Android系统下在te文件中为指定服务添加sepolicy权限 ~~~~mark 详细

最新推荐文章于 2024-03-28 11:18:45 发布
最新推荐文章于 2024-03-28 11:18:45 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: linux kernel Selinux android
android 同时被 3 个专栏收录
140 篇文章 4 订阅
订阅专栏
linux
46 篇文章 0 订阅
订阅专栏
kernel
28 篇文章 0 订阅
订阅专栏
  • Android系统下在te文件中为指定服务添加sepolicy权限

  • 发布时间:2018-01-18 来源:网络 上传者:用户

    关键字: sepolicy 指定 权限 添加 Android 文件 系统 服务

    发表文章
  • 摘要:【正文】设备在播放视频时有异常,使用Logcat查看日志时发现了如下记录:04-2714:01:59.13628252825ESELinux:avc:denied{find}forservice=displaypid=3015uid=1046scontext=u:r:mediacodec:s0tcontext=u:object_r:display_service:s0tclass=service_managerpermissive=004-2714:01:59.1362825

  • 【正文】 
    设备在播放视频时有异常,使用Logcat查看日志时发现了如下记录:

    04-27 14:01:59.136 2825 2825 E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0 tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0 04-27 14:01:59.136 2825 2825 I auditd : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0 tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0

    从上方的Log中可以看出这个问题是因为mediacodec的sepolicy权限没有添加完善所致。具体的操作权限从Log中可以看到是find权限,Source上下文是mediacodec,Target上下文是display_service,Target类是service_manager。解决方法就是在te文件中为mediacodec添加上缺失的find权限。添加权限的格式为:

    allow SourceContext TargetContext:TargetClass Permission

    在任何1个te文件中添加权限都可以,但为了保持格式一致,我最终选择在device/intel/sepolicy/dolby/mediacodec.te文件中按上述格式添加上以下语句:

    allow mediacodec display_service:service_manager find

    重新编译bootimage并烧写到设备上进行测试,问题得到解决。

    【注意】 
    有时添加完一条权限后可能又会报另一种权限缺失,我们只需要按照上述方法再添加这种缺失的权限即可,直到系统不再报告sepolicy权限缺失为止。

    【题外话】 
    前天因为少提交了一个device/intel/cherrytrail/r2/_cht/_ffd/目录下的 patch,结果第二天测试组同事为设备烧入user版本的镜像后发现所有音频相关的功能都无法正常工作了,而且整个系统都非常卡。因为我平时都是使用eng版本进行测试,没有碰到过这个问题,所以第一反应就是这是权限没有添加成功导致。检查之后发现果然是这样:虽然我在device/intel/sepolicy/dolby/目录下已经为Dolby音效添加了te文件,但在上文提到的r2/_cht/_ffd路径下忘记了在BoardConfig.mk文件中添加以下代码,所以实际上user版本的镜像中Dolby相关的sepolicy权限配置并没有被编译:

    # Add sepolicy dir for Dolby audioBOARD_SEPOLICY_DIRS += device/intel/sepolicy/dolby

    因为Dolby音效是整合到Android系统的AudioFlinger、NuPlayer、AudioServer等这些系统部件中的,所以当Dolby的权限忘记添加时就会使这些系统部件无法正常工作,从而整个Audio系统也就自然而然地挂掉了。 
    为Dolby添加好上方这条语句后,音频系统就又可以正常工作了。现在想想,一不小心就搞崩了Android音频系统,也真是刺激

  • 以上是Android系统下在te文件中为指定服务添加sepolicy权限的内容,更多 sepolicy 指定 权限 添加 Android 文件 系统 服务 的内容,请您使用右上方搜索功能获取相关信息。
markvz
关注
专栏目录
Android 8.0 工程之sepolicy权限
Tree_in_sea的博客
07-20 6893
/*****************************************************************************  * Author : Elvins Fu    yeyecheng_93@163.com  *  * Info : xxx Inc,(C) 2018-01-11, All rights revseved.  *  * Description...
Android 8.0系统添加自定义服务进程的权限配置
weixin_38422810的博客
08-15 1568
新项目需基于android8.1进行开发,需要移植android5.1RIL相关代码。 涉及代码有rild进程、ril相关库、串口复用进程muxd。 在移植的过程中,发现rild进程以及muxd进程无法启动。 原因是,android8.1默认开启selinux,需要配置对应的selinux策略文件才能启动进程。 解决办法 下面以串口复用进程muxd说明, 修改步骤: 1)device/...
Android selinux权限设置
jaczen的博客
06-11 1万+
在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限selinux权限设置 案例一 db访问不了了 背景 有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。 解决方案及过程 最终解决方案 在系统fingerprint.te添加权限 allow fingerprint
Android 应用(1)——安全策略sepolicy
横山郡守的博客
04-22 2578
https://blog.csdn.net/weixin_38148680/article/details/80257685 http://www.voidcn.com/article/p-stzeacwv-xe.html https://blog.csdn.net/keheinash/article/details/101108686 https://blog.csdn.net/rikeyone/article/details/84337115 https://blog.csdn.net/u0112164
Android 系统添加访问设备属性的 sepolicy 权限
程序员大神的博客
10-02 371
以 mtk 平台为例介绍如何添加访问设备属性的 sepolicy 权限
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1335
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android Selinux详解[八]--常用sepolicy函数和权限组说明
最新发布
weixin_41028555的博客
03-28 1389
Selinux中有很多函数,比如domain_auto_trans, r_dir_file等等,可以见源码中定义的地方举例一两个看一下。
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
- **.te文件**:每个系统服务通常有一个对应的`.te`文件,用于定义该服务权限和访问规则。 - **验证与编译**:使用`make`和`make install`命令来编译和安装新的策略,然后重启设备以应用更改。 **6. 开发者指南**...
简述AndroidSELinux的TE
08-27
* external/sepolicy/te_macros:系统定义的宏全在te_macros文件中。 * external/sepolicy/*.te:一些配置的文件,包含了各种运行的规则。 五、SELinux的工作模式 SELinux有两种工作模式: * Enforcing Mode:...
android sepolicyselinux)快速配置方法
10-29
本文将详细介绍如何根据Android的日志文件(main log 或 kernel log)来快速配置所需的sepolicy权限。 #### SELinux权限现象分析 在Android系统中,当某个进程尝试访问特定资源但被SELinux阻止时,系统日志中会出现...
Android sepolicy规则
maokunlove的专栏
07-25 5392
1. 节点访问权限 [77037.274119] [(2015-01-20 09:17:42.876329323 UTC)] [cpuid: 2] type=1400 audit(1421745462.859:2172964): avc: denied { write } for pid=15848 comm=“system_server” name=“enable” dev=“sysf
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
Android sepolicy实战演练
lidepeng139的博客
09-20 236
service.te添加type rcu_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;system_server.te添加allow system_server default_android_service:service_manager add;service_contexts添加rcu u:object_r:rcu_service:s0。
Android R(11)HIDL服务sepolicy(五)
flagstaff's blogs
01-03 2393
  在Android安全组件中,除了使用传统DAC(Discretionary Access Control)的方式来保护系统文件。但在版本4.4及以后还引入并开启了MAC(Mandatory Access Control)安全框架,使用DAC+MAC组合的方式来保护系统文件及可执行程序的安全。其中被Android所采用的MAC保护框架为SELinux(Security-Enhanced Linux)。 1.Security-Enhanced Linux in Android   开启了MAC框架后,即使是
android sepolicy 打包生成,构建 SELinux 政策
weixin_29045585的博客
05-28 925
本文介绍了如何构建 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行构建。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策构建流程合并了所有 sepolicy Fragment,然后在根目录中生成了整体文件。这意味着 SoC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/...
Android权限说明(apk的运行权限sepolicy
niotong2014的博客
05-17 2484
参考链接地址 Android sepolicy知识链接 APK如何获取System权限 Android 7.0 SEAndroid app权限配置 1.首先了解一个基础知识ps -Z 和ls -Z,这两个命令分别查看进程和文件sepolicy属性 下面是apk拥有system权限 u:r:system_app:s0 system 30098 1653 ...
android sepolicy system_app,新增HIDL service需要修改的sepolicy文件整理
weixin_39552874的博客
05-27 807
添加android.hardware.lightnew@1.0-service” 为例,替换 lightnew 为自定义名称即可1. system/sepolicy/public/attributes2.system/sepolicy/prebuilts/api/29.0/public/attributes+hal_attribute(lightnew);//hal_attribute...
SEAndroidsepolicy/adbd.te策略文件分析
weixin_34049948的博客
09-18 230
在adbd.te策略文件中,很明显,定义了一些关于adbd,也就是adb守护进程的一些策略.下面我们先来看一下这个策略源码: # adbd seclabel is specified in init.rc since # adbd安全标签是在init.rc中被指定的 # it lives in the rootfs and has no unique file type. #...
android sepolicy 打包生成,Android Sepolicy 相关工具
weixin_39947396的博客
05-28 359
文章参考 Android 9.0 源码,以翻译为主,留做备用参考。Sepolicy 工具位于 system/sepolicy/tools/build_policies.sh为多个目标并行构建SELinux策略的工具。这对于在多个目标上快速闫增新的测试或Neveralow规则很有用。用法:./build_policies.sh ~/android/master ~/tmp/build_policie...
Android如何添加te文件
04-25
要在Android添加te文件需要进行以下步骤: 1. 将te文件复制到Android工程的/system/sepolicy目录下。 2. 修改Android.mk文件中的LOCAL_SEPOLICY_MODE变量,将其设置为enforcing。 3. 修改Android系统引导文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值