android-selinux模式

已于 2023-12-28 11:49:04 修改
阅读量1k 收藏
点赞数
分类专栏: Android 文章标签: android
于 2022-06-12 12:19:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42952079/article/details/125241766
版权

报错信息

报错内容:
	avc: denied { read } for comm="Binder:175_2" name="wakeup10" dev="sysfs" ino=25776 scontext=u:r:system_suspend:s0 tcontext=u:object_r:sysfs_power:s0 tclass=dir permissive=0
log格式:
	avc: denied  { 操作权限  }  for pid=7201  comm="进程名"  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类型 permissive=0
规则格式:
	allow  源类型 目标类型:访问类型 {操作权限};
最终结果:
	allow  system_suspend sysfs_power:dir { read };

权限调试

有时候avc denied的log不是一次性显示所有问题,要等解决一个权限问题之后,才会提示另外一个权限问题,
比如提示缺失某个目录的read权限,你加入read之后,再显示缺少write权限,要你一次一次试,一次一次加。
所以建议在permissive模式下进行debug和添加权限,否则会无限放大工作量。

su
setenforce 0
chmod 666 /dev/ttyS*
使用app调用串口,调试串口会打印出所有的avc报错,再根据报错添加相关权限。

audit2allow

sudo apt install policycoreutils
adb shell logcat | grep avc > avc_log.txt
audit2allow -i avc_log.txt

c512,c768报错,添加mlstrustedobject 属性

type video_usb_device, dev_type, mlstrustedobject;	//定义了一个名为 video_usb_device 的 SELinux 类型,并将其标记为 dev_type 和 mlstrustedobject。
typeattribute video_usb_device mlstrustedobject;	//将一个名为 video_usb_device 的已有 SELinux 类型标记为具有 mlstrustedobject 属性。

SELinux工作模式

disabled:禁用模式,代表SELinux没有实际运作。
permissive:宽容模式,代表SELinux运作中,不过会有警告信息,但不会实际限制domain/type的存取。
enforcing:强制模式,代表SELinux运作中,且已经明确限制domain/type。

查看SELinux工作模式

getenforce

临时设置SELinux工作模式

setenforce 0:设置为permissive模式
setenforce 1:设置为enforcing模式

永久设置SELinux工作模式

修改/android11-source/system/core/init/selinux.cpp

在这里插入图片描述

Paper_Love
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux宽松模式,SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
weixin_42393272的博客
05-12 2854
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换在Android的root相关的文章里经常会看到关于SElinuxAndroid4.3以后引进SElinux。###SELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux目前 SELinux 支持三种模式,分别如下...
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换
热门推荐
Tesi1a的充电桩
04-29 7万+
Android的root相关的文章里经常会看到关于SElinuxAndroid4.3以后引进SElinuxSELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux 目前 SELinux 支持三种模式,分别如下: •enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了; •perm
Linux中开启或关闭SELinux_打开selinux
最新发布
2401_83945851的博客
04-28 255
● 强制模式SELINUX=enforcing:表示所有违反安全策略的行为都将被禁止。● 宽容模式SELINUX=permissive:表示所有违反安全策略的行为不被禁止,但是会在日志中作记录。4.修改完成后,按下键盘Esc键,执行命令:wq,保存并退出文件。5.在根目录下新建隐藏文件autorelabel,实例重启后,SELinux会自动重新标记所有系统文件。6.重启Linux。
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
weixin_30606461的博客
06-24 595
在CentOS6.2 中安装intel 的c++和fortran 的编译器时,遇到来一个关于SELinux的强制模式不可执行的情况, 需要关闭SELinux 或者 将enforcing改为 permissive 模式,查询来一些资料后,先对SELinux的几种模式,以及其之间的关系和转换方法做一小结,以备以后查看和学习。 SELinux 的启动、关闭与查看 1、并非所有的 Linux dis...
Android 逆向】selinux 进程保护 ( selinux 进程保护 | 宽容模式 Permissive | 强制模式 Enforcing )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-22 4067
一、selinux 进程保护、 二、宽容模式与强制模式
linux宽容模式,浅析linux之SElinux的targeted规则(Policy)(转)
weixin_42400904的博客
05-14 706
转自:SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖!这里学习的是...
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
详解Android Selinux 权限及问题
01-20
由于现做的是MTK平台,源码路径基于MTK, 不过高通大同小异 ...SELinux 分为两种模式Android 5.0 后所有进程都使用 enforcing mode。 enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 SELin
Android不同版本SELinux的介绍
01-01
- **setenforce**:这个工具可以临时切换SELinux的执行模式,如从强制模式切换到_permissive_模式,用于调试。 - **ausearch**:查找与SELinux相关的事件,帮助分析被拒绝的访问尝试。 - **audit2allow**:基于日志...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如...
android-21.zip
01-15
2. SELinux:强化了安全策略,限制了应用程序对系统资源的访问权限。 五、网络与连接性 在Android 21中,网络和连接性的支持也有所增强: 1. Wi-Fi Direct:支持设备间直接通信,无需通过路由器,提高数据传输...
android P selinux权限设置为permissive(宽容模式
zjy764219923的专栏
10-26 3367
在device下面的BoadConfig.mk中天下如下内容,表示userdebug版本设置宽容模式 ifeq ($(TARGET_BUILD_VARIANT),userdebug) BOARD_KERNEL_CMDLINE += androidboot.selinux=permissive endif
SELinux的设置及应用举例
qq_43279936的博客
11-07 1260
SELinux a.SELinux SELinux是内核级加强型防火墙,在更改配置文件后必须重启。 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。限制了root用户的最大访问权限。 首先,介绍selinux的三种模式 a.enforcing: linux下SELinux所设置的安全策略都会被启用,所有与SELinux安全策略有关的服务或者程序都会进行权限检查 b.permi...
android设置selinux权限
LXJSWD的博客
02-08 1539
selinux权限配置
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解AndroidSELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
Android 查看及设置 SELinux 状态
Luckcat
02-22 1万+
先给出SELinux查看和设置状态的方法查看 SELinux 状态:adb shell getenforce设置SELinux状态:adb shell setenforce 0 adb shell setenforce 1下面对这两种状态做个简单的介绍:在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 但在7.0时又对SELinux加强了限制。 (1)
Android selinux配置
peilong1988的专栏
05-28 450
最近项目上遇到Android selinux权限配置的问题,Android O之前的版本与Android O及之后的版本有较大的差异。Android O引入了Treble机制,为了防止system.img和vendor.img 中的数据、服务、应用等相互依赖、调用和 引用,谷歌大幅度的更新了selinux权限管理,在Android O及以后的版本中,sepolicy进行了分离,与system相关的...
android selinux权限设置
05-20
Android 中,SELinux 有三种模式:enforcing(强制模式)、permissive(宽容模式)和disabled(禁用模式)。其中,enforcing 模式是最安全的,permissive 模式可以帮助你诊断问题,disabled 模式则完全关闭了 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Paper_Love

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值