Android P系统编译报错SELinux违反Neverallow

最新推荐文章于 2025-02-10 09:50:42 发布
最新推荐文章于 2025-02-10 09:50:42 发布
阅读量5.4k 收藏 10
点赞数 3
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwe6872400/article/details/126371974
版权

一、违反neverallow规则

在文章《Android P关于串口访问权限的问题》讲到了关于SELinux权限问题。

SeLinux的*.te文件路径:
p9.0.0.0\device\fsl\imx8q\sepolicy
p9.0.0.0\system\sepolicy

其中为了给串口增加权限,修改了一些*.te的权限配置文件,修改完之后系统编译报错。

报错信息如下:

FAILED: out/target/product/mek_8q/obj/ETC/sepolicy_neverallows_intermediates/sepolicy_neverallows 
/bin/bash -c "(rm -f out/target/product/mek_8q/obj/ETC/sepolicy_neverallows_intermediates/sepolicy_neverallows ) && (ASAN_OPTIONS=detect_leaks=0 out/host/linux-x86/bin/checkpolicy -M -c 30 -o out/target/product/mek_8q/obj/ETC/sepolicy_neverallows_intermediates/sepolicy_neverallows out/target/product/mek_8q/obj/ETC/sepolicy_neverallows_intermediates/policy.conf )"
libsepol.report_failure: neverallow on line 31 of system/sepolicy/private/domain.te (or line 26746 of policy.conf) violated by allow system_app sysfs:file {  read write create setattr open };
libsepol.report_failure: neverallow on line 507 of system/sepolicy/public/app.te (or line 8383 of policy.conf) violated by allow system_app sysfs:file {  write };
libsepol.check_assertions: 2 neverallow failures occurred
Error while expanding policy
out/host/linux-x86/bin/checkpolicy:  loading policy configuration from out/target/product/mek_8q/obj/ETC/sepolicy_neverallows_intermediates/policy.conf

错误分析:system/sepolicy/private/domain.te和system/sepolicy/public/app.te违反了neverallows规则

解决办法:

最低0.47元/天 解锁文章
AllenChen9
关注
Android SELinux——neverallow问题处理(十六)
小旭的专栏
10-22 1582
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反neverallow 规则,编译时候会报 neverallow 相关的错误。
Selinux Error while expanding policy libsepol.check_assertions: 2 neverallow failures occurred
android 系统定制开发那些事
06-10 3750
Selinux Error while expanding policy libsepol.check_assertions: 2 neverallow failures occurred
Android SElinux权限添加NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 3684
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android系统SELinux详解
最新发布
u010345983的博客
02-10 3680
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
增加SELinux编译报错neverallow check failed
万般皆下品,唯有读书高~
01-27 1244
Android, SELinux配置
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 2104
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
Android 用户组权限SELinux心得总结
Mis_wenwen的博客
11-09 8964
这里要分两个部分来说,一个是Linux权限组的设定,一个是SELinux。 我们先不考虑SELinux。先单独来说Linux权限组。 因为要想对某个文件进行操作(read,write,execute等),必须先满足Linux权限组的规则,然后再满足SeLinux的allow条件,才能成功操作。 我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 1052
翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 2544
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 2959
Android系统编译neverallow 错误的解决方法。
android selinux报avc denied权限编译neverallow解决方案
Venus 的博客
07-06 1451
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
详解Android Selinux 权限及问题
08-28
如果添加新的权限后遇到neverallow冲突,例如libsepol.check_assertion_helper报错,表明新添加的sepolicy项目违反了domain.te中规定的总策略原则。为了解决这种情况,需要从运行log中找到被访问的目标名称,并根据...
Android P SELinux权限获取
arrol1786936883的博客
04-26 2279
Android SELinux权限问题
Android SeLinux权限问题和解决方法
qq_41072096的博客
07-09 772
系列文章目录 Android SeLinux权限问题和解决方法 文章目录系列文章目录1. 确认 seLinux导致权限问题1.1 标志性log 格式:1.2 举例:1.3 方法1:adb在线修改1.4 方法2: 从kernel中彻底关闭 (用于开机初始化时的seLinux权限问题,要重编bootimage)2. 在sepolicy中添加相应权限2.1 修改依据:2.2 修改步骤:2.3 按如下格式在该文件中添加:2.4 举例3. 添加权限后的neverallowed冲突3.1 编译报错:3.2 原因:
Android O selinux违反Neverallow解决办法
热门推荐
yxw0609131056的博客
04-02 3万+
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:1、Android O selinux相关配置文件所在路径      system/sepolicy/*                      AOSP device和APPS相关selinux配置      device/qcom/sepolicy/*            平台和板卡...
selinux常见neverallow项解决方法与常用命令
k663514387的博客
08-13 3万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
selinux权限neverallow解决
qq_36975610的博客
03-07 2384
selinux权限neverallow解决
Android SELinux 一个编译错误
犹犹豫豫太阳雨
12-30 2090
最近在做Android6.0项目,修改了SELinux的te文件, 单独编译这个模块没问题,后来make clean后编译不过了。报下面的错误. /bin/bash: out/host/linux-x86/bin/insertkeys.py: Permission denied make: *** [out/target/product/msm8909/obj/ETC/mac_permis
android 如何统计所有selinux报错
12-01
Android系统中,SELinux是一种强制访问控制机制,用于保护Android设备免受恶意应用程序和攻击的影响。当系统运行过程中出现SELinux报错时,我们需要对这些报错进行统计和分析,以便更好地了解系统的安全状况。 Android中的SELinux报错通常会被记录在内核日志中,我们可以通过以下步骤来统计这些报错: 1. 获取内核日志:要统计SELinux报错,我们需要首先获取内核的日志信息。可以通过adb工具或第三方应用程序来获取设备的内核日志。 2. 过滤SELinux报错:在获取到内核日志后,我们需要将日志中与SELinux相关的报错进行筛选和提取。可以使用关键词过滤或正则表达式匹配来寻找与SELinux有关的日志条目。 3. 统计报错数量:一旦筛选出SELinux报错,我们可以通过遍历日志文件并计数相应的报错条目来统计报错数量。可以使用脚本或编程语言来自动化这个过程。 4. 分析报错原因:除了统计报错数量,我们还需要对报错进行分析,了解具体的原因和背后的问题。可以查阅相关文档、论坛或专业资料,学习和理解不同类型的SELinux报错,并提供相应的解决方案。 5. 提取关键信息:在分析SELinux报错后,我们可以提取出其中的关键信息,如报错发生的时间、报错的应用程序或进程、报错的具体内容等。这些信息可以帮助我们更好地定位和解决问题。 总结起来,要统计Android中的所有SELinux报错,需要获取内核日志、过滤SELinux报错、统计报错数量、分析报错原因并提取关键信息。这将帮助我们更好地了解系统安全状态,并及时采取措施解决潜在的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值