Android 使用 audit2allow 工具添加SELinux权限

已于 2023-12-20 18:34:36 修改
阅读量5.3k 收藏 15
点赞数 3
分类专栏: Android SELinux aosp 文章标签: android SELinux
于 2022-02-17 09:34:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44021334/article/details/122976023
版权
Android 同时被 3 个专栏收录
170 篇文章 11 订阅
订阅专栏
aosp
53 篇文章 2 订阅
订阅专栏
SELinux
4 篇文章 0 订阅
订阅专栏

Andorid 官网相关SELinux说明:
SELinux 概念
Android 中的安全增强型 Linux
验证 SELinux

开发应用报错,提示

avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0

那就是缺少 SELinux 权限,那就加上。

在 Android aosp 源码上,需要先执行过 source build/envsetuplunch 命令,
如果不执行 ,会提示

ANDROID_HOST_OUT not set. Have you run lunch?

所以,得先执行。执行后,在根目录就可以直接使用 audit2allow 工具了。

audit2allow

audit2allow 工具路径是 external/selinux/prebuilts/bin/audit2allow

把 avc 的 log 写入到 avc_log.txt 中,

注意,抓到的 log 可能是这样的,

09-28 09:30:06.221 5734 5734 W Thread-20: type=1400 audit(0.0:2346): avc: denied { write } for comm=“com.test” name=“/” dev=“dm-5” ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0

写入文件时要去掉前面的部分,只保留从 avc: denied 开头的部分,即
avc: denied { write } for comm=“com.test” name=“/” dev=“dm-5” ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0

文件名可以自己修改,把 avc_log.txt 拷贝到根目录,

然后执行 audit2allow -i avc_log.txt ,就会得到如下结果

#============= system_app ==============
allow system_app system_data_root_file:dir write;

如果没有执行出结果,可以把 avc_log.txt 中的内容复制多行后再执行

执行 get_build_var BOARD_SEPOLICY_DIRS 找到写 Selinux 权限的目录,然后根据目录找对应的 te 文件(因为权限是写在 te 文件里的),然后写入这个结果。

结果可能有好几个,写入到任意一个就行。
不过还是建议遵循归类原则。
比如,我们要加的是 system_app 的权限,就找已经加过 system_app 相关的 te ;要加的是 vendor_app 的权限,就找已经加过 vendor_app 相关的 te。

本例是加到了 device/xxx/common/sepolicy/system_app.te 中.

修改后报错,

out/target/product/xxx/obj/FAKE/sepolicy_neverallows_intermediates/sepolicy_neverallows.tmp out/target/product/xxx/obj/FAKE/sepolicy_neverallows_intermediates/policy.conf ) && (out/host/linux-x86/bin/sepolicy-analyze out/target/product/xxx/obj/FAKE/sepolicy_neverallows_intermediates/sepolicy_neverallows.tmp neverallow -w -f out/target/product/xxx/obj/FAKE/sepolicy_neverallows_intermediates/policy_2.conf ||       ( echo \"\" 1>&2;         echo \"sepolicy-analyze failed. This is most likely due to the use\" 1>&2;      echo \"of an expanded attribute in a neverallow assertion. Please fix\" 1>&2;          echo \"the policy.\" 1>&2;       exit 1 ) ) && (touch out/target/product/xxx/obj/FAKE/sepolicy_neverallows_intermediates/sepolicy_neverallows.tmp ) && (mv out/target/product/xxx/obj/FAKE/sepolicy_neverallows_intermediates/sepolicy_neverallows.tmp out/target/product/xxx/obj/FAKE/sepolicy_neverallows_intermediates/sepolicy_neverallows )"
libsepol.report_failure: neverallow on line 634 of system/sepolicy/public/init.te (or line 21764 of policy.conf) violated by allow system_app system_data_root_file:dir { write };
libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy

按照提示修改 system/sepolicy/public/init.te

-neverallow { domain -init -toolbox -vendor_init -vold } system_data_root_file:dir { write add_name remove_name };
+neverallow { domain -init -toolbox -vendor_init -vold } system_data_root_file:dir { add_name remove_name };

然后任选如下任一方式单编:

  • 到 system/sepolicy/ 下执行 mma -j12 编译,适用于只修改了这个目录的情况。
  • 在根目录执行 make -j12 sepolicy推荐做法,修改了原生 sepolicy 和厂商 sepolicy 都可以这样验证。

单编通过的话说明语法没问题,也没有触发 neverallow 。然后再全编译验证即可。

编译问题

Match operation ‘empty’ is not valid

编译的时候碰到了一个奇怪的问题,

Could not read line from 'out/target/product/xxx/vendor/etc/selinux/vendor_property_contexts': Match operation 'empty' is not valid: must be either 'prefix' or 'exact'

百度搜索之后找到答案:
是因为 te,context 文件结尾必须要有空行。检查 context 文件后,在末尾加上空行就好了。

x_x_perms

添加权限是,可能需要同时加多个权限,如,

allow system_app hidraw_device:chr_file { read open getattr};

挨个加是没问题的,简便方法是通过宏定义 x_x_perms 全部加上,如,

allow system_app hidraw_device:chr_file rw_file_perms;

rw_file_perms 的定义在 system/sepolicy/prebuilts/api/28.0/public/global_macros

#####################################
# Common groupings of permissions.
#
define(`x_file_perms', `{ getattr execute execute_no_trans map }')
define(`r_file_perms', `{ getattr open read ioctl lock map }')
define(`w_file_perms', `{ open append write lock map }')
define(`rx_file_perms', `{ r_file_perms x_file_perms }')
define(`ra_file_perms', `{ r_file_perms append }')
define(`rw_file_perms', `{ r_file_perms w_file_perms }')
define(`rwx_file_perms', `{ rw_file_perms x_file_perms }')
define(`create_file_perms', `{ create rename setattr unlink rw_file_perms }')

define(`r_dir_perms', `{ open getattr read search ioctl lock }')
define(`w_dir_perms', `{ open search write add_name remove_name lock }')
define(`ra_dir_perms', `{ r_dir_perms add_name write }')
define(`rw_dir_perms', `{ r_dir_perms w_dir_perms }')
define(`create_dir_perms', `{ create reparent rename rmdir setattr rw_dir_perms }')

define(`r_ipc_perms', `{ getattr read associate unix_read }')
define(`w_ipc_perms', `{ write unix_write }')
define(`rw_ipc_perms', `{ r_ipc_perms w_ipc_perms }')
define(`create_ipc_perms', `{ create setattr destroy rw_ipc_perms }')
大秦樗里疾
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 1174
使用audit2allow工具来根据avc log生成selinux规则
Ubuntu上使用audit2allow解决Android Selinux问题
最新发布
fred专栏
05-06 391
遇到错误,提示需要用-p指定policy file,然偶尝试创建一个policy空文件,用-p选项,遇到如下错误。首先跟进错误log的堆栈信息找到源码,尝试把352行和354行注释掉,试试。提前用dmesg或者串口抓取kernel log。
[SeLinux]audit2allow安装与使用
wu_shao_hua的专栏
06-29 4474
1.audit2allow的安装: sudo apt install policycoreutils 2.audit2allow的用法 抓log并保存至文件: adb logcat -b all > error_log.txt 3.分析SeLinux问题的log: audit2allow -i error_log.txt 有些系统在执行audit2allow时会出现错误“unable to open (null): Bad address” 有两个方法可以规避这个问题.....
android audit2allow工具使用步骤
楼中望月
03-15 7988
在dmesg里面经常会看到很多的avc denied的打印,如果有很多这种打印,那可以借助于android提供的audit2allow工具帮我们转换成allow语句。 使用步骤如下: 一、将dmesg中的相关avc denied的打印语句,复制到一个txt文件中,我这里取名为tee-supplicant.txt(因为我正在操作的进程是tee-supplicant) avc: denied { read append } for comm="tee-supplicant" name="kmsg_debug"
浅谈Android软件安全自动化审计
weixin_34050005的博客
09-25 208
作者: riusksk(泉哥) 邮箱:riusksk@qq.com 博客:http://hi.baidu.com/riusksk 微博:http://t.qq.com/riusksk 【目录】 0x00 前言 0x10 Android软件常见漏洞原理及检测 0x11 敏感信息明文保存 0x12 程序...
SELinux audit2allow命令使用
热门推荐
dk_work的博客
05-22 1万+
解决方案: 首先将我们的报错avc日志拷出来做成一个avc.txt放在Ubuntu系统下面在终端中运行以下命令生成的avc.te文件就是我们的解决方法了。 audit2allow –i avc.txt >avc.te avc.txt avc: denied { create } for name="hsdi_tmp" scontext=u:r:system_app:s0 tcontext=u...
Audit-审计工具箱.exe
04-22
create a shake-up in mobile phone operating systems with the launch of its Android platform. Designed to be completely open and free for developers, the API could change the way mo
android-audit-toolbox:审核已编译的Android应用程序的工具
05-21
Android审核工具Android Audit Toolbox是用于审核Android应用程序的分析器的集合。设置下载并提取于您的操作系统的 。 安装Atlas Standard或...使用工具箱壳牌项目要交互使用分析工具箱,请确保已将toolbox.audit.ana
CentOS 7系统下SELinux阻止MongoDB启动的问题详解
12-16
最近发现了一个问题,在新装的CentOS7上,安装了MongoDB3.4,挂载了一个大的数据盘后,修改/etc/mongo.conf,将配置文件中的log和data目录放在新的数据盘下,并修改文件的访问权限。 改完后的mongo.conf: # mongod....
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
audit2rbac 总览 audit2rbac将和用户名作为输入,并生成角色和绑定对象,以覆盖该用户提出的所有API请求。 示范影片 使用说明 获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式...
SEO审计工具「SEO Audit Tool」-crx插件
03-09
使用RoboAuditor获取全面的SEO审计报告,为任何给定的网站提供可操作的见解 RoboAuditor检查70多个参数,跨页面,链接,移动,速度,可用性等不同方面。 RoboAuditor为您的网站提供详细的可操作的见解,以便在最短的...
2020-11-25 audit2allow
ConceptCon
11-25 264
Android source tree to generate policy statements by taking indmesgandlogcatdenial logs. adb shell su -c dmesg | grep denied | audit2allow for example: android$ grep denied ../../log/zdebug5.txt | audit2allow #============= adbd =============...
android审计日志,hdfs auditlog(审计日志)
weixin_31889705的博客
06-03 929
hdfs审计日志(Auditlog)记录了用户针对hdfs的所有操作,详细信息包括操作成功与否、用户名称、客户机地址、操作命令、操作的目录等。对于用户的每一个操作,namenode都会将这些信息以key-value对的形式组织成固定格式的一条日志,然后记录到audit.log文件中。通过审计日志,我们可以实时查看hdfs的各种操作状况、可以追踪各种误操作、可以做一些指标监控等等。hdfs的审计日志...
android分析审计工具,Android审计平台
weixin_39942397的博客
05-25 317
该app需要移除大部分日志打印代码。经扫描该包仍存在大量打日志代码,共发现103处打日志代码.(此处扫描的日志打印代码,是指调用android.util.Log.* 打印的.)详情如下:位置: classes.dexcom.tencent.bugly.yaq.crashreport.CrashReport;->getUserData(Landroid/content/Context; Lja...
SELinux avc权限--audit2allow
u012944254的博客
11-15 5532
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
audit2allow报错
baidxi的博客
04-28 356
【代码】audit2allow报错。
android分析审计工具,一种实时高效率的Android应用审计方法——AppAudit
weixin_39828715的博客
05-25 617
一种实时高效的Android应用审计方法——AppAuditEffective Real-time Android Application Auditing, 2015 IEEE Symposium on Security and Privacy, 2015年5月 [1]http://www.ieee-security.org/TC/SP2015/papers/6949a899.pdf1.1. 背...
怎么从log中查看SELinux权限导致的网络无法使用问题
06-01
要从日志中查看SELinux权限导致的网络无法使用问题,可以按照以下步骤进行操作: 1. 打开终端,以root用户身份登录系统。 2. 使用以下命令查看SELinux日志: ``` grep AVC /var/log/audit/audit.log ``` 这个命令将会输出所有包含 "AVC" 的日志记录,这些记录表示SELinux原子策略的决策。 3. 在输出中查找与网络相关的日志记录。例如,你可以搜索 "network"、"port"、"socket"、"httpd" 或 "ftp" 等关键词,以查找与网络相关的日志记录。 4. 了解SELinux的决策。在日志记录中,你会看到一些以 "AVC" 开头的记录,其中包含了SELinux的决策信息。例如: ``` type=AVC msg=audit(1436929977.620:289): avc: denied { name_connect } for pid=3211 comm="httpd" dest=80 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket ``` 这条记录表示,一个进程(httpd)尝试连接到端口80,但是由于SELinux的策略,这个连接被拒绝了。在这个例子中,原因是 httpd 进程的安全上下文(scontext)是 "unconfined_u:system_r:httpd_t:s0",而目标端口的安全上下文(tcontext)是 "system_u:object_r:http_port_t:s0"。由于这两个安全上下文不匹配,SELinux拒绝了这个连接。 5. 修改SELinux的策略。如果你在日志中发现了与网络相关的SELinux拒绝记录,那么你需要针对这些记录来修改SELinux的策略。例如,在上面的例子中,你需要将 httpd 进程的安全上下文与目标端口的安全上下文进行匹配。你可以使用 `chcon` 命令来修改文件或目录的安全上下文,使用 `semanage` 命令来修改SELinux策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值