Android Selinux权限之genfscon

已于 2024-03-30 16:18:20 修改
阅读量746 收藏 11
点赞数 8
分类专栏: Android SELinux aosp 文章标签: android linux
于 2024-03-18 19:29:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44021334/article/details/136818155
版权
Android 同时被 3 个专栏收录
170 篇文章 11 订阅
订阅专栏
aosp
53 篇文章 2 订阅
订阅专栏
SELinux
4 篇文章 0 订阅
订阅专栏

目录

简介

genfscon 标签相关说明参考 政策兼容性

我的理解,genfscon 用于给设备节点打标签。

说人话:它可以改变设备类型,如把某一个节点从 u:object_r:sysfs:s0 改为 u:object_r:sysfs_dev:s0 。

举个例子。
在这里插入图片描述

在读写设备节点时,碰到了 Selinux 权限问题,
根据 log 添加了 allow system_app sysfs:file rw_file_perms; ,编译后触发了 neverallow 报错。

触发了 neverallow ,根本原因是赋予的权限过⼤,缩⼩范围即可。
即我们需要访问的是 sys/ 目录下的某一个文件夹,其实并不需要访问整个 sys/ 目录。
指定访问 sys/ 下的指定目录即可,指定目录的类型可以按需修改。

不过CTS认证的话,可以根据编译报错直接修改 system/sepolicy/ 目录的文件。

因为要过CTS认证,不能修改 system/sepolicy/ 目录

所以另寻他法,就用到了 genfscon 标签。

1.genfscon

访问的节点是 sys/devices/virtual/test_class/test_dev/ ,

通过 ls -lZ sys/devices/virtual/test_class/test_dev/* 知道,它是 u:object_r:sysfs:s0 类型

修改 device/xxx/common/sepolicy/vendor/genfs_contexts

+genfscon sysfs /devices/virtual/test_class/test_dev/                             u:object_r:sysfs_dev:s0
+genfscon sysfs /devices/virtual/test_class/test_dev/capacity                     u:object_r:sysfs_dev:s0
+genfscon sysfs /devices/virtual/test_class/test_dev/status                       u:object_r:sysfs_dev:s0
+genfscon sysfs /devices/virtual/test_class/test_dev/time_empty                   u:object_r:sysfs_dev:s0
+genfscon sysfs /devices/virtual/test_class/test_dev/time_full                    u:object_r:sysfs_dev:s0

烧录后再使用 ls -lZ 查看就是 u:object_r:sysfs_dev:s0 类型,说明修改生效。

2.te文件

source 、lunch 后使用 get_build_var BOARD_SEPOLICY_DIRS 命令找到当前产品使用的权限目录,

修改 device/xxx/common/sepolicy/vendor/system_app.te ,

+allow system_app sysfs_dev:file rw_file_perms;

3.节点权限

修改 device/xxx/yyyy/init.rk3588.rc ,把权限改为 666 ,可读可写。

+    chmod 0666 /sys/class/test_class/test_dev/capacity
+    chmod 0666 /sys/class/test_class/test_dev/status
+    chmod 0666 /sys/class/test_class/test_dev/time_empty
+    chmod 0666 /sys/class/test_class/test_dev/time_full
+    chmod 0666 /sys/class/test_class/test_dev/uevent

4.编译

source 、lunch 后,可以使用 make -j12 sepolicy 命令验证 Selinux 相关的修改,

它可以验证语法是否正确、是否触发 neverallow 。单编比全编快多了,节约时间。

编译后可以通过查看 out/target/product/xxx/vendor/etc/selinux/vendor_sepolicy.cil 文件,检查是否编译进去了。

编译验证,OK 。

我是怎么知道把 u:object_r:sysfs:s0 改为 u:object_r:sysfs_dev:s0 的?
无他,唯 debug ~ 。换了好几个类型试出来的。

找到 device/xxx/common/sepolicy/vendor/file.te, sysfs_dev 的定义如下,

type sysfs_dev, fs_type, sysfs_type, mlstrustedobject;

再遇到类似问题,如 demo 类型 NG ,可以尝试 demo_dev 、 demo_service 、hal_demo 等和它有关的类型,或者声明为 mlstrustedobject 的类型(声明为 mlstrustedobject 的类型,具有更多的权限)。

有没有编译成功,验证NG的情况?
答:有! 不是所有情况下都可以这样改。
有试过把 u:object_r:camera_device:s0 改成其他类型,虽然编译通过,但是 camera 相关的功能就异常了。
所以,权限有风险,修改需谨慎!!!

大秦樗里疾
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
selinux权限修改.pdf
03-26
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能...
深入理解SELinux SEAndroid之二
热门推荐
Innost的专栏
02-21 7万+
接第一部分的内容(http://blog.csdn.net/innost/article/details/19299937)。今天公司年会,哥高兴,所以发布第二部。SELinux/SEAndroid一共分三部分。第一和第二部分是SELinux的基础知识,第三部分是SEAndroid的工作源码分析。        深入理解SELinux/SEAndroid 第二部分3)  File/File Sys
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3062
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
SeLinux安全上下文文件
littleyards的博客
04-01 576
Android中,常见的安全上下文文件有file_contexts、genfs_contexts、service_contexts、mac_permissions.xml和seapp_contexts。seapp_contexts,app的安全上下文,用于描述apk 安装之后的目录文件和/data/data 目录分配标签。根系统中所有文件的安全上下文, 如/system/bin, /system/etc 等文件。系统binder服务的安全上下文,在启动过程中,servermanger会读取该配置。
Android Selinux详解[三]--新增设备节点标签相关
weixin_41028555的博客
03-11 949
上个章节说了在file_context中也可以新增节点,但可能会出现标签无法生效的情况,这种情况下就需要在genfs_contexts中去新增设备节点相关的标签了,因为在genfs_contexts中打的标签,系统会自动执行restorecon命令,而在file_contexts中新增设备节点标签,是需要代码或者手动执行restorecon命令才会生效的。
genfscon使用翻译
steel0205的专栏
03-06 67
selinux genfscon翻译
android 10 system app 读取sysfs_leds avc修改
wangjicong_215的博客
08-10 1060
/device/qcom/sepolicy/generic/vendor/common/system_app.te +allow system_app sysfs_leds:dir r_dir_perms; +allow system_app sysfs_leds:file rw_file_perms; +allow system_app sysfs_leds:lnk_file read; device/qcom/sepolicy/generic/vendor/common/genfs_contexts +
Android App访问串口节点需要解决的权限问题
Android技术之家
09-01 1448
本篇文章转自乐小迪vs同学的投稿,文章主要分享了如何实现系统底层授权,相信会对大家有所帮助!原文地址:https://juejin.cn/post/7234795667478003770应用层在开发串口功能时经常需要跟驱动节点打交道,当我们新增一个硬件设备,一般会提供对应的节点给上层(framework,app)访问访问节点的方式 java IOadb shell cat以usb节点为例,其路径为...
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
SELinux for Android 8.0
12-10
This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip ...
SELinux规则添加进阶
Ryan ZHENG的专栏
07-26 1432
在上一篇中,我们已经了解了一个常规`avc denied`日志信息该如何应对。当时挖的两个坑,今天来填一下: - 添加的SELinux规则是否存在权限放大; - 添加的SELinux规则是否触犯neverallow; 实际上,这是一类问题,今天正好遇到了对应的需求,就以此为例,进行以下介绍:...
Android9 Sepolicy规则基础 - MTK平台
技海淘金
02-29 4854
1. SELinux的基础原则 默认拒绝原则 - 任何未经明确允许的行为都会被拒绝(即:白名单制) 2. SELinux的两种执行模式 宽容模式 - 权限拒绝事件会被记录下来,但不会被强制执行。(权限不够时,仅警告) 强制模式 - 权限拒绝事件会被记录下来并强制执行。(权限不够时,拒绝执行) 3. SELinux在安卓平台上的演变 低于安卓4.3 - 默认不支持SELinu...
【QCM6125】Android12 selinux权限修改及快速调试
sunnywalden
01-04 2774
【QCM6125】Android12 selinux权限修改及快速调试
Android-SEAndroid权限问题指南
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
Android selinux权限设置
cuitianxiang的专栏
03-02 1999
背景 在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限selinux权限设置 案例一 db访问不了了 背景 有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。 解决方案及过程 最终解决方案 在系统fingerprint.te里添加权限 allow fingerprintserver apk_d
selinux 权限修改
vrix的专栏
10-16 2365
方法1: adb在线修改seLinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前seLinux状态 setenforce 1; //打开seLinux setenforce 0; //关闭seLinux 方法2: 从kernel中彻底关闭 修改LINUX/android
Android-NDK开发Crash错误定位
最新发布
2401_85667530的博客
06-17 610
从上图的目录结构中可以看出来,NDK针对不同的CPU架构实现了多套相同的工具。所以在选择addr2line和objdump工具的时候,要根据你目标机器的CPU架构来选择。如果是arm架构,选择arm-linux-androidabi-4.6/4.8(一般选择高版本)。x86架构,选择x86-4.6/4.8。mipsel架构,选择mipsel-linux-android-4.6/4.8。
Android selinux 权限的作用?
03-20
Android SELinux(Security-Enhanced Linux)是一种安全机制,用于加强Android系统的安全性。它通过强制访问控制(MAC)来限制应用程序和系统服务的权限,以防止恶意应用程序对系统进行攻击或滥用权限Android SELinux的主要作用如下: 1. 强制访问控制:SELinux通过为每个进程和文件分配安全上下文,限制了进程和文件之间的访问权限。这样可以防止应用程序越权访问其他应用程序或系统资源。 2. 提高应用程序安全性:SELinux可以限制应用程序的权限,使其只能访问其需要的资源,从而减少了应用程序被攻击的风险。 3. 隔离应用程序:SELinux可以将不同应用程序隔离开来,防止恶意应用程序通过攻击其他应用程序来获取敏感信息或控制系统。 4. 减少攻击面:SELinux可以限制系统服务的权限,防止恶意应用程序利用系统服务进行攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值