android 5.x 权限问题解决方法,Android 5.x 权限问题解决方法

最新推荐文章于 2021-05-31 01:19:31 发布
最新推荐文章于 2021-05-31 01:19:31 发布
阅读量206 收藏
点赞数
文章标签: android 5.x 权限问题解决方法

(0)关于selinux的基础知识,可以参见http://www.cnblogs.com/shell812/p/6379321.html

TE语言规则,参见http://www.cnblogs.com/shell812/p/6379370.html

ls -Z和ps -Z分别查看系统中object和subject的属性列表,id -Z查看用户信息

(1) android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,解决原则是:缺什么补什么,一步一步补到没有avc denied为止。 下面给出四个案例:

a,audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

分析过程:

缺少什么权限:           { write }权限,

谁缺少权限:               scontext=u:r:kernel:s0,

对哪个文件缺少权限:tcontext=u:object_r:block_device

什么类型的文件:        tclass=blk_file

解决方法:kernel.te

allow kernel block_device:blk_file write;

b,audit(0.0:53): avc: denied { execute } for path="/data/data/com.mofing/qt-reserved-files/plugins/platforms/libgnustl_shared.so" dev="nandl" ino=115502 scontext=u:r:platform_app:s0 tcontext=u:object_r:app_data_file:s0 tclass=file permissive=0

解决方法 :platform_app.te

allow  platform_app  app_data_file:file  execute;

c,audit(1444651438.800:8): avc: denied { search } for pid=158 comm="setmacaddr" name="/" dev="nandi" ino=1 scontext=u:r:engsetmacaddr:s0 tcontext=u:object_r:vfat:s0 tclass=dir permissive=0

解决方法 :engsetmacaddr.te

allow  engsetmacaddr  vfat:dir  { search write add_name create }; 或者 allow  engsetmacaddr   vfat:dir  create_dir_perms;

d,audit(1441759284.810:5): avc: denied { read } for pid=1494 comm="sdcard" name="0" dev="nandk" ino=245281 scontext=u:r:sdcardd:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

解决方法 :sdcardd.te

allow  sdcardd  system_data_file:dir  read;  或者

allow  sdcardd  system_data_file:dir  rw_dir_perms (rw_dir_perms包含read write,可以参考external/sepolicy/global_macros的定义声明)

(2)通过这四个案例,我们可以总结出一般规律,以第4个为例,允许某个scontext对某个tcontext拥有某个权限,得到万能套用公式如下:在scontext所指的te文件中加入类似如下内容:

scontext (进程)         tcontext(文件)           tclass                avc denied

allow          sdcardd                 system_data_file      :         dir                       read

以上以.te为后缀的文件都在external/sepolicy/或者device项目下自带的sepolicy文件夹下,都要重刷boot.img。

(3)补充说明:

1. 有时候avc denied的log不是一次性显示所有问题,要等你解决一个权限问题之后,才会提示另外一个权限问题。比如提示确实某个目录的read权限,你加入read之后,再显示缺少write权限,要你一次次一次试,一次一次加。这时你可以简单粗暴写个rw_dir_perms,这个权限包含了{open search write ...}等等很多权限。 可以查看external/sepolicy/global_macros来了解更多权限声明;

2. 要加入的权限很多时,可以用大括号,比如 allow engsetmacaddr  vfat:dir { search write add_name create};

3. 遇到问题不确定是否由于selinux问题造成,可先在adb shell 下,输入cat /sys/fs/selinux/enforce获取selinux状态,输入setenforce 0,让selinux失效,看是否问题还出现。以此可以澄清是非selinux造成的问题。

(4)以上基本是对已经存在的进程增加权限,但对第三方进程改如何新增一个全新的te文件并赋予权限呢?

以写mac地址的setmacaddr执行文件为例(这个执行档Android原生不存在,自行添加的):

1. 在external/sepolicy/file_contexts中,参考其他进程声明一个:

/system/bin/install-recovery.sh u:object_r:install_recovery_exec:s0

/system/bin/dex2oat     u:object_r:dex2oat_exec:s0

/system/bin/patchoat    u:object_r:dex2oat_exec:s0  /system/bin/setmacaddr u:object_r:engsetmacaddr_exec:s0

指定setmacaddr的路径,并指定一个名字,一定要以_exec结尾

2.参考其他文件在external/sepolicy/ 创建engsetmacaddr.te文件,内容如下:

type engsetmacaddr, domain;

type engsetmacaddr_exec, exec_type, file_type;

init_daemon_domain(engsetmacaddr)

allow engsetmacaddr  vfat:dir { search write add_name create};

allow engsetmacaddr  vfat:file { create read write open };

allow engsetmacaddr  engsetmacaddr:capability dac_override;

allow engsetmacaddr  shell_exec:file { execute read open execute_no_trans};

allow engsetmacaddr  system_data_file:dir { write add_name remove_name };

allow engsetmacaddr  system_data_file:file { create execute_no_trans write open setattr};

allow engsetmacaddr  system_file:file { execute_no_trans};

以上赋予的权限全部是根据avc denied的log缺什么一步一步补什么来的。

(5)selinux限制了某个进程存在于ram文件系统中/dev下节点访问,该如何解决?参见http://blog.csdn.net/wh_19910525/article/details/45170755

(6)selinux对应用程序app权限配置是怎么样的?SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):1)untrusted_app:第三方app,没有android平台签名,没有system权限;2)platform_app:有android平台签名,没有system权限;3)system_app:有android平台签名和system权限。详参见http://m.blog.csdn.net/zhudaozhuan/article/details/50964832

第三方APP,在SElinux下,如何获得对一个内核节点的访问权限?参见http://m.blog.csdn.net/gnnulzy/article/details/52868696。实例即是第三方app串口调试助手,无法正常运行并测试,修改参见http://blog.csdn.net/izhetu/article/details/52311450,关键点是device:dir和ttyMT_device。

(7)针对/sys/xxx节点,和/proc/xxx节点,selinux系统上如何被进程访问,参见http://www.cnblogs.com/l2rf/p/4960579.htm。SystemProperties的设置属性如何在selinux系统生效,也可以参见同篇文章,做过类似的诸如让mcucomm服务重启。

参考原文:http://blog.csdn.net/u011006622/article/details/52213380

和光w
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
guiaux:用户体验指南
07-13
用户体验指南 外部供应商用户体验指南
Android 5.x 权限问题解决方法
热门推荐
u013952558的专栏
03-16 1万+
Android 5.x 权限问题解决方法               一、  android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。   本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。  遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺
android 5 权限管理,Android 5.1 权限问题解决方法
weixin_39926402的博客
05-26 627
一、android5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avcdenied困扰。本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。遇到权限问题,在logcat或者kernel的log中一定会打印avcdenied提示缺少什么权限,Command:cat/proc/kmsg|grepavc或dmesg...
android 5.0 开启网卡 权限请求,Aurora Droid | F-Droid - Free and Open Source Android App Repository...
weixin_39983223的博客
05-31 516
Aurora Droid默认 F-Droid 应用的替代方案An alternative to the default F-Droid app with an intuitive UI andmultiple great features, such as* Many repos listed and can be enabled* Beautiful design - Follows lates...
android 进程读写监控api,5+ API使用的Android权限列表(Permissions)
weixin_31347649的博客
05-25 443
5+ API分模块封装调用了系统各种原生能力,而部分能力需要使用到Android的permissions,以下列出了各模块(或具体API)使用的的权限:基础权限5+ App必须使用的到最小权限集API权限说明ALL允许程序访问网络ALL允许程序读写扩展存储卡Audio调用plus.audio.*使用到的权限集API权限说明ALL允许程序录制音频ALL允许程序修改全局音频设置Camera调用pl...
Android5.X即以上系统权限解决方法
03-14
Android5.X即以上系统权限解决方法android 5.x开始,引入了非常严格的selinux权限管理机制
Android.permission.MODIFY_PHONE_STATE权限问题解决办法
09-01
主要介绍了Android.permission.MODIFY_PHONE_STATE权限问题解决办法的相关资料,这里提供了几种方法帮助大家解决这种问题,需要的朋友可以参考下
采用集中式全局自适应方法解决Android权限问题.pdf
09-21
采用集中式全局自适应方法解决Android权限问题.pdf
Android 7.0 运行时权限弹窗问题解决
08-19
主要介绍了Android 7.0 运行时权限弹窗问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AndroidQ的SD卡读取权限问题解决方法
01-03
AndroidQ的SD卡读取权限问题解决方法 在学Android中,前面的学习都没有什么问题,一遇到权限问题就蒙了,网上找了好久的,说是Android6.0以上要动态获取权限,我尝试了但是对我项目没有用。 于是我又找又找,终于...
Android 访问权限设置
weixin_30267691的博客
06-27 488
Android开发应用程序时,有时我们要用到很多权限, 今天我就收集了一些开发时可能用到的开启权限设置。 这些权限都是在 AndroidManifest.xml设置。 设置方法 <uses-permission android:name=”权限参数”></uses-permission> 以下是各种参数: 1.访问网络权限(这个常用吧) androi...
Android_LogCat错误汇总
y22222ly的专栏
07-23 2216
1.
Android使用X5内核加载网页出现的问题悉知
zhtjhz的博客
06-26 2654
1.采用Android sdk中自带的webview加载网页出现如下问题:WebView java.lang.NoSuchMethodException:callDrawGLFunction问题解释:这不是应用程序错误。该错误是来自sdk 22设备的所有报告。但该方法已在该版本中重命名。“Api21CompatibilityDelegate意味着webview认为它在21上运行。重命名callDr...
Android新编译的内核驱动模块不能被init加载原因解决
天才之嵌入式
08-11 3323
遇到一个内核驱动在手动编译后,
xdroid on linux 黑屏,常见问题解决方案
weixin_42298412的博客
05-16 459
该楼层疑似违规已被系统折叠隐藏此楼查看此楼常见问题解决方案1.安装 Android 应用时处于第一次启动界面超过 2 分钟。解决方案:(1)在设置中切换“安装时的图形模式”为兼容模式。(2)xDroid 需要完整的桌面,不支持容器中运行 xDroid2.启动安卓应用时闪退或出现 xDroid 退出。解决方案:(1)右击已安装的安卓应用图标,切换图形模式。3.键盘映射失效解决方案:(1)横屏应用...
Android SELinux开发入门指南之权限解决万能规则
IT先森
07-04 3470
  Android SELinux开发入门指南之权限解决万能规则 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。今天将带领读者一起看看的是Android开启SELinux后,有没有一种通用...
android 6.0.x 系统安装xposed框架
最新发布
09-06
安装Xposed框架到Android 6.0.x系统是可能的。但需要注意,安装Xposed框架可能需要ROOT权限,并且需要管理者权限来修改系统文件。 首先,确保您的Android设备已经ROOT。然后,在设备上安装一个可靠和适用于Android 6.0.x的ROOT管理器应用程序。几个常用的ROOT管理器应用程序包括SuperSU、Magisk等。通过ROOT管理器授予适当的ROOT权限。 然后,在设备上下载并安装Xposed框架的安装器。你可以通过在浏览器上搜索“Xposed框架下载”来找到适用于你的设备的最新版本的Xposed框架安装器。 一旦安装器下载完成,运行安装器,并按照提示进行安装。可能需要重启你的设备来完成安装。 安装完成后,你需要下载和安装适用于你设备的Xposed模块。Xposed模块是一些用于扩展和修改Android系统功能的应用程序。你可以在Xposed框架安装器中的模块库中找到各种各样的模块。下载和安装你感兴趣的模块,并根据模块的说明进行设置。 请注意,安装Xposed框架需要一定的技术知识和风险。错误或不正确的使用可能导致设备无法启动或其他问题。在进行任何系统修改之前,建议备份设备数据,并在进行任何修改之前仔细阅读和理解相关教程和指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值