selinux dac_override/dac_read_search问题处理思路

最新推荐文章于 2024-04-20 18:57:00 发布
最新推荐文章于 2024-04-20 18:57:00 发布
阅读量3.5k 收藏 10
点赞数 1
分类专栏: selinux
原文链接:https://blog.csdn.net/donald_zhuang/article/details/108786482
版权

dac_override/dac_read_search问题处理思路
1. 修改被访问文件权限
2. 调整访问者权限
3. 注意文件目录权限控制,调整被访问文件路径

 dac_override和dac_read_search是我们偶尔会遇到的一类selinux warning,不同于其他大部分denied可以直接加对应权限修正,这类warning则需要通过改code或修改文件权限来处理,谷歌官方文档在 SELinux政策 中有如下一段说明:
dac_override 拒绝事件意味着违规进程正在尝试使用错误的 unix user/group/world 权限访问某个文件。正确的解决方案几乎从不授予 dac_override 权限,而是更改相应文件或进程的 unix 权限。有些域(例如init、vold 和 installd)确实需要能够替换 unix 文件权限才能访问其他进程的文件。要查看更深入的讲解,请访问 Dan Walsh 的博客。
— — 来自 google官方文档 <授予 dac_override 权限 >

因此,修正如上问题的解法就是让进程以正确的身份通过正确的权限访问文件。为此,我将通过如下三个案例来分享下,一般如何修这类warning。

1. 修改被访问文件权限
第一个例子的selinux warning如下。通过log,我们可以看到3685进程AAAA_Callback,在kernel space访问文件被selinux拦。

avc: denied { dac_override } for pid=3685 comm="AAAA_Callback" capability=1 scontext=u:r:kernel:s0 tcontext=u:r:kernel:s0 tclass=capability permissive=1

首先确认被访问文件的权限情况,通过ls命令可以看到,system group和system user是具有读写权限,others没有任何权限。

console:/ $ ls -l /dev/DevNode
crw-rw---- 1 system system 186,   0 2000-01-01 08:00 /dev/DevNode

通过ps命令,我们可以看到3685进程AAAA_Callback是kthreaddd产生的kernel线程,是root user,结合2)中权限管控,root属于others,因而出现dac_override问题,无法访问

console:/ # ps 3685
USER           PID  PPID     VSZ    RSS WCHAN            ADDR S NAME
root          3685     2       0      0 msleep_interruptible 0 S [AAAA_Callback]

评估/dev/DevNode会被多个进程访问,而这些进程都是system group,都可以访问到,因此可以通过uevent.rc中改节点的owner为root user,这样就可以让AAAA_Callback访问到;同时考虑到客户未来可能在用户空间中访问这个设备节点,一并将others的权限改为rw,方便客户开发。
最终修改就是将ueventd.rc中,/dev/localdimming 0660 system system改为 /dev/localdimming 0666 root system

2 调整访问者权限
 这个问题是在开发一个新功能时遇到的,对应服务运行时报无法访问块设备,从selinux rules看,需要添加如下规则。

allow kernel self:capability { dac_override dac_read_search };

通过ls命令可以看到被访问文件权限如下,考虑到安全性问题,不可调整文件权限,那也就是需要调整访问者的身份和权限了。

console:/ # ls -lZ /dev/block/mmcblk0p2
brw-rw---- 1 root drmrpc u:object_r:aaaa_bbbb_block_device:s0 179,   2 2020-09-23 02:58 /dev/block/mmcblk0p2

文件对应的访问者是init.rc启动的一个服务,从1可以看出文件的drmrpc group有读写权限,因此我们可以通过给对应服务加权限组,即可使之正常访问文件,即如下group的配置中,添加drmpc权限组即可。


# service for cc
service ccdaemon /vendor/bin/ccdaemon
    setenv LD_LIBRARY_PATH /vendor/lib
    class core
    console
    oneshot
    group system audio drmrpc
    seclabel u:r:ccdaemon:s0

3. 注意文件目录权限控制,调整被访问文件路径 
上面两个例子都隐含一个文件夹权限问题,由于访问者恰好有文件夹访问权限或新加修改刚好能cover到该权限,所以调整完即可正常访问。但实际上,当出现dac_read_search这个warning的时候,我们是要注意下访问者是否有文件夹的访问权限的。
我在设计一个功能的时候,有个环节就是将相关中间文件存储在/cache/recovery下,并赋予666权限,保障所有用户都能访问到,但实际运行时,在kernel space访问文件还是报了如下错误。


[   17.536854] <ERR>task_UpgradeAaaaFw[10956]: Open /cache/recovery/AaaaUpgrade.bin Failed
[   17.537386] type=1400 audit(1600844272.283:25): avc: denied { dac_read_search } for comm="Upgrade_Aaaa_FW" capability=2 scontext=u:r:kernel:s0 tcontext=u:r:kernel:s0 tclass=capability permissive=0
[   17.537407] type=1400 audit(1600844272.283:26): avc: denied { dac_override } for comm="Upgrade_Aaaa_FW" capability=1 scontext=u:r:kernel:s0 tcontext=u:r:kernel:s0 tclass=capability permissive=0

通过一级一级检查文件夹权限,我们可以看到,文件夹都是system:cache,因此即便文件是root:root且为666权限,kernel进程仍无法访问到文件。

console:/cache/recovery # ls -lZ
-rw-rw-rw- 1 root   root   u:object_r:cache_recovery_file:s0 1071594 2020-09-23 02:54 AaaaUpgrade.bin
console:/ # ls -lZ
drwxrwx---   6 system cache  u:object_r:cache_file:s0                 4096 1999-12-31 19:00 cache
console:/cache # ls -lZ
drwxrwx--- 2 system cache  u:object_r:cache_recovery_file:s0        4096 2020-09-23 02:54 recovery
console:/cache/recovery # ls -lZ
-rw-rw-rw- 1 root   root   u:object_r:cache_recovery_file:s0 1071594 2020-09-23 02:54 AaaaUpgrade.bin

众所周知,/cache/recovery是系统目录,其目录权限是在/init.rc中设定,如下。这个目录不仅涉及到多个功能,且init.rc属于framework的code,故不建议修改init.rc来调整其权限。那对应的修改方式也就是在自行实现的功能代码上下手,后面我换了一个符合权限需求的路径,正常调通了功能。

console:/cache/recovery # ls -lZ
-rw-rw-rw- 1 root   root   u:object_r:cache_recovery_file:s0 1071594 2020-09-23 02:54 AaaaUpgrade.bin
console:/ # ls -lZ
drwxrwx---   6 system cache  u:object_r:cache_file:s0                 4096 1999-12-31 19:00 cache
console:/cache # ls -lZ
drwxrwx--- 2 system cache  u:object_r:cache_recovery_file:s0        4096 2020-09-23 02:54 recovery
console:/cache/recovery # ls -lZ
-rw-rw-rw- 1 root   root   u:object_r:cache_recovery_file:s0 1071594 2020-09-23 02:54 AaaaUpgrade.bin


参考网址:

https://source.android.com/security/selinux/device-policy?hl=zh-cn
https://danwalsh.livejournal.com/69478.html

Sunnie_ge
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
selinux_internal.rar_SELinux_The First
09-14
Call handler iff the first call.
SELinux: capabilites{dac_override} 权限
黑山老妖
08-06 1万+
Linux支持Capability的主要目的是细化root的特权,使一个进程能够以“最小权限原则”去执行任务。比如拿ping程序来说,它需要使用原始套接字(raw_sockets),如果没有Capability,那么它就需要使用root特权才能运行;如果有了Capability机制,由于该程序只需要一个CAP_NET_RAW的Capability即可运行,那么根据最小权限原则,该程序运行时可以丢弃所
Android-SeLinux安全策略
最新发布
qq_46422460的博客
04-20 970
DAC(Discretionary Access Control,翻译为自主访问控制)DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同,比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC(Mandatory Access Control,翻译为强制访问控制)MAC的核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限
selinux dac
xiaowang_lj的博客
10-09 391
通过ps命令,我们可以看到3685进程AAAA_Callback是kthreaddd产生的kernel线程,是root user,结合2)中权限管控,root属于others,因而出现dac_override问题,无法访问。文件对应的访问者是init.rc启动的一个服务,从1可以看出文件的drmrpc group有读写权限,因此我们可以通过给对应服务加权限组,即可使之正常访问文件,即如下group的配置中,添加drmpc权限组即可。因此,修正如上问题的解法就是让进程以正确的身份通过正确的权限访问文件。
Linux 提权总结
weixin_50464560的博客
05-01 1604
https://cloud.tencent.com/developer/article/1942516 sudo 和 suid 提权何为suid可见在权限位置有一个s权限。那么这个s的作用是什么呢? 答案是当其他用户执行该文件时,该文件会以root的身份执行。 这里就涉及到了Effective UID和Real UID以及Saved UID Effective UID: 程序实际操作时生效的UID Real UID: 执行该程序的用户的实际UID Saved UID: 在高权限用户降权后,保留的其原本UID
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
Android P SElinux权限调试
Kian_G 的博客
04-21 6557
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
netlabel.rar_Linux/Unix编程_Unix_Linux_
08-11
SELinux interface to the NetLabel subsystem.
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
SELinux notebook 4th edition
Linux-Security-Module.rar_LSM_SELinux_linux lsm
09-19
linux下安全框架LSM的介绍性资料,主要讲解了LSM框架中各种钩子函数,及其selinux的实现。
selinux-example_SELinux_
09-28
linux selinux development
linux文件组 avc: denied { dac_read_search } for capability=2
xiaowang_lj的博客
10-07 802
1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。当前运行的进程的UID很多样,root,system,radio,u0_a*等等,通过”ps -e” 可以看到,Android系统中存在很多User。输入 上面的命令查看 android.xxxtest 进程的信息。将我们的service 在group中添加需要的组即可。其中前缀为u0_a代表的是APP进程的UID。可以看到9997 是everybody 组。首先查找进程的id号,这里是7867。
dac_override denied android sepolicy问题处理
Summer Breeze 夏日微风
11-18 2274
0. Log: 11-17 20:56:59.504 687 687 W XXX_service: type=1400 audit(0.0:489): avc: denied { dac_override } for capability=1 scontext=u:r:XXX_service:s0 tcontext=u:r:XXX_service:s0 tclass=capability permissive=0 dac_override【自主访问控制(DAC,Discretionary Acc..
Android avc: denied 深入沟兑02(dac_read_search
小猪六月的博客
04-09 1663
dac_read_search与规避neverallow The dac_override denial issue means that the offending process is trying to access a file with the wrong user/group permissions.The correct solution almost never grants dac_override policy, becasue if this process is not in "
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2681
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
android 11添加property遇到的selinux问题
weixin_32104133的博客
12-18 7907
android 11 项目中添加新的property启动sh脚本,遇到如下几个问题问题1 :coredomaim编译报错 The following domain(s) must be associated with the "coredomain" attribute because they are executed off of /system: addnewservice 此处log 提示 addnewservice必须是coredomain类型的,为此我们在system/seploicy/p
android 8.0 添加开机服务
csh86277516的博客
03-16 5025
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
selinux dac_override
10-18
SELinux是一种安全增强的Linux内核模块,它可以限制进程的访问权限,包括文件、网络、进程等。而dac_overrideSELinux中的一个安全策略,它可以允许进程绕过文件权限检查,即使进程没有文件的读写权限,也可以读写该文件。这个安全策略通常只在特定的情况下使用,比如在进行系统调试或者进行特殊操作时。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值