本地编译selinux权限验证

已于 2023-06-20 12:24:50 修改
阅读量294 收藏
点赞数
文章标签: linux 运维 服务器
于 2023-06-20 12:12:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thatgriler/article/details/131304181
版权

cd system/sepolicy
mm -j16
编译后的文件out/target/product/qssi/system/etc/selinux/
修改了几个.te文件编译后看上面的文件夹里哪个文件日期改变就push哪个
plat_seapp_contexts
plat_sepolicy.cil
plat_sepolicy_and_mapping.sha256
一般只需要push这三个文件,偶尔out/target/product/qssi/system/etc/selinux/mapping/下文件夹会变化(但是感觉push之后没什么变化 主要还是上面那三个文件)

avc: denied { call } for scontext=u:r:hsmdecoder:s0 tcontext=u:r:untrusted_app_25:s0:c512,c768 tclass=binder permissive=0
allow hsmdecoder untrusted_app_25:binder {call};

type hsmdecoder, coredomain, file_type ;
hsmdecoder定义最好在public,public中定义private中可以用,public中neverallow也能使用(不然会报unknown type hsmdecoder)
添加allow到相应的.te文件,编译如果报neverallow,根据log找到位置在其中添加 -hsmdecoder

外部的public、private
prebuilts/api/中的public、private都应做出相应修改

Ssir12138
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rk3568 HAL3--Camera seLinux权限
weixin_35723192的博客
12-26 1019
rk3568 Android11 在特定场景发现 camera HAL3 的 RGA 无法正常调用,查看内核日志会发现某些服务缺少相关 seLinux 权限致使调用失败,按照正常情况则需要补齐就好。某些场景则需要增加新权限才能匹配相应功能;如果在 HAL 增加系统属性读取,就需要增加专属的 seLinux 权限申请。
Android P SElinux权限调试
Kian_G 的博客
04-21 6709
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
SeLinux编译逻辑
最新发布
littleyards的博客
04-02 956
收集 PLAT_PRIVATE_POLICY和 PLAT_PUBLIC_POLICY 目录下的 文件,通过transform-policy-to-conf 进行宏展开,得到plat_policy.conf文件。一文中,我们知道,在init进程对Selinux的处理过程中,会将precompiled_sepolicy或者动态编译相关目录下的cil文件得到的compiled_sepolicy写入给内核。再来看一下cil文件的生成过程,以built_plat_cil 为例,其它的都类似。最终根目录系统结构为。
Android Selinux 单编后,快速验证
kanyou222的专栏
12-21 5365
sepolicy修改后 快速验证 编译: makeselinux_policy-j8 // vendor 和system 都修改了 makeselinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vendor_sepolicy.cil ...
SeLinux详解
m0_37571604的博客
07-23 580
SELinux的全称是:安全加强的Linux (Security-EnhancedLinux)。Android通过SELinux对所有的进程、甚至是拥有root/superuser特权的进程加强访问约束。通过SELinux,Android可以更好地保护和限制系统服务对应用数据和系统日志的访问,从而减少恶意软件的影响。SELinux遵循默认拒绝的原则:任何没有被策略文件允许的操作都是被拒绝的。如果某个进程想访问指定的文件需要在策略文件中明确地指出。
编译selinux
Zero_plucky的博客
03-16 151
ls -Zl 查看权限
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3151
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
编译linux源码的工具,selinux
weixin_34186408的博客
05-02 204
Please submit all bug reports and patches to selinux@tycho.nsa.gov.Subscribe via selinux-join@tycho.nsa.gov.Build dependencies on Fedora:yum install audit-libs-devel bison bzip2-devel dbus-devel dbus-...
编译 SELinux 政策
一步一个脚印
08-18 2188
本文介绍了如何编译 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行编译。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策编译流程合并了所有 sepolicy 片段,然后在根目录中生成了整体文件。这意味着 SOC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/B 设备)或...
SeLinux权限配置心得总结
u013357557的专栏
02-20 4850
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
Android SeLinux 权限添加
Android
09-30 2773
SeLinux 权限添加 调试时,可以关闭selinux 权限 setenforce 0 搜索avc,如下: type=1400 audit(0.0:292): avc: denied { read write } for name=“ttyHSL2” dev=“tmpfs” ino=11380 scontext=u:r:system_app:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0 system_app 中 devic
Android SElinux认知与调试
u013391407的专栏
01-27 2147
Linux 内核资源访问控制分为 DAC(Discretionary Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类。 DAC 基于“用户-用户组-其他”的“读、写、执行”的权限检查,进程理论上所拥有的权限与执行它的用户的 权限相同,该管理过于宽松,如果获得 root 权限,可以在 Linux 系统内做任何事情。
linux 内核编译防火墙,linux中的内核级防火墙(SELINUX
weixin_35543991的博客
04-30 281
SElinux是基于内核开发出来的一种安全机制,被称之为内核级加强型防火墙,有力的提升了系统的安全性。SElinux的作用分为两方面:1.在服务上面加上标签; 2.在功能上面限制功能在linux系统中使用 getenforce 命令可以查看selinux的状态:disabled 为关闭状态,对服务和功能都没有限制enforcing 为强制状态,对服务和功能都进行限制permissiv...
SELinux零知识学习三、SELinux应用层源码下载、编译和安装
phmatthaus的专栏
03-31 899
SELinux零知识学习三、SELinux应用层源码下载、编译和安装
android本地验证,验证 SELinux  |  Android 开源项目  |  Android Open Source Project
weixin_35949264的博客
05-29 381
Android 强烈建议 OEM 全面测试其 SELinux 实现。制造商在实现 SELinux 时,应先在一组测试设备上实施新政策。实施新政策后,您可以通过执行 getenforce 命令来确认 SELinux 在设备上的运行模式是否正确。该命令会输出全局 SELinux 模式:强制或宽容。如需确定每个域的 SELinux 模式,您必须检查相应的文件,或运行带有相应 (-p) 标记的最新版 se...
高通Android Q编译selinux,并push
wangjicong_215的博客
08-10 1407
修改在: 编译,通过./build.sh dist -j32 --target_only push adb push out/xxxx/vendor/etc/selinux /vendor/etc
关于Selinux详解
段小苏的学习之路
04-03 5035
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言  ...
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 1806
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
Android P SELinux (一) 基础概念
headwind的博客
08-14 3799
在处理了一些SELinux相关的问题之后,深深厌恶这个东西,一打开就报一大堆权限问题,添加te权限还特别麻烦,第一次搞下来没有1-2天是不行的。 抽时间查阅相关资料后,结合理论知识和源码进行分析,随着在项目中不断处理了一些CTS neverallow的失败项,慢慢地对SELinux有了更深入的理解,接下来的内容将分别介绍基础概念、SELinux开机初始化、SELinux编译相关和实际案例分享,让大家对SELinux有更加深入的认识。 学习一个模块的东西,我更喜欢从实际的问题出发去探索,因为目标很明确,不会.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值