Android中SeLinux权限 .te文件编写

最新推荐文章于 2024-05-05 15:14:28 发布
最新推荐文章于 2024-05-05 15:14:28 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: linux android kernel apk安装 Selinux
android 同时被 3 个专栏收录
140 篇文章 4 订阅
订阅专栏
linux
46 篇文章 0 订阅
订阅专栏
kernel
28 篇文章 0 订阅
订阅专栏

Android中SeLinux权限 .te文件编写

2017年09月05日 10:26:19 mrx润物细无声 阅读数:3193

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/x2017x/article/details/77847988

  在android中添加一个LocakSocket通信,权限部分折腾了好几天,终于搞定了.

  首先在root权限下使用setenforce 0命令放开selinux权限,看看需要的操作是否能成功.如果可以,证明是Selinux的设置问题.仅使用该命令,手机重启又会恢复为enforce为1的状态.为了长久更改此权限,需更改如下.

  /device/qcom/sepolicy 目录下找到对应的版本,在里面添加自己的服务对应的te文件,如service.te.编辑内容如下:

        type service, domain;
        type service_exec, exec_type, file_type; 
        init_daemon_domain(service)

  接下来在下面加上各种权限设置,具体的权限添加可根据经验添加.对于我这种小白,只能采用一步步尝试了.编译系统到手机中,运行你的服务,查看权限组阻止日志:

                              adb shell

                              su

                              cat /dev/kmsg

  寻找这种形式的日志:36,7462,1035433895,-;type=1400 audit(836284.029:112): avc: denied { execute } for pid=11710 comm="mpctrl" name="sh" dev="mmcblk0p21" ino=502 scontext=u:r:mpctrl:s0 tcontext=u:object_r:shell_exec:s0 tclass=file permissive=0

  那么在上面的service.te文件末尾添加 allow mpctrl shell_exec:file execute;(记得加分号,否则编译通不过)

  mpctrl对应为scontext中的第三项,shell_exec对应为tcontext中的第三项,类型file对应为tclass,需要的权限为denied { execute }中的execute.

  可能不止需要一个权限,那么就再次编译,重复上面步骤寻找,添加.编译的过程中可能由于你加入的权限和某些权限配置产生冲突,比如/external/sepolicy/app.te中的一些neverallow语句,那么就需要看情况注释一些不允许的规则了,或者通过在neverallow中"-***"除去你所需要打开权限针对的内容.

markvz
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 添加SELinux权限
jn9547的博客
09-29 208
文件类型:*.te,通常位于 */system/sepolicy/vendor 目录下 示例: selinux权限报错: avc: denied { read } for pid=1831 comm="servicemanager" name="current" dev="proc" ino=62432 scontext=u:r:servicemanager:s0 tcontext=u:r:networkserver:s0 tclass=file permissive=1 解析: scontex: 源对
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
本文将深入探讨这些新特性,以及如何对Android 8.0的SELinux权限进行配置。 **1. SELinux(Security Enhanced Linux)** SELinux是一种强制访问控制(MAC)系统,它为Linux内核添加了一层额外的安全性。在Android...
Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法
ldswfun的专栏
06-01 2469
安卓系列教程之ROM系统开发-百问100ask系统:Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件有非常多的语句, 我们需要基本掌握和理解其的语法和语义,这样才能有利于我们进行开发。上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。Te文件一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件
Android selinux权限
最新发布
weixin_49303682的博客
05-05 1045
SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedora core 2开始, 2.6内核的版本都支持SELinux。在 SELinux 出现之前,Linux 上的使用的安全模型是 DAC( Discretionary Access Control 自主访问控制)。DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用户的权限相同。
SELinux策略语言--编写TE规则
行知致简的专栏
02-02 1351
neverallow规则也支持通配符来代表所有的类型,求补算操作符(~)也表示所有的类型,除了明确列出的之外。这条规则是最常见的使用type_change规则的示例,它在用户登陆时重新标记终端设备,login程序会通过一个内核接口查询SELinux模块的策略,传递类型sysadm_t和tty_device_t,接收sysadm_tty_device_t类型作为重新标记的类型,这个机制允许在一个新的登陆会话过程,登陆进程以用户的名义标记tty设备,将特殊的类型封装到策略,而不用硬编码到应用程序
Android8添加开机Service 必须添加相应的te文件
u010438192的专栏
04-15 2207
selinux的原因,添加Service必须添加.te文件 (即使是permissive)也要添加.te文件 否则seclabel会出错。 firefly 的 rk3399pro Android8.1 .te文件放在device/rockchip/common/sepolicy/下面 .te文件内容 type autorun,domain; type autorun_exe...
关于Selinux详解
段小苏的学习之路
04-03 4453
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言  ...
深入理解SELinux SEAndroid.docx
04-17
SEAndroid的策略文件通常以Te(Type Enforcement)语言编写,这是一种声明式的语言,用于定义系统各个对象之间的权限关系。这些策略文件在编译后会转换成内核能够理解的形式。理解并能修改这些策略文件是定制...
SELinux For Android8.0 && SELinux 4.0
09-03
Android系统采用的SELinux策略是基于类型 Enforcement(TE)模型的,每个进程都有一个特定的安全上下文,这个上下文定义了它能访问哪些文件、网络端口和其他资源。Android 8.0的更新SELinux策略更加严格和完善,...
深入理解SELinux SEAndroid_改.docx
12-14
这些规则需要在相应的策略文件(如`device.te`)定义,以确保SELinux策略生效。 SELinux政策语言是用于编写这些策略文件的专用语法,它定义了哪些进程可以执行哪些操作。例如,`allow netd proc:file write`表示...
hidl service selinux rule
02-07
在实际操作,还需要遵循AndroidSELinux开发最佳实践,如尽可能限制服务的权限,只给予必要的访问权限,避免过于宽泛的规则。同时,应确保每次更改都经过严格的审核和测试,以防止引入新的安全风险。 总之,理解...
android-te文件语法
Paper_Love的博客
12-11 691
【代码】android-te文件语法。
Android 添加Te规则
qq_42989195的博客
08-06 1951
添加SeLinux Te规则
SElinux 读懂.te 定义自己的 .te
03-11 9826
后面会持续补充一、 .te 文件定义的一些宏1.1 unix_socket_connect(1,1 ,2, $3 ) 这个其实是一个宏。它定义在 te_macros(android系统,mtk 和 qcom 下面都有) 的文件里面的: ##################################### android 系统 te_macros 文件的定义
记一次selinux权限添加
chen_yuyunfox的专栏
11-09 3182
selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。 需求开发需要在system_server进程调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不适配selinux权限的话会报错导致开不了机。 添加selinux权限的步骤: 1. 查看设备根目录的vendor_property_context.
android8 .te文件,te文件
weixin_42474537的博客
05-28 2226
模块定义的sepolicy策略文件目录如下加入到系统编译:在BoardConfig.mk找BOARD_SEPOLICY_DIRS,将你的sepolicy目录加到这个变量,如下所示:BOARD_SEPOLICY_DIRS := \device/fsl/imx8/sepolicy \packages/services/Car/evs/sepolicy \device/fsl/mek_8q/se...
Selinux篇3 -TE规则
xieyinsen的专栏
11-25 1312
allow vold device:dir write 这句的意思是:允许 type 为 vold 的主体 对 type 为 device的客体 拥有 客体类别为 dir 的write 权限。根据 SELinux 规范,规则定义的格式为: rule_name source_type target_type : class perm_set; 可以看到规则只用到了主体和客体的 type,而动作是以操作类别与具体操作的组合体现的。 所有 rule_name 如下: allow 表示允许主体对客体执行
selinux .if文件和.te文件的详细说明
05-30
.selinux文件和.te文件都是SELinux策略文件的一部分。 .selinux文件是一个文本...总之,.selinux文件和.te文件SELinux策略文件的重要组成部分,它们用于描述和定义对象在SELinux策略的身份、角色、权限和规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值