[Android]通过‘avc denied‘日志信息添加SELinux规则

最新推荐文章于 2024-05-07 13:47:22 发布
最新推荐文章于 2024-05-07 13:47:22 发布
阅读量3.1k 收藏 8
点赞数 1
分类专栏: Android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014175785/article/details/122198346
版权

[Android]通过’avc denied’日志信息添加SELinux规则

前言

本文仅讨论如果通过’avc denied’日志信息,确定缺失的SELinux规则。
暂不讨论:

  • 添加的SELinux规则是否存在权限放大;
  • 添加的SELinux规则是否触犯neverallow;

(有时间再补上这两部分,挖坑+1…)

背景

最近在跑CTS,有些Fail项与SELinux有关,这里举个例子:

cts-tf > run cts -m CtsNetTestCases -t android.net.ipv6.cts.PingTest#testLoopbackPing
...
12-28 14:05:50 I/ModuleListener: [1/1] android.net.ipv6.cts.PingTest#testLoopbackPing fail:

android.system.ErrnoException: socket failed: EACCES (Permission denied)
    at libcore.io.Linux.socket(Native Method)
    at libcore.io.BlockGuardOs.socket(BlockGuardOs.java:311)
    at android.system.Os.socket(Os.java:549)
    at android.net.ipv6.cts.PingTest.createPingSocket(PingTest.java:90)
    at android.net.ipv6.cts.PingTest.testLoopbackPing(PingTest.java:162)
    at java.lang.reflect.Method.invoke(Native Method)
    at junit.framework.TestCase.runTest(TestCase.java:168)
    at junit.framework.TestCase.runBare(TestCase.java:134)
    at junit.framework.TestResult$1.protect(TestResult.java:115)
    at androidx.test.internal.runner.junit3.AndroidTestResult.runProtected(AndroidTestResult.java:73)
    at junit.framework.TestResult.run(TestResult.java:118)
    at androidx.test.internal.runner.junit3.AndroidTestResult.run(AndroidTestResult.java:51)
    at junit.framework.TestCase.run(TestCase.java:124)
    at androidx.test.internal.runner.junit3.NonLeakyTestSuite$NonLeakyTest.run(NonLeakyTestSuite.java:62)
    at androidx.test.internal.runner.junit3.AndroidTestSuite$2.run(AndroidTestSuite.java:101)
    at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:458)
    at java.util.concurrent.FutureTask.run(FutureTask.java:266)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1167)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:641)
    at java.lang.Thread.run(Thread.java:764)
    ...
12-28 14:05:51 I/ConsoleReporter: [*****] armeabi-v7a CtsNetTestCases completed in 9s. 0 passed, 1 failed, 0 not executed

确认是不是SELinux规则拒绝的最直接方法:执行 adb shell setenforce 0后再试一次,如果PASS则说明是SELinux规则问题;

此题即是如此:通过userdebug版本,在执行完 adb shell setenforce 0后再次测试,结果PASS;

抓取信息

分析SELinux规则拒绝的问题,优先考虑过滤日志中的avc denied字段;

$ adb logcat -b all | grep avc > ~/avc.log

顺利的话

可以看到如下字样:

12-28 14:05:50.609  9763  9763 W AndroidTestSuit: type=1400 audit(0.0:8127): avc: denied { create } for scontext=u:r:untrusted_app:s0:c61,c256,c512,c768 tcontext=u:r:untrusted_app:s0:c61,c256,c512,c768 tclass=icmp_socket permissive=0

如果没看到

抓取完整日志:

$ adb logcat -b all > ~/log.txt

然后查看测试项Fail时间段的日志,查看是否存在如下信息:

01-01 00:51:20.421     0     0 W audit   : audit_lost=77629 audit_rate_limit=5 audit_backlog_limit=64
01-01 00:51:20.421     0     0 E audit   : rate limit exceeded

这个表示,audit记录了5条avc denied的行为,略去了后续发生的avc denied,因此logcat没有显示出需要的信息;

要将这些过滤掉的信息打印出来,可以尝试如下修改:

$ nano system/core/logd/libaudit.c

int audit_setup(int fd, pid_t pid) {
	...
    status.mask = AUDIT_STATUS_PID/* | AUDIT_STATUS_RATE_LIMIT*/; //去掉AUDIT_STATUS_RATE_LIMIT这个mask
	...
}

重新编译logd,push进去重启即可生效;

分析

简易版

以Ubuntu为例,如果执行audit2allow提示没有安装,则执行:

$ sudo apt install policycoreutils

安装完成后,执行:

$ audit2allow -i ~/avc.log

即可解析出需要添加的规则:

#============= untrusted_app ==============
allow untrusted_app self:icmp_socket create;

将其添加到对应的untrusted_app.te文件中,编译即可生效;

进阶版

根据日志手动分析:

12-28 14:05:50.609  9763  9763 W AndroidTestSuit: type=1400 audit(0.0:8127): avc: denied { create } for scontext=u:r:untrusted_app:s0:c61,c256,c512,c768 tcontext=u:r:untrusted_app:s0:c61,c256,c512,c768 tclass=icmp_socket permissive=0

格式化成如下信息:

ops={ create } 
scontext=u:r:untrusted_app:s0:c61,c256,c512,c768
tcontext=u:r:untrusted_app:s0:c61,c256,c512,c768
tclass=icmp_socket

拼接格式如下:

allow ${scontext} ${tcontext}:${tclass} ${ops};

即:

allow untrusted_app untrusted_app:icmp_socket {create};

又由于:

  • scontext此处与tcontext一致,因此后者可以用self代替;
  • ${ops}为单一操作,可以不带花括号;

由此可得:

allow untrusted_app self:icmp_socket create;

audit2allow分析出的结果一致;

Ryan ZHENG
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1244
使用audit2allow工具来根据avc log生成selinux规则
分析SELinux日志,排除SELinux疑难
chuyanwen8507的博客
03-25 769
觉得有用请顶一下,谢谢 你终有一天会被 SELinux 阻止你访问所需的东西,而且要解决这个问题。SELinux 拒绝某个文件、进程或资源被访问的基要原因有数个: 1 一个被错误标签的文件 2 一个进程在错误的 SELinux 安全性脉络下运行 3 政策出错。某个...
Android avc错误处理
itcolossus的专栏
11-13 2143
1、首先从设备上pull出policy文件 adb pull /sys/fs/selinux/policy 2、ubuntu下安装audit2allow工具 sudo apt install policycoreutils-python-utils 3、获取机器上的avc错误: dmesg | grep avc >/data/avc.txt adb pull /data/avc.txt ./ 4、通过命令生成policy文件 audit2allow -i avc.txt -p pol
安卓SELinux策略
最新发布
似霰的博客
05-07 431
安卓SELinux策略
Android seLiunx权限问题(avc dennied)解决方法
Crazy程序猿
03-29 2700
Android seLiunx 调试方法
Android10.0 日志系统分析(四)-selinux、kernel日志在logd中的实现​-[Android取经之路]
IngresGe 的专栏
02-12 8597
摘要:本节主要来讲解Android10.0 selinux、kernel日志在logd中的实现,包括LogAudit、LogKlog的源码分析 阅读本文大约需要花费15分钟。 文章首发微信公众号:大猫玩程序 专注于Android系统级源码分析,Android的平台设计,欢迎关注我,谢谢! [Android取经之路的源码都基于Android-Q(10.0) 进行分析] 系列文章: [...
SELinux已经允许,为什么日志显示的仍然是denied
weixin_30399821的博客
09-03 295
日志可以看到,SELinux的Mode已经修改位了permissive = 1,也就是允许模式,但它前面的日志仍然显示的是“denied"。本来我还以为是自己哪里没弄好导致的这个问题,但访问了Gentoo wiki上面的介绍后才知道,它就是这样设计的。 资源: https://wiki.gentoo.org/wiki/Main_Page https:/...
jupyter notebook 添加kernel permission denied的操作
09-17
主要介绍了jupyter notebook 添加kernel permission denied的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
selinux权限修改.pdf
03-26
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常...遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破:
Android Studio出现Failed to pull selection: open failed: Permission denied的解决思路
08-27
本篇文章给大家分享了Android Studio中导出数据库文件的方法以及出现Failed to pull selection: open failed: Permission denied的解决思路,有兴趣的学习下。
Android NDK 获取手机部分信息 build.prop
01-20
Android NDK中,可以通过JNI(Java Native Interface)调用C/C++函数来访问这些信息。以下是一些关键的`build.prop`属性及其含义: 1. `ro.build.id`: 这个字段标识了Android系统的版本ID,通常与特定的Android...
xamarin-android-ffmpeg:Xamarin Android FFMpeg绑定
02-06
xamarin-android-ffmpeg Xamarin Android FFMpeg绑定 对于Android 6.0及更高版本,请使用Xamarin.Android.MP4Transcoder 从Android 6.0开始,严格禁止text relocations , ffmpeg使用的许多源文件都使用text ...
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1224
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限。SELinux的权限不足。
修改了selinux权限却依然报avc: denied的错误
qq_35141454的博客
10-10 1698
在上篇文章中,https://blog.csdn.net/qq_35141454/article/details/102462971,让应用程序实现了对spi设备的读写。接着去尝试让引用程序去读写系统自带的i2c接口,在dev下,有两个i2c节点:i2c-2和i2c-3。 按照上篇文章所述去修改相应的te文件,编译内核报错,大概就是重定义了。于是我查看了i2c节点属...
linux文件组 avc: denied { dac_read_search } for capability=2
xiaowang_lj的博客
10-07 885
1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。当前运行的进程的UID很多样,root,system,radio,u0_a*等等,通过”ps -e” 可以看到,Android系统中存在很多User。输入 上面的命令查看 android.xxxtest 进程的信息。将我们的service 在group中添加需要的组即可。其中前缀为u0_a代表的是APP进程的UID。可以看到9997 是everybody 组。首先查找进程的id号,这里是7867。
根据“avc: denied“的log添加selinux权限还是提示没有相应的权限问题
pan0755的博客
06-29 960
...
Android Debug: avc denied 已存在的目录不能访问
04-24 754
scontext指的是域,对应的是te文件 上面报错这条对应te文件是untrusted_app.te, scontext全写是source_type context;tcontext指的是目标类型,上面报错这条对应的是目标类型system_file,tcontext全写是target_type context;denied后面{}里的是要执行的动作,比如append,open,execmod,link等等。tclass指的是类别,上面报错这条对应的是类别是file,源类型 目标类型:访问类别 {权限};
Android avc: denied 深入沟兑02(dac_read_search)
小猪六月的博客
04-09 1791
dac_read_search与规避neverallow The dac_override denial issue means that the offending process is trying to access a file with the wrong user/group permissions.The correct solution almost never grants dac_override policy, becasue if this process is not in "
Android O/P/Q SELinux avc dennied权限问题分析与解决
weixin_39280491的博客
04-16 1854
Android O/P/Q SELinux avc dennied权限问题分析与解决1.概述2.确认SELinux问题3.案例分析案例1案例2案例3案例44.万能公式5.归纳6.第三方进程改新增全新的te文件并赋予权限6.1新设备节点增加访问权限6.2新文件/目录增加访问权限 1.概述 Android SELinux是Google从android L 开始,强制引入的一套非常严格的权限管理机制,主...
android13 Permission denied
11-30
根据提供的引用内容,无法确定android13 Permission denied的具体情况。请提供更多信息或上下文以便更好地回答您的问题。如果您遇到了类似的权限问题,您可以尝试以下解决方法: 1. 检查您的应用程序是否已经声明了所需的权限。您可以在AndroidManifest.xml文件中查找是否已经声明了android.permission.SYSTEM_ALERT_WINDOW权限。 2. 如果您的应用程序已经声明了所需的权限,但仍然无法获得所需的权限,请尝试在运行时请求权限。您可以使用以下代码请求权限: ```java if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M && !Settings.canDrawOverlays(this)) { Intent intent = new Intent(Settings.ACTION_MANAGE_OVERLAY_PERMISSION, Uri.parse("package:" + getPackageName())); startActivityForResult(intent, REQUEST_CODE); } ``` 3. 如果您的应用程序需要在后台运行,您还需要在AndroidManifest.xml文件中声明android.permission.WAKE_LOCK权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值