关于9.0系统Selinux权限问题报错的分析和处理

最新推荐文章于 2024-02-01 20:22:39 发布
最新推荐文章于 2024-02-01 20:22:39 发布
阅读量1.8k 收藏 2
点赞数 2
分类专栏: 系统源码定制 文章标签: Selinux Android linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w752325717/article/details/116935651
版权

Selinux简介

SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。

SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。

Android分为宽容模式(仅记录但不强制执行 SELinux 安全政策 )和强制模式(强制执行并记录安全政策。如果失败,则显示为 EPERM 错误。 );在选择强制执行级别时只能二择其一。

Selinux模式:

Enforce模式:打印异常log,拒绝请求。没有权限的请求被拒绝后 执行就会有问题。
Permissive模式:打印异常log,不拒绝请求。请求没被拒绝,执行不会出现问题。

设置SELinux:

adb shell setenforce 0   //设置后即Permissive
adb shell setenforce 1   //设置后即Enforcing

这种设置,在某些版本下需要root权限。

Selinux实际报错日志

这次遇到的问题,就是软件的串口通讯问题。这个软件在debug版系统上,运行的挺好的,切换到user系统上,通讯就会失败,会遇到权限问题导致通讯失败。日志如下:

05-14 10:24:00.144 2773 2773 I test.app: type=1400 audit(0.0:1079): avc: denied { ioctl } for path="socket:[43620]" dev ="sockfs" ino=43620 ioctlcmd=0x8933 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:r:platform_app:s0:c512,c768 tclass=socket permissive=0

分析

avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0

添加规则

allow scontext tcontext:tclass denied

添加权限

在device/mediatek/sepolicy/bsp/non_plat/platform_app.te(备注:本项目是9.0MTK6765,请依据自己项目具体定位添加位置,一般处于system/sepolicy/或device/qcom/sepolicy/)中添加:

allow platform_app platform_app:socket ioctl;

实际情况

正常情况按照上面那么加权限就行啦,但是。。。
在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便
而ioctl就是谷歌在9.0上重点限制的部分权限。这部分就是串口和通讯相关权限。
如果直接加上面的权限,会直接报错。相关修改见此博客,讲的挺好:
Android P系统编译报错SELinux违反Neverallow

最终处理方案

别的博客里的处理方案修改代码过多,而且容易连带改出其他BUG。因为我司设备有加密芯片,限制严格,我就准备从宽容模式入手,将USER版系统的Selinux模式改为宽容模式,允许通过这部分权限,来解决问题。

源码分析

system/core/init/selinux.cpp

system/core/init/main.cpp

核心代码在俩个文件内,大概流程如下:
①:main.cpp中的main函数调用selinux.cpp中的SetupSelinux:

int main(int argc, char** argv) {

        ...省略
        if (!strcmp(argv[1], "selinux_setup")) {
            return SetupSelinux(argv);
        }
        ...省略
}

②:selinux.cpp中SetupSelinux函数实现如下:

int SetupSelinux(char** argv) {

    ...省略
    SelinuxInitialize();

    ...省略
    return 1;
}

③:SetupSelinux调用了SelinuxInitialize方法。SelinuxInitialize方法代码如下:

void SelinuxInitialize() {
    ...省略
    bool kernel_enforcing = (security_getenforce() == 1);
    //判断是否强制模式
    bool is_enforcing = IsEnforcing();
    if (kernel_enforcing != is_enforcing) {
        //调用security_setenforce函数,和setenforce原理一样
        if (security_setenforce(is_enforcing)) {
            PLOG(FATAL) << "security_setenforce(%s) failed" << (is_enforcing ? "true" : "false");
        }
    }
    ...省略
}

④:IsEnforcing方法实现如下:

bool IsEnforcing() {
    if (ALLOW_PERMISSIVE_SELINUX) {
        return StatusFromCmdline() == SELINUX_ENFORCING;
    }
    return true;
}

⑤:从IsEnforcing中可以知道,如果一直返回false,那么将会关闭selinux。

最终修改,即全局强制关闭selinux:

bool IsEnforcing() {
	if(1 > 0) {
		return false;
	}
	
	if (ALLOW_PERMISSIVE_SELINUX) {
        return StatusFromCmdline() == SELINUX_ENFORCING;
    }
    return true;
}

价格1>0的判断是因为直接return false会导致系统编译不通过,不信邪的朋友可以尝试一下。

结语

自此,这个BUG算是处理完了,又学到了很多新知识,关于Selinux,关于安卓的安全防御机制。
如果你能从这篇博客中获取到有用的东西,点个赞。

AlanY3
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Android P 系统 SELinux 报错修改
BOJUE01的专栏
03-08 94
sourcecontext指的是“scontext=u:r:gocsdk:s0”的gocsdk,targetcontext 指的是“tcontext=u:object_r:device:s0” 中的device, class指的是“tclass=lnk_file”中的lnk_file,operation指的是“{}”中的create,PS:如demo仅仅是资源文件,可以直接在file_context做匹配字段,在device/fsl/imx8m/sepolicy/file.te上可以看到所有的文件类型。
RedHat SELinux系统简介及案例分析
08-10
绍RedHat SELinux系统简介及案例分析
Android14之Selinux报错:unknown type qemu_device at token (一百八十三)
最新发布
Android系统攻城狮
02-01 1640
本篇目的:在编译Android automotive车载系统时,遇到一个这样的报错,不清楚怎么引入的,但是解法很简单,分享给大家。Android平台的SELinux(Security Enhanced Linux)是一种基于Linux内核的安全增强技术,由美国国家安全局(NSA)发起并得到Red Hat、Tresys等公司的支持。SELinux的主要目的是在Linux操作系统上实现强制访问控制(Mandatory Access Control,MAC),以提高系统的安全性。
CentOS 7系统SELinux阻止MongoDB启动的问题详解
12-16
问题描述: 最近发现了一个问题,在新装的CentOS7上,安装了MongoDB3.4,挂载了一个大的数据盘后,修改/etc/mongo.conf,将配置文件中的log和data目录放在新的数据盘下,并修改文件的访问权限。 改完后的mongo.conf: # mongod.conf # for documentation of all options, see: # http://docs.mongodb.org/manual/reference/configuration-options/ # where to write logging data. systemLog: destinat
详解Android Selinux 权限问题
08-28
本篇文章主要介绍了详解Android Selinux 权限问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
selinux 权限文档
09-11
SEAndroidSELinux in Android的缩写。SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA)开发,已经被集成到2.6版的Linux核心之中,现已有十几年的开发和使用历史,是Linux上最杰出的安全子系统
Android Q 平台 增加文件ioctlSElinux权限
sinat_37343534的博客
04-25 2308
Android Q 平台 增加文件ioctlSElinux权限 示例问题avc: denied { ioctl } for path="/**/**" dev="**" ino=4026533781 ioctlcmd=0x6601 scontext=u:r:gap**:s0 tcontext=u:object_r:proc**:s0 tclass=file permissive=0 按照Android Q之前的selinux规则,只需要添加ioctl权限即可 allow gap** proc**:
Android avc: denied 深入沟兑01(ioctl)
小猪六月的博客
04-09 1811
1, ioctlcmd & ioctl avc: denied { ioctl } for comm="bmpdump" path="socket:[159003]" dev="sockfs" ino=159003 ioctlcmd=0x8946 scontext=u:r:unlogger_bmpdump:s0 tcontext=u:r:unlogger_bmpdump:s0 tclass=unix_dgram_socket permissive=0 04-08 13:45:44.194 ...
Android8.0 SELinux详解
热门推荐
从0到1,突破自己
02-08 3万+
该文档意译自Android官方 《SELinux for Android 8.0》,主要描述了SELinux策略在AndroidO版本上发生的一些变化,在AndroidO版本上,SELinux的客制化设计支持SELinux策略的模块化和可更新性。其设计目标是为了芯片厂商和ODM厂商在能够独立的客制化SELinux配置。官方文档请移步:http://download.csdn.net/downloa...
Android——SELinux 权限简介
Yawn
06-23 1931
1. 问题 1.问题log E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0 I auditd : avc: denied { find } for service=display pid=3015 uid=1046
SELinux之解决avc denied
m0_46211029的博客
03-28 4545
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC SELinux工作模式 SELinux 有三种工作模式,分别为: enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻...
Linux安全机制之Selinux
陈子陌的博客
11-20 3880
一、引言 1.1、什么是Selinux Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。Selinux是一种MAC(强制访问控制)安全机制,是对传统DAC(直接访问控制)机制的加强,而非替换,定义传统进程对文件对象的访问权限,如果不满足则无法执行,不管当前是什么用户。 本文下面讲的类似内容,有安卓源码的小伙伴可以到类似目录(android/device/softwinne
Android ADB关闭Selinux
奋斗之路
10-23 1万+
在eng/userdebug版本中 使用setenforce 命令进行设置: adb shell setenforce 0 //设置成permissive 模式 adb shell setenforce 1 //设置成enforce 模式 注意此方法重启后失效 在eng/userdebug/user 版本中 使用getenforce 命令查询当前权限状态,如: adb shell getenfor...
SElinux(Security-Enhanced Linux
修电脑的码农
01-29 1364
SELinux是由美国国家安全局开发的,目的避免资源的误用。 传统的文件与账户的关系:自主式访问控制DAC(Discretionary Access Crontrol)基本上就是依据进程的拥有者与文件的-RWX权限决定有无存取的能力, 不过这种机制有几个问题不安全:     1.root用户拥有最高权限,如果某只进程被他人取得root的权限,那么这个进程就可以进行任何资源操作。
SeLinux 权限配置技巧
xiaowang_lj的博客
08-22 1507
需要在 system\sepolicy\public\ioctl_defines 下查找 ioctcmd 对应的类型 ,先声明ioctl再声明ioctl的子类型。配置格式:allow scontext tcontext。tclass {缺少的权限};
selinux权限问题
xiaolifeidaofirst的博客
05-30 1297
neverallow user_t shadow_t:file write; 这条neverallow规则可以有效地阻止我们在策略中添加一条允许user_t对类型为shadow_t的文件进行写操作的规则, 如果添加了这样的规则在编译时就会报错,这条规则不会移除访问权,它只是会产生编译错误。我们在编写策略时,neverallow规则往往放在allow规则前面,首先声明哪些访问是明确地被拒绝的,然后再声明哪些访问是可以接受的,这样就可以预防我们人为出错了。 neverall...
Android SELinux开发入门指南之权限解决万能规则
IT先森
07-04 3462
  Android SELinux开发入门指南之权限解决万能规则 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。今天将带领读者一起看看的是Android开启SELinux后,有没有一种通用...
Android 各版本关闭 Selinux 的方法
Change The World
05-09 1万+
运行时调试开关 Selinux   Cmd Discription Other adb shell getenforce 查看当前 Selinux 功能是 permissive(关闭)还是 enforce(打开)的 adb shell setenforce 0 开Selinux:设置成模式permissive adb shell setenforce 1 关Selinux:设置成模式enforce 说明:setenforce 修改的状态在设备重启后会失效,需要重新执行命令重
android selinuxavc denied权限和编译报neverallow解决方案
楼中望月
06-02 6809
android avc denied解决方案,以及nerverallow编译报错解决方案
rockylinux9.0关闭selinux
04-01
要关闭Rocky Linux 9.0上的SELinux,请按照以下步骤操作: 1. 登录到Rocky Linux 9.0服务器上的root帐户。 2. 打开SELinux配置文件/etc/selinux/config,可以使用nano或vim编辑器打开该文件: ``` nano /etc/selinux/config ``` 3. 将SELINUX=enforcing更改为SELINUX=disabled。 4. 保存并关闭文件。 5. 重新启动服务器以使更改生效: ``` reboot ``` 6. 验证SELinux是否已关闭。运行以下命令: ``` sestatus ``` 如果输出结果为“SELinux status: disabled”,则SELinux已关闭。 请注意,关闭SELinux可能会降低服务器的安全性,因此建议仅在必要时才关闭它。如果您需要更好的安全性,请考虑通过修改SELinux策略来进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值