android P 修改sysfs的 u:object_r:失效问题分析

最新推荐文章于 2024-03-18 19:29:34 发布
最新推荐文章于 2024-03-18 19:29:34 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32104133/article/details/107000946
版权

本文参考https://blog.csdn.net/pen_cil/article/details/89434349
部分修改
我在Android P项目上遇到和Kian_G类似的问题,但是按照他文档的描述并没有完全解决u:object_r:sysfs:so 切换成我自定义my_sysfs。
如下部分为参考部分
在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便
开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控制“data”分区文件和“sys”文件节点状态。因此该功能涉及到selinux权限有两部分,一部分是sys下的权限,一部分是data下的权限
在userdebug下SElinux 权限调试模式
由于该功能在开机阶段,不能直接用setenforce 0方式去设置SElinux权限为permissive进行debug,可以采用在自己的te文件添加对自己该部分的permissive权限用于调试,以此bin程序举例
type egbin, domain;
type egbin_exec, exec_type, file_type;
permissive egbin;
#注意:该功能只能用在userdebug、eng版本,user版本会导致编译不通过
init_daemo_domain(egbin)
12345
sys下的权限由于Android P收紧的对sysfs 的权限,导致直接配置对sysfs的SElinux权限,会触发编译时的neverallow规则,如
……
allow egbin sysfs:file { read getattr open ioctl }
allow egbin sysfs:dir { search }
……
1234
上述规则在Android P之前是可以编译通过的,在Android P上是不可以的。编译后报如下错误:
FAILED:
out/target/product/xxx/obj/ETC/sepolicy_neverallows_intermediates/sepolicy_neverallows
/bin/bash -c "(rm -f
out/target/product/xxx/obj/ETC/sepolicy_neverallows_intermediates/sepolicy_neverallows
) && (ASAN_OPTIONS=detect_leaks=0 out/host/linux-x86/bin/checkpolicy -M
-c 30 -o
out/target/product/xxx/obj/ETC/sepolicy_neverallows_intermediates/sepolicy_neverallows
out/target/product/xxx/obj/ETC/sepolicy_neverallows_intermediates/policy.conf
)"libsepol.report_failure: neverallow on line 31 of system/sepolicy/private/domain.te
(or line 27782 of policy.conf) violated by allow system_app sysfs:file { read
};
推测原因可能是Android P收紧了对“sys”底下的文件权限,如果直接给应用sysfs权限,会导致应用权限太大,可以在sys下干许多事情,很不安全。因此需要细化sys下的权限,对于上面问题需要在file.te和file_contexts下添加对于sys具体目录下的组别
#Path:/device/qcom/sepolicy/vendor/common/file.te
##file_contexts
#egbin
sys/fs/features(/.)? u:object_r:sysfs_egbin:s0
sys/fs/sda(/.)? u:object_r:sysf_egbin:s0
#Path:/device/qcom/sepolicy/vendor/common/file_contexts
##file.te
#egbin
type sysfs_egbin, fs_type, sysfs_type
123456789
在自己的te文件重新定义规则
……
allow egbin sysfs_egbin:file { read getattr open ioctl }
allow egbin sysfs_egbin:dir { search }
……
1234
注意(一个坑)
按道理这样就已经没有什么问题了,但是在debug的时候还有报sys下权限问题,此时可能不是权限配的有问题,有可能是在file.te 中配置的规则不生效,如在sys/fs/看到的情况如下:
adb shell ls -alZ /sys/fs/

drwxr-xr-x 4 root root u:object_r:sysfs:s0 0 1970-01-29 19:16 .
drwxr-xr-x 11 root root u:object_r:sysfs:s0 0 1970-01-29 19:16 …
drwxr-xr-x 2 root root u:object_r:sysfs_egbin:s0 0 1970-01-29 19:16 features
drwxr-xr-x 2 root root u:object_r:sysfs:s0 0 2018-10-30 18:16 sda
1234
可以发现features配置成功,而sda10未配置成功,这部分原因是sda是在开机过程中文件系统创建的debug节点之前是不存在的,因此配置不生效。

下面为我遇到的问题
我这边遇到的问题跟Kian_G 有点不一样,一样的是我修改u:object_r不成功,不一样的是我创建的是sys/class/目录下的节点而不是sys/fs/目录下的节点,我按照Kian_G添加并没有完全解决我的问题,所以后面我没有贴上来,如果有和Kian_G一样的问题,可以参考他的修改。
2.1 创建class的file文件而不是device的file
通过排查,我遇到问题的原因是由于我创建sys/class节点方式是class_create – > device_create – > device_create_file 实现的,由于我创建的device是virtual的所以我只在vendor/common/file_contexts中添加
sys/class/mysysfs/(/.*)? u:object_r:sysf_egbin:s0
并没有生效,如果我们创建sys/class节点方式是class_create – > class_create_file,那么按照上面的方式在vendor/common/file_contexts中添加对应的u:object_r:是可以解决问题的。
第一种方式根据创建file所属不同对应的u:object_r:生效与否也不一致,这种方式不一定能完全解决selinux的问题,有些节点我们不在class目录下就没有办法使用这种方式,2.2就是针对其他目录下的解决方案
2.2 通过修改解决genfscon解决问题
在system/sepolicy目录下修改修改如下
aosp/platform/system/sepolicy
/ public/file.te中添加新的type类型
type my_sysfs,
fs_type, sysfs_type;
aosp/platform/system/sepolicy
/ private/genfs_contexts 中添加genfscon语句
genfscon /sys/fs/ u:object_r:my_sysfs:s0
需要配套修改aosp/platform/system/sepolicy
/ prebuilts/api/28.0/目录下的文件否则会导致编译报错的问题
之后编译,下载adb shell
ls -alZ /sys/class/mysysfs/ 查看修改是否生效
drwxr-xr-x 4 root root u:object_r:sysfs:s0 0 1970-01-29 19:16 .
drwxr-xr-x 11root root u:object_r:sysfs:s0 0 1970-01-29 19:16 .
drwxr-xr-x 2 root root u:object_r: my_sysfs:s0 0 1970-01-29 19:16 aaa
drwxr-xr-x 2 root root u:object_r: my_sysfs:s0 0 2018-10-30 18:16 xxx
genfscon语句用于运行时标记伪文件系统和不支持扩展属性的传统文件系统。在SEAndroid中文件系统rootfs、proc、selinuxfs、cgroup、sysfs、inotifyfs、vfat、debugfs、fuse,都是采用这一方式进行安全上下文的标记,在ocontexts文件中定义了这些文件系统相应的安全上下文内容。
我的理解是开机的时候会根据genfs_contexts生成对应sysfs文件的object_r所以,如果我们创建文件是通过sysfs_create_file创建的话,默认生成的文件u:object_r:sysfs:s0,就需要在genfs_contexts中添加对应的类型。
2.2的方式能解决我目前遇到的所有的u:object_r:配置失效的问题。

weixin_32104133
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iscsi_boot_sysfs.rar_iscsi
09-24
Export the iSCSI boot info to userland via sysfs.
Android安全策略SELinux
qq_27672101的博客
08-01 9676
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android Selinux权限之genfscon
最新发布
weixin_44021334的博客
03-18 529
genfscon标签相关说明参考我的理解,genfscon 用于给设备节点打标签。说人话:它可以改变设备类型,如把某一个节点从 u:object_r:sysfs:s0 改为 u:object_r:sysfs_dev:s0。举个例子。在读写设备节点时,碰到了 Selinux 权限问题,根据 log 添加了,编译后触发了neverallow报错。不过CTS认证的话,可以根据编译报错直接修改 system/sepolicy/ 目录的文件。因为要过CTS认证,。所以另寻他法,就用到了genfscon。
dmi-sysfs-.rar_DMI_sysfs
09-24
This module exports the DMI tables read-only to userspace through the sysfs file system.
SeLinux语法规则
kc58236582的博客
07-02 3289
 1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 2. 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。
编译报错:init : Could not start service ‘vendor.secure_element-default‘ as part of class ‘hal‘
Haomione的博客
05-16 1308
编译报错:init : Could not start service 'vendor.secure_element-default' as part of class 'hal'
[Android Framework]Android 11 SELinux avc权限解决方法
usmaI的博客
11-19 5425
1.SELinux与Android的关系 SELinux(Security-Enhanced Linux)是由美国国家安全局开发的一种安全增强型Linux内核模块,从Android5.0(API 21)开始被Google引入并强制集成,用于最大限度地减小系统中服务进程可访问的资源,从而增强系统安全性,也就是说即使系统漏洞被Hacker钻了空子,也不容易为所欲为。对于开发者来说,也就意味着即使你开发的服务拥有root权限,你开发的系统服务也并不能任意访问系统资源。 2.在Android中与SELinux有关的
SELinux “unlabeled”标签产生的两种场景及解决方案
李老板的移动安全杂货铺
09-15 2914
对SELinux出现unlabeled的两种场景做了简单的记录,深度分析形成原因,并且给出了对应的解决方式。两种场景均为笔者在实践过程中遇到的真实场景,是从事Linux安全开发的研发人员大概率会遇到的场景,希望可以帮助大家快速定位和解决类似问题
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 6546
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android O/P/Q SELinux avc dennied权限问题分析与解决
weixin_39280491的博客
04-16 1782
Android O/P/Q SELinux avc dennied权限问题分析与解决1.概述2.确认SELinux问题3.案例分析案例1案例2案例3案例44.万能公式5.归纳6.第三方进程改新增全新的te文件并赋予权限6.1新设备节点增加访问权限6.2新文件/目录增加访问权限 1.概述 Android SELinux是Google从android L 开始,强制引入的一套非常严格的权限管理机制,主...
深入理解SELinux SEAndroid之二
Venus 的博客
12-21 1852
接第一部分的内容(深入理解SELinux SEAndroid(第一部分)_Innost的专栏-CSDN博客_domain_auto_trans)。
fcoe_sysfs.rar_单片机开发_Unix_Linux_
08-11
fcoe_fcf_dev_loss_tmo: the default number of seconds that fcoe sysfs should insulate the loss of a fcf.
merisc_sysfs.rar_驱动编程_Unix_Linux_
08-11
Merisc sysfs exports driver
Android-SEAndroid权限
qq_34888036的博客
08-29 1408
前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是任何进程想在SELinux系统中干任何事,都必须先在安全策略的配置文件中赋予权限。凡是没有在安全策略中配置的权限,进程就没有该项操作的权限。在SELinux出现之前,Linux的安全模型是DAC(DiscretionaryAccess Control),
Selinux 权限解决记录
storm_peng的专栏
11-01 1209
再ls -z /sys/devices/platform/soc/fe08c000.mmc/mmc_host/mmc0/mmc0:0001/life_time 名字就变过来了。setenforce 0 之后,操作正常的,就可以确认为selinux权限问题了,下面记录曾经遇到过的权限问题。wakelock 的owner 为radio, group 为wake_lock,而tvhalserver属于root 的。场景:客户的app 应用需要在他的APP 里,读取系统文件节点,但运行的时候,获取不到需要的值。
AOSP SELinux error
SecularBird的专栏
06-01 511
在Mac OS Catalina下编译AOSP报错: FAILED: build out/target/product/generic_x86_64/obj/ETC/sepolicy_tests_intermediates/sepolicy_tests Outputs: out/target/product/generic_x86_64/obj/ETC/sepolicy_tests_intermediates/sepolicy_tests Error: exited with code: 1 Comma
selinux 语法
颇锐克
01-17 1157
1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 2. 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。 在an
SELinux权限学习笔记
javac_jj的博客
04-19 1793
转载:SELinux权限学习笔记 - Hello-World3 - 博客园 1. 权限修改 方法1: adb在线修改seLinux $ getenforce; //获取当前seLinux状态,Enforcing(表示已打开),Permissive(表示已关闭) $ setenforce 1; //打开seLinux $ setenforce 0; //关闭seLinux 方法2: 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/con
由于SELinux造成的权限问题分析与解决
yikunbai5708的博客
03-19 7715
1 背景 基于Android10,在进行sd卡读取权限配置时候,发现只配置AndroidManifest.xml不能解决权限问题,经过多方查找发现当前版本的Android还需要配置SELinux,废话不多说,请看下面的分析。 2 Android的权限问题 AndroidManifest.xml是Android应用的入口文件,它描述了package中暴露的组件(activities,servi...
genfscon sysfs /devices/platform/ff3c0000.i2c/i2c-0/0-0020/rk808-rtc/rtc/rtc0/hctosys u:object_r:sysfs_hctosys:s0
06-10
这条命令生成了一个 SELinux 安全上下文。其中,genfscon 是用来生成 SELinux 安全上下文的命令,sysfs 是一个虚拟文件系统,/devices/platform/ff3c0000.i2c/i2c-0/0-0020/rk808-rtc/rtc/rtc0/hctosys 是一个指定文件的路径。 在这个命令中,u:object_r:sysfs_hctosys:s0 是生成的 SELinux 安全上下文,它表示该文件的所有者是 u,属于 object_r 类型,安全上下文为 sysfs_hctosys,安全等级为 s0。 该命令的作用是为 /devices/platform/ff3c0000.i2c/i2c-0/0-0020/rk808-rtc/rtc/rtc0/hctosys 文件生成 SELinux 安全上下文,以确保该文件的安全性和完整性。这个文件是用于将硬件时钟的时间同步到系统时间的 Linux 内核命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值