audit2allow 添加SELinux权限

最新推荐文章于 2024-06-26 14:21:21 发布
最新推荐文章于 2024-06-26 14:21:21 发布
阅读量114 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42345513/article/details/133057032
版权

快速入手必看:

  • 如何确认是否是selinux问题:

可以通过运行 cat /proc/kmsg 或者 cat /sys/fs/pstore/console-ramoops 来获取上次启动时的事件日志。SELinux 日志消息中包含“avc:”字样,因此可使用 grep 轻松找到。

一般如下:

[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0

可以看到permissive=0 代表访问被拒绝,permissive=1代表拥有访问权限。

  • 如何生成selinux rule

只需三步,

第一步,把手机里面的policy文件拉到本地。

第二步,复现问题。

第三步,把log喂给audit2allow命令来帮助我们生成selinux rule。

假如有提示本地环境找不到audit2allow,可以手动根据提示安装或者在Android 目录下寻找。

adb pull /sys/fs/selinux/policy
adb shell dmesg | audit2allow -p policy

这里比较灵活,我们可以直接把dmesg喂给audit2allow也可以直接把logcat喂给audit2allow(adb logcat -b all -d | audit2allow -p policy) ,甚至可以直接cat 或者echo文件给它。比如:

echo "[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0 " | audit2allow -p policy
cat logfile | audit2allow -p policy

最后生成的文件如下:

#============= system_app ==============
allow system_app sysfs:file read;
  • 修复问题:

最后根据生成的文件,在源码目录找到或者新建system_app.te 把“allow system_app sysfs:file read;” 写入到该文件即可。

原理说明(快速入手可跳过)

我们 仍以下面的例子说明,

[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit"  comm="com.miui.cit"  dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0

其规则可以表述如下

avc: denied { connectto } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0

该输出的解读

上方的 { connectto } 表示执行的操作。根据它和末尾的 tclass (file),您可以大致了解是对什么对象执行什么操作。在此例中,是操作方正在试图读取文件。

scontext (u:r:system_app:s0) 表示发起相应操作的环境,在此例中是 system_app 中运行的某个程序。

tcontext (u:object_r:sysfs:s0) 表示操作目标的环境,在此例中是归 sysfs 所有的某个file。

顶部的 comm="com.miui.cit" 可帮助您了解拒绝事件发生时正在运行的程序。在此示例中,表示小米的cit测试程序。

所以整体来看,这句avc的log就是属于 system_app的“com.miui.cit”(comm="com.miui.cit")需要read属于sysfs的panel_info(comm="com.miui.cit"),但是因为没有权限读取失败。

资料来源:

https://source.android.com/security/selinux/validate

卡车司机.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 5951
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
Ubuntu上使用audit2allow解决Android Selinux问题
fred专栏
05-06 500
遇到错误,提示需要用-p指定policy file,然偶尝试创建一个policy空文件,用-p选项,遇到如下错误。首先跟进错误log的堆栈信息找到源码,尝试把352行和354行注释掉,试试。提前用dmesg或者串口抓取kernel log。
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1303
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Linux系统的安全模块Selinux总结
yolo_yyh的博客
11-15 2518
很多人在遇到selinux权限问题时,直接就把selinux给禁用掉,这是有很大的安全隐患的,这篇文章可以帮助大家如何定位selinux权限问题。
Selinux SeAndroid理解
lansehai的专栏
04-18 1万+
SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation (SCC) 和 MITRE直接参与开发,以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制,该系统最初是作为一款通用访问软件,发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后,有直接整合
使用 audit2allow 工具添加SELinux权限的方法
netwalk的专栏
06-26 1085
audit2allow 命令的作用是分析日志,并提供允许的建议规则或拒绝的建议规则。
SELinux avc权限--audit2allow
u012944254的博客
11-15 5584
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限。 使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1372
使用audit2allow工具来根据avc log生成selinux规则
SELinux权限添加
Felix
01-19 465
1、avc denied log: [27.832326] <2>.(2)[301:logd.auditd]type=1400 audit(1262304037.169:137): avc: denied { ioctl } for comm="BootAnimation" path="/proc/ged" dev="proc" ino=4026532249 ioctlcmd=0x6700 scontext=u:r:bootanim:s0 tcontext=u:object_r:proc_
Android SeLinux 权限添加
Android
09-30 2772
SeLinux 权限添加 调试时,可以关闭selinux 权限 setenforce 0 搜索avc,如下: type=1400 audit(0.0:292): avc: denied { read write } for name=“ttyHSL2” dev=“tmpfs” ino=11380 scontext=u:r:system_app:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0 system_app 中 devic
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3215
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
rk3568 HAL3--Camera seLinux权限
weixin_35723192的博客
12-26 1019
rk3568 Android11 在特定场景发现 camera HAL3 的 RGA 无法正常调用,查看内核日志会发现某些服务缺少相关 seLinux 权限致使调用失败,按照正常情况则需要补齐就好。某些场景则需要增加新权限才能匹配相应功能;如果在 HAL 增加系统属性读取,就需要增加专属的 seLinux 权限申请。
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换
热门推荐
Tesi1a的充电桩
04-29 7万+
在Android的root相关的文章里经常会看到关于SElinux,Android4.3以后引进SElinuxSELinux 的启动、关闭与查看1、并非所有的 Linux distributions 都支持 SELinux 目前 SELinux 支持三种模式,分别如下: •enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了; •perm
2024-2030全球与中国硅胶婴儿用品市场现状及未来发展趋势 Sample-Li Jinpan.pdf
09-05
QYResearch是全球知名的大型咨询公司,行业涵盖各高科技行业产业链细分市场,横跨如半导体产业链(半导体设备及零部件、半导体材料、集成电路、制造、封测、分立器件、传感器、光电器件)、光伏产业链(设备、硅料/硅片、电池片、组件、辅料支架、逆变器、电站终端)、新能源汽车产业链(动力电池及材料、电驱电控、汽车半导体/电子、整车、充电桩)、通信产业链(通信系统设备、终端设备、电子元器件、射频前端、光模块、4G/5G/6G、宽带、IoT、数字经济、AI)、先进材料产业链(金属材料、高分子材料、陶瓷材料、纳米材料等)、机械制造产业链(数控机床、工程机械、电气机械、3C自动化、工业机器人、激光、工控、无人机)、食品药品、医疗器械、农业等。
用于非线性模型预测控制 (NMPC) 的并行优化工具包.7z
09-05
用于非线性模型预测控制 (NMPC) 的并行优化工具包.7z
Flow-Guided-Feature-Aggregation研究基于视频的目标检测FGFA框架.zip
最新发布
09-05
目标检测(Object Detection)是计算机视觉领域的一个核心问题,其主要任务是找出图像中所有感兴趣的目标(物体),并确定它们的类别和位置。以下是对目标检测的详细阐述: 一、基本概念 目标检测的任务是解决“在哪里?是什么?”的问题,即定位出图像中目标的位置并识别出目标的类别。由于各类物体具有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具挑战性的任务之一。 二、核心问题 目标检测涉及以下几个核心问题: 分类问题:判断图像中的目标属于哪个类别。 定位问题:确定目标在图像中的具体位置。 大小问题:目标可能具有不同的大小。 形状问题:目标可能具有不同的形状。 三、算法分类 基于深度学习的目标检测算法主要分为两大类: Two-stage算法:先进行区域生成(Region Proposal),生成有可能包含待检物体的预选框(Region Proposal),再通过卷积神经网络进行样本分类。常见的Two-stage算法包括R-CNN、Fast R-CNN、Faster R-CNN等。 One-stage算法:不用生成区域提议,直接在网络中提取特征来预测物体分类和位置。常见的One-stage算法包括YOLO系列(YOLOv1、YOLOv2、YOLOv3、YOLOv4、YOLOv5等)、SSD和RetinaNet等。 四、算法原理 以YOLO系列为例,YOLO将目标检测视为回归问题,将输入图像一次性划分为多个区域,直接在输出层预测边界框和类别概率。YOLO采用卷积网络来提取特征,使用全连接层来得到预测值。其网络结构通常包含多个卷积层和全连接层,通过卷积层提取图像特征,通过全连接层输出预测结果。 五、应用领域 目标检测技术已经广泛应用于各个领域,为人们的生活带来了极大的便利。以下是一些主要的应用领域: 安全监控:在商场、银行
习题集计算机原理习题集
09-05
【习题集】计算机原理习题集 计算机原理习题集 习题 一 1.微型计算机的发展经历了哪几个时代?每个时代有哪些主要特点? 2.简述Pentium4 微处理器的处理能力。 3.冯·诺依曼计算机的结构特点是什么? 4.典型微机有哪三大总线?它们传送的是什么信息? 5.什么叫微处理器?什么叫微型计算机?什么叫微型计算机系统?这三者有什么区别和联系? 6.微处理器内部一般由哪些部分组成?各部分的主要功能是什么? 7.试用示意图说明内存单元的地址和内存单元的内容,二者有何联系和区别? 8.高级语言、汇编语言、机器语言有何区别?各有何特点? 9.评价微型计算机性能的主要指标有哪些?试举例说明现在市场主流机型微型计算机的性能参数。 10.现代微型计算机的主板通常由哪些部分组成?主板上的总线扩展插槽有何用途? 习题 二 1.8086CPU从功能上分为哪两个工作部件?每个工作部件的功能、组成和特点分别是什么? 2.8086CPU中有几个通用寄存器,有几个变址寄存器,有几个地址指针寄存器?它们中通常哪几个寄存器可作为地址寄存器使用? 3.8086CPU的标志寄存器中有哪些标志位?它们的含义和作用是什么?
基于Spring Boot框架的尚融宝网络借贷平台.zip
09-05
基于Spring Boot框架的尚融宝网络借贷平台 项目介绍 尚融宝是一个网络借贷信息中介服务平台,致力为高成长人群提供专业的线上信贷及出借撮合服务。行业案例包括人人贷、拍拍贷等。 技术架构 前端 Node.js: Js运行环境 ES6: Js模块化版本 Axios: Ajax请求工具 Vue.js: 前端框架 ElementUI: 前端组件库 Vueelementadmin: 后台管理系统UI集成方案 NuxtJS: 前端服务器 后端 SpringBoot: 微服务开发框架 SpringCloud: 微服务组件库 SpringCloud Alibaba: 阿里微服务组件库 MyBatis Plus: 持久层框架 Swagger2: API接口文档生成工具 LogBack: 日志系统 alibabaeasyExcel: Excel读写框架 Redis: 缓存中间件 MySQL: 关系型数据库 SpringTask: 定时任务 RabbitMQ: 消息中间件 项目结构 前端 srbadmin: 管理平台 srbsi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值