Android14之Selinux解决neverallow报错(一百七十六)

已于 2024-01-03 00:04:30 修改
阅读量2.5k 收藏 24
点赞数 23
分类专栏: Android系统调试系列 文章标签: android14 selinux
于 2024-01-03 00:02:54 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/u010164190/article/details/135352648
版权
本文介绍了SELinux在Android14中的应用,重点讲述了如何处理neverallow错误,涉及SELinux的原理、功能以及针对system/services和vendor/services的访问控制策略调整。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介: CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长!

优质专栏:Audio工程师进阶系列原创干货持续更新中……】🚀
优质专栏:多媒体系统工程师系列原创干货持续更新中……】🚀

人生格言: 人生从来没有捷径,只有行动才是治疗恐惧和懒惰的唯一良药.

更多原创,欢迎关注:Android系统攻城狮

欢迎关注Android系统攻城狮

1.前言

本篇目的:Android14之Selinux解决neverallow报错

2.报错:

  • neverallow on line 647 of system/sepolicy/public/domain.te (or line 12361 of policy.conf) violated by allow hal_invcase_service hal_invcase_hwservice:service_manager { add };

3.SeLinux介绍

  • SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。

  • SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。它通过将每个对象(如文件、进程和用户)和动作(如读写、执行)分配给一个安全上下文来实现安全访问控制。安全上下文包括主体和客体,主体代表拥有访问权限的主体,而客体代表被保护的系统资源。

  • SELinux通过使用访问控制策略来管理对象和动作之间的访问权限。访问控制策略定义了允许或禁止一个主体访问一个特定的客体的规则。这种严格的策略强制执行防止非授权访问,有效地减少了系统受到攻击的风险。

  • SELinux的主要功能包括:

  1. 强制访问控制(MAC):SELinux在每个对象和动作上强制实施访问控制策略,即使用户具有root权限也不能绕过这些策略。

  2. 细粒度访问控制:SELinux使管理员能够配置文件和进程的访问权限,实现更精确的访问控制。

  3. 角色基准访问控制:SELinux允许系统管理员为特定的用户角色分配不同的安全策略,以便管理访问权限。

  4. 安全上下文:SELinux使用安全上下文来标记对象和动作,并通过语义丰富的标签来定义对象之间的关系。

  5. 弹性:SELinux的策略可根据实际需求进行定制,以满足不同环境下的安全需求。

  • 虽然SELinux提供了强大的安全功能,但它也可能增加了配置和管理的复杂性。因此,对于普通用户来说,理解SELinux的工作原理并正确配置它可能需要一定的学习和实践。

  • 总之,SELinux是一种基于Linux内核的安全增强机制,通过强制访问控制、细粒度访问控制和安全上下文等功能来提高系统的安全性。它在Linux系统中得到广泛应用,并在防止未经授权访问和减少系统受到攻击的风险方面发挥着重要作用。

3.解决neverallow方案

  • 根据报错提示,我们找到system/sepolicy/public/domain.te的647行
  • 修改前:
# system services cant add vendor services
neverallow {
  coredomain
} vendor_service:service_manager add;

full_treble_only(`
  # vendor services cant add system services
  neverallow {
    domain
    -coredomain
  } {
    service_manager_type
    -vendor_service
  }:service_manager add;
')
  • 修改后:
# system services cant add vendor services
neverallow {
  coredomain
   - hal_invcase_service  #增加
} vendor_service:service_manager add;

full_treble_only(`
  # vendor services cant add system services
  neverallow {
    domain
    -coredomain
  } {
    service_manager_type
    -vendor_service
  }:service_manager add;
')
Android SELinux——neverallow问题处理(十六)
小旭的专栏
10-22 1615
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统对 SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反了 neverallow 规则,编译时候会报 neverallow 相关的错误。
MTK Android 12修改 XX IoT 应用 SELinux 策略和权限配置
我其实什么都不会
07-12 1497
本篇博客介绍,在开发和调试MTK A12系统预置 xxx IoT 应用过程中,遇到了一系列 SELinux 和权限管理相关的问题。以下是详细的错误日志和对应的修改记录。
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 3750
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android系统SELinux详解
最新发布
u010345983的博客
02-10 3706
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 1062
翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
android selinux报avc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 1501
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
selinux权限neverallow解决
qq_36975610的博客
03-07 2403
selinux权限neverallow解决
selinux常见neverallow解决方法与常用命令
k663514387的博客
08-13 3万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
Android P系统编译报错SELinux违反Neverallow
qwe6872400的博客
08-16 5424
在文章《Android P关于串口访问权限的问题》讲到了关于SELinux权限问题。SeLinux的*.te文件路径:其中为了给串口增加权限,修改了一些*.te的权限配置文件,修改完之后系统编译报错。错误分析:system/sepolicy/private/domain.te和system/sepolicy/public/app.te违反了neverallows规则解决办法:绝对不允许app对sysfs:file进行文件读写操作,改为:可以允许app对sysfs:file进行文件读写操作。...
详解Android Selinux 权限及问题
08-28
Android系统中的SELinux(Security-Enhanced Linux)是一种安全机制,用于强制访问控制(MAC)策略,以提供更详细的访问控制。在Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root...
Android P SELinux权限获取
arrol1786936883的博客
04-26 2291
Android SELinux权限问题
Android14Selinux报错:unknown type qemu_device at token (一百八十三)
Android系统攻城狮
02-01 3373
本篇目的:在编译Android automotive车载系统时,遇到一个这样的报错,不清楚怎么引入的,但是解法很简单,分享给大家。Android平台的SELinux(Security Enhanced Linux)是一种基于Linux内核的安全增强技术,由美国国家安全局(NSA)发起并得到Red Hat、Tresys等公司的支持。SELinux的主要目的是在Linux操作系统上实现强制访问控制(Mandatory Access Control,MAC),以提高系统的安全性。
Android O selinux违反Neverallow解决办法
热门推荐
yxw0609131056的博客
04-02 3万+
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:1、Android O selinux相关配置文件所在路径      system/sepolicy/*                      AOSP device和APPS相关selinux配置      device/qcom/sepolicy/*            平台和板卡...
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 2121
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限。
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 2982
Android系统编译 报neverallow 错误的解决方法。
SELinux用audio2allow生成添加权限的格式及neverallow解决方法
qq_25815655的博客
05-20 4864
首先我们都知道,添加SELinux方法都是按这种格式来添加的语句格式为:allow scontex tcontex:class action,但是类型比较多,有时间添加到那个文件还是不够清晰啊,能不能有工具来告诉我们 把avc报错生成对应的权限格式添加到对应的文件呢?这里还真有,有了这个工具,我们再遇到AVC报错就不用愁了,废话不多说 ()我们还是先介绍下确定是否是SELinux的原因导致的问题,虽然网上很多,当你怀疑是SELinux原因导致的问题,用userdebug版本或者eng版...
android 如何统计所有selinux报错
12-01
Android系统中,SELinux是一种强制访问控制机制,用于保护Android设备免受恶意应用程序和攻击的影响。当系统运行过程中出现SELinux报错时,我们需要对这些报错进行统计和分析,以便更好地了解系统的安全状况。 Android中的SELinux报错通常会被记录在内核日志中,我们可以通过以下步骤来统计这些报错: 1. 获取内核日志:要统计SELinux报错,我们需要首先获取内核的日志信息。可以通过adb工具或第三方应用程序来获取设备的内核日志。 2. 过滤SELinux报错:在获取到内核日志后,我们需要将日志中与SELinux相关的报错进行筛选和提取。可以使用关键词过滤或正则表达式匹配来寻找与SELinux有关的日志条目。 3. 统计报错数量:一旦筛选出SELinux报错,我们可以通过遍历日志文件并计数相应的报错条目来统计报错数量。可以使用脚本或编程语言来自动化这个过程。 4. 分析报错原因:除了统计报错数量,我们还需要对报错进行分析,了解具体的原因和背后的问题。可以查阅相关文档、论坛或专业资料,学习和理解不同类型的SELinux报错,并提供相应的解决方案。 5. 提取关键信息:在分析SELinux报错后,我们可以提取出其中的关键信息,如报错发生的时间、报错的应用程序或进程、报错的具体内容等。这些信息可以帮助我们更好地定位和解决问题。 总结起来,要统计Android中的所有SELinux报错,需要获取内核日志、过滤SELinux报错、统计报错数量、分析报错原因并提取关键信息。这将帮助我们更好地了解系统安全状态,并及时采取措施解决潜在的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Android系统攻城狮

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值