快速解决Android中的selinux权限问题

最新推荐文章于 2024-07-17 16:36:38 发布
最新推荐文章于 2024-07-17 16:36:38 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: selinux权限
原文链接:https://blog.csdn.net/mike8825/article/details/49428417
版权

比如,内核打印这个提示

type=1400 audit(32.939:25): avc: denied { open } for pid=2592 comm="chmod" path="/dev/block/mmcblk0p25" dev="tmpfs" ino=6494 scontext=u:r:init_shell:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=1

 

我们可以遵循这个方法,从头开始寻找关键对象,然后调整一下顺序,生成一条语句,最后将该语句填写到.te文件(external/sepolicy/*.te)中即可。

denied { open }             u:r:init_shell:s0            u:object_r:block_device:s0       tclass=blk_file                  

             A                               B                                              C                                       D
 
             B                               C                                              D                                       A

 

allow init_shell  block_device:blk_file open;

 

这条语句表示允许init_shell域中的block_device进程打开block_device类型的块设备文件。

 

有时候会遇到编译该规则失败,这也许就是neverallow语句做怪了。

neverallow用来检查安全策略文件中是否有违反该项规则的allow语句

 

如external/sepolicy/netd.te文件中,语句

neverallow netd dev_type:blk_file { read write };

表示永远不允许netd域中的进程读写dev_type类型的块设备文件,这时只需屏蔽该语句即可。

 

当然,在调试阶段,可在终端上运行如下命令获取SELinux的状态和临时关闭SELinux

setenforce 0                  ##设置SELinux 成为permissive模式(SELinux开启,但对违反selinux规则的行为只记录,不会阻止)

setenforce 1                  ##设置SELinux 成为enforcing模式 (SELinux开启)

getenforce                     ##获取SELinux状态(permissive,enforcing,disabled)

 

当然,对于安全系数要求不高的产品,可以在cmdline中加入androidboot.selinux=0来关闭selinux

或者到Android源码的根目录下,直接修改system/core/init/init.c文件。

static void selinux_initialize(void)
{
    if (selinux_is_disabled()) {
        return;
    }
 
    INFO("loading selinux policy\n");
    if (selinux_android_load_policy() < 0) {
        ERROR("SELinux: Failed to load policy; rebooting into recovery mode\n");
        android_reboot(ANDROID_RB_RESTART2, 0, "recovery");
        while (1) { pause(); }  // never reached
    }
 
    selinux_init_all_handles();
    bool is_enforcing = selinux_is_enforcing();
    INFO("SELinux: security_setenforce(%d)\n", is_enforcing);
    security_setenforce(is_enforcing);
}
修改is_enforcing的值为0。

当然,最好的修改方法可参考http://blog.csdn.net/u013983194/article/details/50462694

修改后,然后编译mmm system/sepolicy -j30,会将devices下的selinux文件包含进去,生成的文件在system/etc/selinux/或vendor/etc/selinux/下,然后用grep进行字符串进行检索,确保修改成功,最后把相应的文件push到机器上验证。
————————————————
版权声明:本文为CSDN博主「那颗流星的秘密」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/mike8825/article/details/49428417

蓝白天际线
关注
专栏目录
Android 关闭SElinux权限
hyg55555的博客
01-09 373
【代码】Android 关闭SElinux权限
快速解决AndroidSELinux权限问题
HDDevTeam的专栏
09-20 1459
关于selinux的详细资料,请查阅http://blog.csdn.net/innost/article/details/19299937 通过如下命令: adb shell logcat | grep 'avc:'查看内核log打印的权限错误提示: avc: denied { search } for name="/" dev="tmpfs" ino=9626 scontext=
如何mount system目录为可读
dianfu5137的专栏
07-22 287
1 用mount命令看看 system的block是什么东西 2mount -o remount /dev/block/mmcblk0p9 /system 就可以了 转载于:https://www.cnblogs.com/xiaohanying/p/3205081.html
Android 5.x 权限问题解决方法
热门推荐
u013952558的专栏
03-16 1万+
Android 5.x 权限问题解决方法               一、  android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。   本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。  遇到权限问题,在logcat或者kernel的log一定会打印avc denied提示缺
androidselinux问题解决记录 一
最新发布
qq_27840511的博客
07-17 404
androidselinux问题解决记录 一
Android P SELinux (三) 权限检查原理与调试
headwind的博客
08-15 4111
目录引子一、权限检测原理1、拥有的权限2、需要的权限3、裁决4、其他二、avc denied信息分析三、调试1、快速编译和替换1.1 编译和替换1.2 load_policy2、尽量使用宏3、使用属性4、setools工具四、参考文章 引子 我们在处理SELinux权限问题的时候,avc denied信息是最关键的,那么avc denied 的打印信息要怎么看、里面的内容每一个字段是什么意思?kernel log的avc denied信息是哪里打印出来的? 以前有个想法,我们系统的操作、命令都是有限的,那其
Android 用户组权限SELinux心得总结
Mis_wenwen的博客
11-09 7962
这里要分两个部分来说,一个是Linux权限组的设定,一个是SELinux。 我们先不考虑SELinux。先单独来说Linux权限组。 因为要想对某个文件进行操作(read,write,execute等),必须先满足Linux权限组的规则,然后再满足SeLinux的allow条件,才能成功操作。 我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...
Android7.1添加开机启动服务程序关于Selinux权限问题说明
Venus 的博客
04-13 1315
当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作: 第一步,我们可以在init.rc添加了如下代码行: service xxxx /system/bin/xxxx class main user root group root oneshot seclabel u:r:xxxx:s0 #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务 编译img后烧到机器,发现服务xxx无法启动,kernel log有如下提示(例如这里新加的
详解Android Selinux 权限问题
08-28
Android 5.0及之后的版本SELinux已经被完全集成到系统安全,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4也有限制性地启用了这一...
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3235
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统干任何事情,都必
android为APK新建SELINUX权限域seapp_contexts
漂流瓶の海岸
06-23 3152
当APP需要做一些系统或系统设备相关的访问读写,新加的权限会跟android内置的neverallow规则冲突,从而造成编译不过。解决方法是为应用新建一个域,添加自定义规则,绕开编译问题
Android系统的system/app和system/priv-app
yzpbright的博客
02-09 8871
Android 4.4起引入了/system/priv-app目录概念,那么它和原来的/system/app目录有什么区别呢? 一句话答案: 只有在/system/priv-app目录下的app或者和这个目录下的app相同签名的app才可以使用android:protectionLevel=signatureOrSystem权限 Android官方文档解释 “signatureOrSystem” 级别。 android有4种权限: normal:低风险权限,只要申请了就可以使用(在AndroidM
MTK Android修改selinux允许system APP可读写sys与proc
zmlovelx(帅得不敢出门 程序员群31843264)
03-17 837
MTKAndroid 11需要为内置的APP打开读写/sys与/proc的权限
[日更-2019.5.22、23] Android 系统的分区和文件系统(二)--Android 文件系统的文件...
chunmang3386的博客
06-16 583
声明 Android系统有很多分区,每个分区内的文件系统一般都不同的,使用ADB进入系统/目录下可发现挂载这很多的目录,不同的目录可来自不同的分区及文件系统; 那么,就来分下这些目录里面的文件都是用来做什么的呢? 1 根目录 /     以我的Nexus5 cm-14.1系统启动后的根...
Android 逆向】selinux 进程保护 ( selinux 进程保护 | 宽容模式 Permissive | 强制模式 Enforcing )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-22 4133
一、selinux 进程保护、 二、宽容模式与强制模式、
Android SELinux Enforing 和 Permissive 模式切换
UPON的博客
12-28 1370
1、Running mode adb shell setenforce 1       // Enforing adb shell setenforce 0       // Permissive  2、Build mode: Ref  file :  system\core\init\Android.mk  增加定义          LOCAL_CFLAGS += -DALLOW_D...
Android SELinux配置
zxlworking1的专栏
03-06 2098
文章目录1.权限警告2.权限警告语法3.权限配置语法4.配置普通权限5.配置ioctl特殊权限6.配置新增节点权限 1.权限警告 最近在调试Androidselinux配置,主要出现了一下三种权限警告,在此记录一下 avc: denied { create } for pid=2984 comm=“test_app” path=&amp;amp;amp;amp;quot;/dev/socket&amp;amp;amp;amp;quot; scontext=u:r:tes...
android P selinux权限设置为permissive(宽容模式)
zjy764219923的专栏
10-26 3539
在device下面的BoadConfig.mk天下如下内容,表示userdebug版本设置宽容模式 ifeq ($(TARGET_BUILD_VARIANT),userdebug) BOARD_KERNEL_CMDLINE += androidboot.selinux=permissive endif
Android Q上的SeLinux权限管理与问题解决
在遇到权限问题时,可以通过查看系统日志(如使用`adb shell logcat | grep avc`命令)的avclog,以确定是否是SeLinux权限问题。例如,一条典型的avclog消息展示了pid、进程名称、试图访问的资源、当前的安全上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值