解决Android log中selinux报错问题

已于 2022-07-19 19:03:13 修改
阅读量2k 收藏 7
点赞数
分类专栏: Android系统 文章标签: android
于 2022-07-19 19:02:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55053963/article/details/125878249
版权

1. 问题

如题,Android运行的时候看log发现了如下的selinux权限相关的log,尝试将这个问题解决,下面记录一下解决的步骤。

	行 804: E000001  01-01 08:00:02.700   311   311 I auditd  : type=1400 audit(0.0:4): avc: denied { search } for comm="mke2fs" name="ext4" dev="sysfs" ino=19653 scontext=u:r:e2fs:s0 tcontext=u:object_r:sysfs_fs_ext4:s0 tclass=dir permissive=0
	行 805: M000001  01-01 08:00:02.700   311   311 W mke2fs  : type=1400 audit(0.0:4): avc: denied { search } for name="ext4" dev="sysfs" ino=19653 scontext=u:r:e2fs:s0 tcontext=u:object_r:sysfs_fs_ext4:s0 tclass=dir permissive=0

2. 分析

从上面的log可以得到如下信息:
scontext: u:r:e2fs:s0 // 谁缺少权限
tcontext: u:object_r:sysfs_fs_ext4:s0 // 对什么文件缺权限
tclass: dir // 缺权限的文件是什么类型
denied{search} // 缺少什么权限
有了这些信息,可以知道我们需要找到e2fs.te的文件添加如下语句:

allow e2fs sysfs_fs_ext4:dir search;

3. 解决问题

3.1 添加权限

有了前面的分析,现在需要找到系统中这个e2fs.te文件在什么位置,全局搜索了一下,应该是这个文件:

system/sepolicy/public/e2fs.te

# 同时还有当前使用的api下的文件也是需要做相应的修改
system/sepolicy/prebuilts/api/30.0/public/e2fs.te

注意上面的两个文件内容是相同的,为了不出差错,修改的时候也在同一个位置进行改动,修改后内容如下:

type e2fs, domain, coredomain;
type e2fs_exec, system_file_type, exec_type, file_type;

allow e2fs devpts:chr_file { read write getattr ioctl };

allow e2fs dev_type:blk_file getattr;
allow e2fs block_device:dir search;
allow e2fs userdata_block_device:blk_file rw_file_perms;
allow e2fs metadata_block_device:blk_file rw_file_perms;
allow e2fs dm_device:blk_file rw_file_perms;
allowxperm e2fs { userdata_block_device metadata_block_device dm_device }:blk_file ioctl {
  BLKSECDISCARD BLKDISCARD BLKPBSZGET BLKDISCARDZEROES BLKROGET
};

allow e2fs {
  proc_filesystems
  proc_mounts
  proc_swaps
}:file r_file_perms;

# access /sys/fs/ext4/features
allow e2fs sysfs_fs_ext4_features:dir search;
allow e2fs sysfs_fs_ext4_features:file r_file_perms;

# access SELinux context files
allow e2fs file_contexts_file:file r_file_perms;

allow e2fs sysfs_fs_ext4:dir search;

修改完成之后开始编译,此时发现有报错,sysfs_fs_ext4这个类型并没有定义,找不到该类型。

3.2 解决类型未定义问题

现在需要找到定义类型的文件,加上该类型的定义。找了一遍之后发现应该是如下文件定义:

system/sepolicy/public/file.te
system/sepolicy/prebuilts/api/30.0/public/file.te

这里找到的这两个文件还是相同的,因此修改完应该还是一样的。找到这个文件的适当的位置加上类型定义,由于文件较大,就不贴上全部代码了

# 可以找到这个文件其他的定义sysfs_fs相关的类型的地方进行定义
type sysfs_fs_ext4, sysfs_type, fs_type;

修改完成两个文件之后继续编译,此时报错中有关键字:duplicate,由于忘记截图了没法贴上,大概的意思就是这个类型重复定义了,看打印的log和packages/services/Carcar_product/sepolicy/public/file.te冲突了,找到这个文件去掉了其中的定义。继续编译没有这个报错了。
现在有了新的问题,看log显式其他的26.0、27.0、28.0、29.0的api报错了。

3.3 其他api编译报错问题

大概是因为我给上层的file.te文件加上了新的类型,这些api虽然没有使用到,但是也需要更新进去。做如下修改:

# 对26.0、27.0、28.0、29.0几个文件夹做修改
# 路径: system/sepolicy/prebuilts/api/2?.0/public/file.te
# 加上如下内容
type sysfs_fs_ext4, sysfs_type, fs_type;

整编通过,刷机验证之后问题已经解决,相关的selinux没有了。

4. 总结

这里介绍的方法是在system/sepolicy下添加一个新类型的selinux配置,如果要修改的类型在file.te中已经定义过了,则只需要执行3.1的步骤就修改两个文件就可以了。

c-Schutz
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 打开selinux后,需要添加avc权限
qq_27256793的博客
04-01 6548
type=1400 audit(0.0:18): avc: denied { ioctl } for path="socket:[57632]" dev="sockfs" ino=57632 ioctlcmd=8927 scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:r:untrusted_app:s0:c512,c768 tclass=tcp...
Android 修改 SELinux avc 权限的方法
jppipai的博客
03-01 4515
Android 系统的开发及适配过程,我们常常需要对 SELinux avc 权限进行修改
系统应用配置文件读写权限
qq_38996911的博客
05-11 3015
问题: 内置系统应用,出现failed path:/dev/socket/mdnsd Socket:54 Err:-1 Errno:2 No such file or directory type=1400 audit(0.0:150): avc: denied { write } for name=“com.kandaovr.meeting.screenshare-NTGJvDIA-a15t2RsCWVMQg==” dev=“dm-2” ino=794626 scontext=u:r:system_ap
linux文件组
qq_34250794的博客
01-08 2695
linux文件组 avc: denied { dac_read_search } for capability=2 scontext=u:r:xxx:s0 avc: denied { dac_override } for capability=1 scontext=u:r:xxx:s0 tcontext=u:r:xxx:s0 tclass=capability permissive=0 1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。 2、我们可以查看需要访
ubuntu1604环境下mariadb启动卡住报错和apparmor基本使用
久伴你逍遥风的博客
12-14 1612
问题描述:Ubuntu 1604 新环境下使用apt安装的mariadb10版本,结果第二天就起不来了,启动时会卡住,很是郁闷 启动mariadb服务 启动失败,先查看一下状态 肯定也是不正常的,看一下有没有什么错误输出信息 然后再使用这个查看详细一点的报错 journalctl -xe 当时就只顾着找error关键字,没在意其他的,后来才注意到这个apparmor=...
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统SELinux扮演着重要的角色,本文将介绍Android...
Android不同版本SELinux的介绍
01-01
Android系统SELinux扮演着至关重要的角色,它限制了应用程序和服务对系统的访问权限,从而降低了恶意软件的危害。本文将详细介绍Android 8.0SELinux特性和工作原理。 **一、Android 8.0SELinux概述**...
SELinux权限问题解决参考
we1less的博客
07-31 2579
6666
selinux dac_override/dac_read_search问题处理思路
Step By Step
09-25 8276
dac_override和dac_read_search是我们偶尔会遇到的一个selinux warning,不同于其他大部分denied可以直接加对应权限修正,这两个warning都是需要改code或者修改文件权限来处理,本文通过三个例子简单介绍这类selinux warning的处理方式,供debug参考。
Linux文件权限chmod命令使用说明
一颗开花的术
11-02 367
chmod用于修改文件权限 命令格式:chmod 权限 文件 如:chmod 777 /home/user/aaa/test 常用的linux文件权限: 444 r–r--r– 600 rw------- 644 rw-r–r-- 666 rw-rw-rw- 700 rwx------ 744 rwxr–r-- 755 rwxr-xr-x 777 rwxrwxrwx 从左至右,1-3位代表文件所有...
节点写入报avc权限问题
youthking1314的博客
12-28 652
节点写入报avc权限问题
SELinux权限问题解决
wan2g的博客
06-01 980
android SELinux权限问题
android 解决AVC问题
点滴的岁月
11-01 2154
Android 解决avc
Android系统开发_Selinux权限问题相关
Android开发,终身学习者。有问题欢迎私信交流~
11-29 875
在修改了system_app.te的内容后,make selinux_policy的时候,会提示有其它的never allow,这时要根据提示,找到对应的位置进行修改。3)system/sepolicy/prebuilts/api/31.0/private/property.te 添加。2)system/sepolicy/prebuilts/api/31.0/public/domain.te 添加。1)在system_app.te添加。日志过滤搜索 avc。
Android Selinux 权限配置
freedom9977的博客
12-31 3886
1.SElinux三种权限: enforcing:强制模式、代表SELinux运行,且已经正确的开放限制 domain/type。 permissive:宽容模式、代表SELinux运行,不过金会有警告信息并不会直接限制 domian/type。 disabled:关闭模式、SELinux 关闭状态 2.基础权限的配置 比如内核报这样的错: [ 172.554381] type=1400 audit(22611.739:4): avc: denied { getattr } for ...
android系统tun_SEAndroid系统架构总体分析
weixin_39873356的博客
01-17 642
1.前言在LinuxNSN开发了SELinux,来保护linux系统的安全,因为Android有着独特的用户运行时空间,所以SELinux并不完全适用Android,故而在SELinux的基础上有了SEAndroid,SEAndroid主要保护的对象就是系统的资源例如文件,属性等和系统的进程,Socket,IPC等。2.SELinux的整体结构在SEAndroid的整体结构,通过SELin...
avc: denied 权限问题
热门推荐
Venus 的博客
09-28 2万+
avc:denied 有些时候在eng版本会出现类似错误,可能导致在user版本无法使用: 1)avc: denied { getattr } for path=”/sbin/cbd” dev=”rootfs” ino=1182 scontext=u:r:cbd:s0 tcontext=u:object_r:rootfs:s0 tclass=file permissive=0 2)avc: ...
android 如何统计所有selinux报错
最新发布
12-01
总结起来,要统计Android的所有SELinux报错,需要获取内核日志、过滤SELinux报错、统计报错数量、分析报错原因并提取关键信息。这将帮助我们更好地了解系统安全状态,并及时采取措施解决潜在的问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值