android selinux 编译,Android应用开发Android SElinux相关

最新推荐文章于 2024-08-16 09:44:42 发布
最新推荐文章于 2024-08-16 09:44:42 发布
阅读量694 收藏 1
点赞数
文章标签: android selinux 编译

本文将带你了解Android应用开发Android SElinux相关,希望本文对大家学Android有所帮助。

"

SEAndroid app分类

SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):

untrusted_app 第三方app,没有Android平台签名,没有system权限

platform_app 有android平台签名,没有system权限

system_app 有android平台签名和system权限

从上面划分,权限等级,理论上:untrusted_app < platform_app < system_app

权限规则增加:

adb logcat | grep avc

查看对应的缺少的log

或者adb shell进入提示后

dmesg | grep avc

1.标志性log 格式

avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0

tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0

在相应源类型.te文件,添加如下格式的一行语句:(结尾别忘了分号)

格式:allow 源类型 目标类型:访问类型 {操作权限};

搜索到权限阻止的log.比如:

avc: denied { set } for property=battery.level

scontext=u:r:system_server:s0 tcontext=u:object_r:default_prop:s0

tclass=property_service

则将这行添加在后面的3个目录中,

allow system_server default_prop:property_service { set };

有时候avc denied的log不是一次性显示所有问题,要等你解决一个权限问题之后,才会提示另外一个权限问题。

加在任何一个文件中都有效,但是要尽量保持的source和已存在的文件名一致。

external/sepolicy

device/intel/sepolicy /

添加后的尝试编译语法是否有错:

mmm -B external/sepolicy

如果不报错则make bootimage可编译生效。

现在我们需要在有系统签名的应用(platform_app)通过JNI中访问自定义的设备节点: /dev/graphics/fb3。

log类似于: avc: denied { read write } for name=“/dev/graphics/fb3” dev=“tmpfs”

ino=8245 scontext=u:r:platform_app:s0:c512,c768

tcontext=u:object_r:graphics_device:s0 tclass=chr_file permissive=0

首先更改设备节点 /dev/graphics/fb3 的权限为666(在 system/core/rootdir/ueventd.rc

添加)

/dev/graphics/fb3 0666 root graphics

编辑 device/intel/sepolicy/file_contexts

仿照这个文件里的写法,定义节点fb3。(这样做的好处是不改变系统原有的权限)

/dev/graphics/fb3 u:object_r:display_graphics_device:s0

修改 device/intel/sepolicy/device.te

type display_graphics_device, dev_type, mlstrustedobject;

修改 device/intel/sepolicy/platform_app.te

allow platform_app display_graphics_device:chr_file rw_file_perms;

"

本文由职坐标整理并发布,希望对同学们有所帮助。了解更多详情请关注职坐标移动开发之Android频道!

刘兮mkq0.01~
关注
Android SElinux认知与调试
u013391407的专栏
01-27 2161
Linux 内核资源访问控制分为 DAC(Discretionary Access Control,自主访问控制)和MAC(Mandatory Access Control,强制访问控制)两类。 DAC 基于“用户-用户组-其他”的“读、写、执行”的权限检查,进程理论上所拥有的权限与执行它的用户的 权限相同,该管理过于宽松,如果获得 root 权限,可以在 Linux 系统内做任何事情。
AndroidSELinux详解
achirandliu的专栏
06-07 946
AndroidSELinux详解
Android系统SELinux简单整理
weixin_40366279的博客
04-20 5638
SELinux分成了两部分,位于 /system/sepolicy 下的 platform 部分和位于 /device/vendorXXX/sepolicy 下的 vendor 部分。 对应开发板子上目录 /system/etc/selinux 下的 platform 部分和位于 /vendor/etc/selinux 下的 vendor 部分。 >>>>>> 哪些是 coredomain ??? Coredomain 是 attribute(属性),属于 domain
selinux交叉编译
05-19
交叉编译selinux及其依赖lib
SeAndroid 简介 安全策略配置
最新发布
chenhao0568的专栏
08-16 284
深入理解SELinux SEAndroid(最后部分)
热门推荐
Innost的专栏
02-23 4万+
接第二部分的内容(http://blog.csdn.net/innost/article/details/19641487)SEAndroid最后一部分全文PDF下载地址为:http://vdisk.weibo.com/s/z68f8l0xZUS9w     深入理解SELinux/SEAndroid(结局)二  SEAndroid源码分析有了上文的SELinux的基础知识,本节再来看看Googl
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3162
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
Android P SELinux (二) 开机初始化与策略文件编译过程
headwind的博客
08-14 3784
本文主要围绕二进制策略文件的加载和编译过程 我们写的te规则,到底生成在哪里了?开机之后又是怎么加载使用的? 目录一、SELinux开机初始化1. init.cpp2. selinux.cpp2.1 SelinuxSetupKernelLogging2.2 SelinuxInitialize2.3 checkreqprot2.4 LoadPolicy2.5 LoadSplitPolicy2.6 FindPrecompiledSplitPolicy二、SELinux Policy编译3. 二进制策略文件的生成
SeLinux编译逻辑
littleyards的博客
04-02 1004
收集 PLAT_PRIVATE_POLICY和 PLAT_PUBLIC_POLICY 目录下的 文件,通过transform-policy-to-conf 进行宏展开,得到plat_policy.conf文件。一文中,我们知道,在init进程对Selinux的处理过程中,会将precompiled_sepolicy或者动态编译相关目录下的cil文件得到的compiled_sepolicy写入给内核。再来看一下cil文件的生成过程,以built_plat_cil 为例,其它的都类似。最终根目录系统结构为。
详解Android Selinux 权限及问题
08-28
Android系统中的SELinuxSecurity-Enhanced Linux)是一种安全机制,用于强制访问控制(MAC)策略,以提供更详细的访问控制。在Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root...
Android SELinux
学无止境
12-21 2444
SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。强制模式:权限拒绝事件会被记录下来并强制执行。
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
linux-selinux功能及源码分析
03-22
该书详细介绍了linux中关于selinux部分功能的实现流程和关键代码分析
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3235
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
Android P SELinux (一) 基础概念
headwind的博客
08-14 3836
在处理了一些SELinux相关的问题之后,深深厌恶这个东西,一打开就报一大堆权限问题,添加te权限还特别麻烦,第一次搞下来没有1-2天是不行的。 抽时间查阅相关资料后,结合理论知识和源码进行分析,随着在项目中不断处理了一些CTS neverallow的失败项,慢慢地对SELinux有了更深入的理解,接下来的内容将分别介绍基础概念、SELinux开机初始化、SELinux编译相关和实际案例分享,让大家对SELinux有更加深入的认识。 学习一个模块的东西,我更喜欢从实际的问题出发去探索,因为目标很明确,不会.
android SElinux
橘子熊v
05-05 1538
android SElinux
[Android 基础] -- SELinux For Android (Android O)
u014674293的博客
08-11 3093
改为当意译自 Android 官方 《SELinux for Android 8.0》
Android seLinux单编方法
u010117864的专栏
11-20 2758
Android P上如果修改了selinux的内容, 可以通过以下方法来验证是否生效: 1. 单编system/sepolicy mmm system/sepolicy 2. push system/etc/selinux 和 vendor/etc/selinux 到手机里面, 并重启手机. adb push $(PRODUCT_OUT)/system/etc/selinux /system/etc/ adb push $(PRODUCT_OUT)/vendor/etc/.
Android 移动设备安全:使用 SELinux 保护
3. 然后,需要将 SELinux 移植到 Android 平台上,包括编译和安装 SELinux 模块、配置 SELinux 策略和加载策略。 4. 最后,需要根据 Android 的架构和需求进行测试和验证,包括测试 SELinux 策略的正确性和安全性。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值