的域,如果映射成功了,会变为csdn_sysfs,但是如果失败,仍然为sysfs。

-r--r--r-- 1 root root u:object_r:sysfs:s0  4096 2021-11-17 08:05 sensor_dir

此时,我们需要在adb shell中到我们需要访问的节点通过ls -l检查一下该节点的真实路径

lrwxrwxrwx 1 root root    0 2021-11-17 08:05 subsystem -> /sys/devices/virtual/sensors_info/sensors_prop/sensor_dir

然后将第2个文件file_contexts中的代码改为

/sys/devices/virtual/sensors_info/sensors_prop/sensor_dir u:object_r:csdn_sysfs:s0

至此,编译刷机,问题解决。

DinDjarin
关注
  • 8
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
AndroidQ(10.0) system app 增加访问 sys/class/ 权限
cczhengv
09-27 3453
问题由来 System app 需要读取网卡地址,而网卡地址存储在 sys/class/net/eth0/address 所以通过 cat sys/class/net/eth0/address 就能获取设备网卡地址 但是安全等级越来越高, 1|HTC5K:/ $ cat sys/class/net/eth0/address cat: sys/class/net/eth0/address: Permission denied HTC5K:/ $ ifconfig ifconfig: ioctl 8927:
Android Q Selinux 权限添加
IceSea7
11-06 2602
本文转载自huangrongrui: http://192.168.30.26:200/index.php?doc-view-43682 一、权限问题 如下遇到的权限问题,log中的TAG是 avc,如下是log: avc: denied { append } for pid=8317 comm=”RenderThread” name=”glsl_shader_log.txt” dev=”mm...
avc权限问题解决
最新发布
hkj887tg的博客
04-02 523
avc权限问题是android开发中比较常见的权限问题,已经有了一套成熟的解决方案。
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 3715
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
Android 7.0 SEAndroid app权限配置方法
01-20
1.SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app 第三方app,没有Android平台签名,没有system权限 2)platform_app 有Android平台签名,没有system权限 3)system_app 有android平台签名和system权限 从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app 2.seapp_contexts定义 system/sepolicy/seapp_cont
Android SELinux 快速处理工具 log2allow
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 ./log2allow xxx.log 或将log2allow配置到环境变量 log2allow xxx.log 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell init:file { add_name append create execute execute_no_trans getattr map open read remove_name search unlink write };
SELinux 入门详解
01-09
回到 Kernel 2.6 时代,那时候引入了一个新的安全系统,用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux),它是由美国国家安全局(NSA)贡献的,它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。 如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux,这篇文章就是专门为你写的:这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍,它能够限制权限,甚至消除程序或守护进程的脆弱性而造成破坏的可能性。 在我开始之前,你应该已经了解的
SeLinuxavc log解读
心上枫叶红的博客
01-25 2708
avc log分析: SeLinuxAVC log的详细分析 eg: type=AVC msg=audit(1395177286.929:1638): avc: denied { read } for pid=6591 comm="httpd" name="webpages" dev="0:37" ino=2112 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=dir 整体翻译:SE
Android 修改 SELinux avc 权限方法
jppipai的博客
03-01 4225
Android 系统的开发及适配过程中,我们常常需要对 SELinux avc 权限进行修改
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1158
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限SELinux权限不足。
Android 10.0关闭selinux权限
安卓兼职framework和app工程师的博客
06-30 3310
在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限,所以怎么样关闭selinux权限呢 system/core/init/selinux.cpp bool IsEnforcing() { { int fd(open("/mboot/selinux", O_RDONLY | O_CLOEXEC | O_BINARY)); if (fd != -1) { char v = 0x
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SELinux for Android 8.0
12-10
Overview This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip (SoC) vendors and Original Device Manufacturer (ODM) partners to customize SELinux settings
简述AndroidSELinux的TE
08-27
SELinux使用类型强制来改进强制访问控制。这篇文章给大家介绍了AndroidSELinux的TE的相关知识,感兴趣的朋友一起看看吧
国产平台之T507 开发板Android 安全策略漫谈
飞凌嵌入式
12-04 225
硬件平台:飞凌嵌入式OKT507-C开发板 操作系统:Android10.0 飞凌嵌入式T507 开发板 Android系统版本为Android10.0,默认开启了SELinux。基于MAC访问控制模型的SElinux,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。 从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊..
avc: denied SELinux权限问题解决
Haomione的博客
03-31 6311
avc: denied SELinux权限问题解决
android 解决AVC问题
点滴的岁月
11-01 2098
Android 解决avc
android P 修改sysfs的 u:object_r:失效问题分析
weixin_32104133的博客
06-28 2631
本文参考https://blog.csdn.net/pen_cil/article/details/89434349 部分修改 我在Android P项目上遇到和Kian_G类似的问题,但是按照他文档的描述并没有完全解决u:object_r:sysfs:so 切换成我自定义my_sysfs。 如下部分为参考部分 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多ne
Android关掉SELINUX
07-27
要在Android设备上关闭SELinux,您需要具有root访问权限。以下是一些步骤供参考: 1. 首先,确保您的Android设备已经获取了root权限。请注意,在某些设备上,可能需要解锁引导加载程序或使用特定的root工具。 2. 下载并安装一个文件管理器应用程序,例如Root Explorer或ES文件浏览器。 3. 打开文件管理器,并导航到系统目录(通常为“/system”)。 4. 查找名为“build.prop”的文件,并使用文本编辑器打开它。 5. 在文件的末尾添加以下行: ``` persist.sys.selinux=disabled ``` 6. 保存并关闭文件。 7. 重启您的Android设备。 请注意,关闭SELinux可能会降低设备的安全性。 SELinux是一种安全机制,用于限制应用程序的权限和保护设备免受潜在的恶意活动。在关闭SELinux之前,请确保您完全了解相关风险,并仅在您自己的责任下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值