Android Selinux策略

最新推荐文章于 2024-10-17 09:08:38 发布
最新推荐文章于 2024-10-17 09:08:38 发布
阅读量386 收藏 1
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43453149/article/details/129739336
版权
文章讲述了Android平台中Selinux的三种模式:disable、permission和enforcing,以及如何处理Selinux导致的权限问题。通过分析AVC错误,确定所需权限,并在file_contexts文件中定义上下文,添加allow语句到te文件中来解决这些问题。此外,讨论了在不同模式下如何调试和优化服务的Selinux策略。
摘要由CSDN通过智能技术生成

对于Android平台的工程师来说,selinux是一个比较常见的问题,经常会出现编写一些服务的时候出现权限问题导致服务结束的情况。而对于厂商来说,除非客户自己要求关闭selinux,否则都会遵循selinux的规则进行各种权限的添加

对于selinux的发家史这里就不进行介绍了,对于工程师而言,了解一个框架并且熟练的使用它才是最重要的事情。

selinux分为三种模式:disable(关闭)、permission(宽容)以及enforcing(强制)模式,在开发板上可以通过getenforce指令来得知当前系统的selinux模式,也可以通过setenforce指令来设置当前系统的selinux模式。

disable模式

想要设置为disable模式的话,只需要在system/core/init/selinux.cpp内,将IsEnforcing函数的返回值强制设置为返回false即可。

permission模式

permission模式最常见的场景为:

1.当前已经确定是selinux导致程序异常,希望一次性解决selinux相关的问题,那么就可以通过暂时设置selinux模式为permission,程序在运行过程中遇到权限相关的问题仍然会报错,但是仅仅是报错而已,并不会因此导致程序异常退出,也可以一次性将该进程出现的所有的selinux权限添加完毕后再进行功能验证

2.程序异常但是无法排除是否除了selinux以外还有其他的问题导致异常,这种情况下同样可以选择将selinux模式设置为permission模式,如果此时selinux模式已经为permission了,但是程序仍然异常,那么就需要去看看除了selinux以外还有什么导致程序异常的。

3.当前模式下就是可以忽略掉selinux的影响,例如android下的recovery模式下系统升级,我们的需求很明了,在recovery模式下我什么业务也不执行,就只想完成系统升级,系统升级又涉及到分区的读写操作,这样去大量的添加selinux权限仅仅为了系统升级这么一个功能,有点得不偿失。因此可以尝试在这种场景下通过shell脚本等直接执行setenforce 0,可以节省大量开发时间

enforcing模式

enforcing模式就跟他的意思一样,就是强制执行,只要该进程出现selinux权限问题,那么此次操作就会被终止。厂家选择enforcing模式的目的也是为了系统安全,否则任何一个外来程序都能够在我们的系统上执行,安全风险太大并且维护成本太高,因此作为厂商,除非客户强烈要求默认为disable或者permission模式,否则都会选择enforcing模式。

下面就开始看看如何完成服务所需的selinux权限

  1. 分析avc报错原因,查看是哪个进程对哪个服务缺少什么样的权限

type=1400 audit(0.0:33378): avc: denied { open } for path="/dev/block/sdf2" dev="tmpfs" ino=496 scontext=u:r:test_:service:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=1

根据avc报错,我们只需要关注4个地方:

1.1 缺少的权限:open

1.2 对应的服务(哪个服务缺少权限):test_sercice

1.3 test_service在对哪个上下文(block_device)进行open操作时缺少权限

1.4 block_device这个文件是什么类型(blk_file)

2.根据解析内容进行文件上下文的定义以及上下文的类型设置

这里指的文件上下文的定义是不希望大家在添加selinux权限的时候去破坏谷歌默认的nerverallow规则,建议一步到位,否则后续有CTS认证的需求的话,改动起来太麻烦。这里我们可以在vendor目录下,新建一个test_service文件夹,创建一个file_contexts文件

2.1 在file_contexts文件里面添加对应的上下文,假设希望对一个名为test_service的分区进行open操作,那么我的上下文就是

/dev/block/by-name/test_service u:object_r:test_service_partition:s0

2.2 新建一个test_service.te以及file.te文件,test.te用于声明我们的进程上下文以及的类型,test_service.te用于添加各种allow权限

#当前的上下文是针对设备节点的,因此类型应该为dev_type。如果是修改的文件的话,那么类型应该就是fs_type

type test_service_partition, dev_type;

添加对应的allow语句到test.te内

allow test_sercice test_service_partition:file { open };

如果是在其他的目录,不是在平台原生目录下进行添加selinux文件的话,还需要添加对应的打包语句。

如有错漏,麻烦各位大佬不吝赐教,谢谢

KKKKK米
关注
Android FFmpeg入门----编译ffmpeg到集成到Android项目中整个流程
龚礼鹏的博客
08-29 2416
【代码】FFmpeg入门----编译环境配置。
关闭 SELinux 权限
2301_79326510的博客
08-21 631
它通过强制访问控制(MAC)提供更细粒度的权限控制,限制应用程序的行为,并防止恶意代码的执行。此外,关闭 SELinux 权限可能会导致一些应用程序无法正常运行,因此在禁用 SELinux 之前,请确保您了解可能带来的潜在风险和影响。在 Android 系统中关闭 SELinux 权限是一个常见的需求,本文将介绍如何通过修改系统配置文件来关闭 SELinux 权限并提供相应的源代码。但请注意,禁用 SELinux 可能会降低系统的安全性,因为该安全机制的作用是防止恶意代码的执行。在打开的文件中,找到。
android设置selinux权限
LXJSWD的博客
02-08 1668
selinux权限配置
Android 系统调试(1)---禁止Selinux 的方法
zhangbijun1230的专栏
04-01 3786
Android 开发过程中经常需要关闭Selinux 功能,通常关闭Selinux的方法如下:1.方式一    static bool selinux_is_disabled(void)   {      if (ALLOW_DISABLE_SELINUX) {          if (access("/sys/fs/selinux", F_OK) != 0) {              r...
Android AOSP添加selinux权限的方法
qq_40694393的博客
06-13 967
注意:安卓原生的权限添加,只需要在/system/sepolicy/下找到.te文件,若是有供应商自定义的内容,则还需要同时在/device/xxx/seplociy/下找到同名文件添加同样的内容。添加的语句:allow platform_app app_data_file:file execute;1.根据log报错来手动添加,这种方法有一定风险,不熟悉语法添加的新手可能报错。添加的位置:AOSP下找到文件名为“缺少权限的对象.te”需要访问的文件:app_data_file。
Android中的SELinux
麦芽的博客
01-16 1999
SELinux (Security Enhanced Linux)是由美国NSA(国安局)和 SCC 开发的 Linux 的一个扩张强制访问控制安全模块,目的是最大限度减少系统中服务进程可访问的资源。Google 在 Android 4.4 上正式添加以 SELinux 为基础的系统安全机制,命名为SEAndroid。SEAndroid 在架构和机制上与 SELinux 完全一样,基于移动设备的特点,SEAndroid 的只是所以移植 SELinux 的一个子集。
android 9.0 selinux 策略配置
zhbpd的专栏
10-19 2170
主要配置: (1)文件; 在 file.te 中声明一个文件类型; type my_file, file_type, data_file_type, core_data_file_type; 在 file_contexts 文件中关联实际的文件路径和文件类型; /data/my_file(/.*)? u:object_r:my_file:s0 注意 my_file 的类型,如果是data目录下的,要添加 core_data_file_type; 是 vendor目
Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 596
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
Android SELinux——其他常见策略⽂件(十一)
小旭的专栏
10-16 616
通过前面的文章内容,我们了解了 Sepolicy 的相关语法和书写规范,这里我们来看一下系统中自带的一些比较重要的策略相关文件。
Android SELinux——添加新服务策略(十二)
最新发布
小旭的专栏
10-17 682
通过前面的学习我们也大致了解 SELinux 的相关只是,这里我们就来看一下实际开发中,如果需要为厂商新增的一个自定义服务添加相关权限该如何操作。
Android SELinux——allow语句参数(五)
小旭的专栏
10-11 582
通过上一篇文章我们知道,TE(Type Enforcement,类型强制)的 allow 语句中主要包括主体(source)、对象(target)、类别(class)和权限(permissions),这里我们就来看一下其中的参数信息。
Android-System SELinux 权限
以后会多把工作中总结的知识、问题处理思路和方法通过博客分享出来,欢迎大家关注和共同探讨!
03-25 409
标志性 log: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在Android系统开发中, 可能会遇到SELinux的权限不足而引起的各种问题. 可以尝试将SELinux工作模式临时改为宽容模式看问题是否解决, 来判定是否是SELinux引起的问题。目标类型:客体的类型,它被授权可以访问的类型。访问类型:客体的类可。
【干货】Android系统定制基础篇:第五部分(Android关闭selinuxAndroid设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 2624
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
SEAndroid策略分析
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
android selinux 权限问题
manshq163com的专栏
08-22 871
1. 遇到的问题有些应用会提示AVC denied的报错,这个是由于 selinux的权限问题 解决办法: 通过命令   getenforce  查看状态  msm8952_64:/ # getenforce Enforcing Enforcing selinux 生效了 su  setenforce 0  //关闭 selinux   msm8952_64:/ # getenfor...
android SElinux 总结--启用,关闭以及配置文件说明,很详细,值得学习
热门推荐
lqxandroid2012的专栏
08-21 2万+
转自 http://blog.csdn.net/bin_linux96/article/details/44993819  1. 禁止selinux  1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX 1.2 还可以在system.prop中定义ro.boot.selinux=disable 这两种方法都可以禁用selinux,也可以设置成ro.bo
Android App Selinux seapp权限详解
求变,从思想开始
05-07 1万+
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7646
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解AndroidSELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
Android SELinux:安全强化与应用策略详解
Android 中的安全增强型 Linux (SELinux) 是一种高级别的安全策略,它在 Android 操作系统中发挥着至关重要的角色。作为 Android 安全模型的一部分,SELinux 实施了强制访问控制 (MAC),确保即使在超级用户权限下...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值