Android SELinux访问向量规则

最新推荐文章于 2024-03-22 16:58:08 发布
最新推荐文章于 2024-03-22 16:58:08 发布
阅读量374 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tq501501/article/details/132368923
版权

一般如果系统某个文件无法访问,log中出现 avc 权限问题,我们只需要在对应 te 中添加 allow 规则就行。如下,只需要在 init.te 中为 vendor_sysfs_graphics:lnk_file 增加 read 权限即可。

init    : type=1400 audit(0.0:14): avc: denied { read } for name="device" dev="sysfs" ino=51107 scontext=u:r:init:s0 tcontext=u:object_r:vendor_sysfs_graphics:s0 tclass=lnk_file permissive=0

但有时候会出现添加 allow 规则后编译不过情况。这种情况一般是由于源码 system 目录下 neverallow 规则冲突导致,需要针对修改 neverallow (system目录下这个修改大概率会导致GMS测试不过)。

上面就是我们最常见的修改。这里涉及到两个访问向量: allowneverallow。除此之外,还有两个不常修改的两个:dontauditauditallow

  • allow              表示允许主体对客体执行后面的操作

  • neverallow    表示不允许主体对客体执行后面的操作

  • dontaudit       表示检查策略信息,但是不记录违反规则的信息

  • auditallow      表示检查策略信息,记录违反规则的信息

前面两个好理解,后面两个简单来说。dontaudit 标记的权限,检查访问者无权限直接阻值,但是不输出任何记录,从log中看不到avc异常之类信息。auditallow 区别就在于会记录违反规则的信息,在log中输出提醒。

例子:

android P之后,/proc/stat CPU信息这个节点就禁止非系统应用访问。通过三方app去读取的话,可以看到有以下提示。

avc: denied { open } for path="/proc/stat" dev="proc" ino=4026532037 scontext=u:r:untrusted_app_all tcontext=u:object_r:proc_stat:s0 tclass=file permissive=1

avc: denied { getattr } for path="/proc/stat" dev="proc" ino=4026532037 scontext=u:r:untrusted_app_all tcontext=u:object_r:proc_stat:s0 tclass=file permissive=1

然后我们在ROM中添加上open getattr权限后。(一般在device目录下新建变化部分权限)

allow untrusted_app_all proc_stat:file  { open getattr };

发现即使log中没有avc异常信息,但是还是无法访问。这是因为 system/sepolicy/private/untrusted_app_all.te 中定义了

# These have been disallowed since Android O.
# For P, we assume that apps are safely handling the denial.
dontaudit untrusted_app_all proc_stat:file read;

 read 这个权限虽然缺少了,但是不会输出。把这行注释掉或者修改成 auditallow 之后,再打印就能看见log中提示缺少 read 权限。

所以,权限添加要增加上read权限,或者,将 dontaudit 修改成 allow 也行

allow untrusted_app_all proc_stat:file  { open getattr read };

虫师魁拔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux:避免 dontaudit 规则隐藏
Linux
07-27 2137
参考链接:https://wiki.centos.org/zh/HowTos/SELinux 由于 dontaudit 可防止审计记录出现于日志内,有可能部份 AVC 或 USER_AVC 不获显示。若是要避免 dontaudit 规则隐藏这些讯息,管理员可执行 semodule -DB 来重建不包含 dontaudit 规则SELinux 政策。重建后,日志内将会有更多讯息,还有一些与问题无关的记录(noatsecure、rlimitinh 及 siginh 是执行程式时循例必检查的,因此一般可忽
Android Service Call /dev/xxx SELinux
一歲抬頭的博客
07-16 531
avc: denied { read write } for name="spi_encrypt" dev="tmpfs" ino=12025 scontext=u:r:system_server:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=1 avc: denied { open } for path="/dev/__properties__/u:object_r:vendor_default_prop:s0" dev="t.
Android11 添加开机启动后固件升级逻辑
kevin's cache的专栏
04-27 416
对于qcom平台,做如上修改后,可在android跟目录执行完env之后,mmm system/sepolicy就可以生成,会在out/target/product/trinket目录(lunch的产品)生成到两个路径下:system/etc/selinux和vendor/etc/selinux,分别将这两个目录push到target就可以验证生效;如果需要升级,则设置背景图,并且设置不可点击,防止不必要的anr出现。1、添加资源文件,即升级情况的全屏UI提示背景图;至此,需求开发完成。
Android selinux权限设置
cuitianxiang的专栏
03-02 2012
背景 在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限。 selinux权限设置 案例一 db访问不了了 背景 有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。 解决方案及过程 最终解决方案 在系统fingerprint.te里添加权限 allow fingerprintserver apk_d
AVC 报错问题示例以及解决方案
Demon_xiaochunjie的博客
01-22 5597
问题:在一直移远4G三网投模块时,发送短信时信号消失。通过log 发现avc,然后通过同事沟通和指导,学到了如何快速修改验证此问题的方法。在此,记录一下我的学习和经验的积累过程;同时,也分享出来以供遇到类似问题的童鞋可以学习和解决自己的问题,
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7071
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
Android SELinux Allow可视化生成工具
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell...
SELinux for Android 8.0
12-10
This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip ...
简述AndroidSELinux的TE
08-27
这个规则集是由访问向量规则(AV,Access Vector)来描述的。内核向外部暴露允许访问的资源权限,由TE来描述主体拥有什么样的访问权。 SELinux定义了30个不同的客体类别,每个客体类别都定义了操作许可。例如针对...
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 4026
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9412
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 1836
接第二部分的内容 深入理解SELinuxSEAndroid(结局) 二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
SEAndroid策略分析(三):类型强制和角色声明
苞谷猿的技术bug
12-09 1965
类型强制 TE规则语法: 规则名称源类型目标类型:客体类别许可 规则名称    allow,dontaudit,auditallow和neverallow。 源类型      授予访问的类型,通常是进程尝试访问的域类型。 目标类型    客体的类型,它被授权可以访问源类型。 客体类别    客体的类别。 许可        表示主体对客体访问时允许的操作类型(也叫做访问向量)。  
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 3764
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
Android - 深入浅出理解SeLinux
最新发布
temp7695的博客
03-22 1366
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
Android 应用(7)——untrusted_app访问底层硬件
横山郡守的博客
03-25 6343
参考链接: https://blog.csdn.net/Sunxiaolin2016/article/details/91039775 https://blog.csdn.net/scottmvp/article/details/115871037 背景:用户自行开发的app需要访问底层serial port。我们开发的app在SELinux(或SEAndroid)中分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app 第三方app,没有Android平台签名
Selinux type 编写示例
Android 系统开发
02-23 3336
以下是从aosp 中,分析如何定义的type 和allow 规则 1.定义type (domain) hal_light 这个type的定义 type hal_light_default, domain; hal_server_domain(hal_light_default, hal_light) aosp/system/sepolicy/vendor/qcom/common/hal_li...
Android SELinux:安全强化与应用策略详解
到了Android 4.4,部分关键服务(如installd、netd、vold和zygote)开始强制实施SELinux,而Android 5.0及以上版本则全面强制执行该策略,扩展到所有域,这意味着所有应用都需要遵循统一的安全规则。 在基于域的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值