SELinex权限问题调试

最新推荐文章于 2023-11-01 19:24:42 发布
最新推荐文章于 2023-11-01 19:24:42 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: Android系统安全 文章标签: selinux android linux debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlwl0071986/article/details/49701151
版权

SELinex调试

 

当SELinux处于enforcing模式下时某些程序的执行会失败,在这里总结此类问题的总体分析方法。

1、首先排除DAC权限的问题,使用“ls –l”检查相关文件的属主和权限。如果DAC的权限许可,则就是SELinux的策略显式地拒绝了当前操作的执行。


2、通过“setenforce 0”命令进入permissive模式(getenforce命令查看模式)。此操作可暂时关闭selinux强制访问控制,可直接进行调试,若此时操作还是不允许,则与selinux无关。重启后还原成默认模式。


3、通过“dmesg | grep avc”查看 AVC log,从分析失败操作相应的AVC Denied Msg入手区分问题的根源,以下为一条拒绝信息:

type=1400 audit(1392617891.300:4): avc: denied  { write } for  pid=1639 comm="fsck.exfat"name="log" dev="tmpfs" ino=1300 scontext=u:r:vold:s0tcontext=u:object_r:log_device:s0 tclass=dir


4、通过log信息可知,源域类型为vold,目标域类型为log_device,客体类别为dir,需要的权限为write,可在device/softwinner/wing-common/sepolicy下添加以下策略:

allow vold log_device:dir { write }


5、以上处理即可允许该操作,若需要自定义新的域类型。从Log中的comm="fsck.exfat"可找到应用名称,然后通过find命令找找到应用所在,然后通过命令“ls -Z /system/bin/fsck.exfat”查看安全上下文,fsck.exfat为system_file类型:

-rwxr-xr-x root     shell             u:object_r:system_file:s0fsck.exfat


6、添加以下策略及定义:

type newtype, domain; #定义新的域类型

permissive newtype;

type newtype_exec, file_type, exec_type;

domain_auto_trans(vold, newtype_exec, newtype) #域转换宏

unconfined_domain(newtype)

/system/bin/fsck.exfat u:object_r:newtype_exec:s0

allow newtype_exec log_device:dir { write }

布列瑟农的秋天
关注
专栏目录
Linux Centos-7 关闭selinux。(临时关闭和永久关闭)
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
06-09 4041
3.永久关闭,在终端输入vim /etc/selinux/config,回车,4.重启系统 reboot和(终端指令为 init 6)。(3)摁Esc键,再摁:键,输入wq(注意小写),回车。2.临时关闭,在终端输入setenforce 0。选到SELINUX=enforcing这一行,
Selinux详细讲解及相关的配置
BLXH-AS
02-08 1万+
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ;如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制...
Selinux文件节点读写权限和控制器权限配置
weixin_37961937的博客
06-28 1001
排查方法主要是查看点击该功能,系统打印出来的日志,发现缺少权限配置,我的最开始是文件读写权限缺少,后来又是控制器权限配置,很多权限他不是一次性出来的,以上截图是我其中一份日志是,仅供参考,是告诉你们看到系统日志里面如何找自己需要配置哪些全部。下面开始看我的日志,这段错误日志跟上面第一点的几乎一样,唯一不同的就是他是denied { read }这一段是 denied { write }这里面操作权限是可读,因为操作的不同,日志中体现的错误日志也不同,所以最终的写法就是。上面就是我所有需要配置的权限了。
android系统user/userdebug版本设置selinuxSELINUX_PERMISSIVE模式
jinron10的专栏
01-06 1373
不是针对消费电子,像工控特殊行业应用,有时需要将androidselinux强行打开。 方法如下: 1、system\core\init\Android.mk --- a/system/core/init/Android.mk +++ b/system/core/init/Android.mk ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT))) init_options += \ -DALLOW_LOCAL_PROP_OVERRIDE=
selinux权限调试
python_bigniu的博客
09-05 1101
Android 中启动一个新的进程的时候,需要添加相关权限,否则进程无法启动。 以最近添加的BT/WIFI功能进程为例,解决步骤如下: 一、首先设置为permissive模式再启动进程 1.adb shell setenforce 0 设置为宽容模式 logcat -c 清零logcat 里的log 2.使用QCOM启动相关进程后,再使用QRCT进行进程的通信测试 二、抓取log搜索相关关键字 1.logcat | grep ftmdaemon (也可以使用dmesg | grep ftmdaemo
Android P SElinux权限调试
Android 系统开发
08-27 802
Android P SElinux权限调试Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控制“data”分区文件和“sys”文件节点状态。 因此该功能涉及到selinux权限有两部分,一部分是sy
Android7.0 webview android.content.res.Resources$NotFoundException
iamcxl
09-18 1611
Android7.0 webview android.content.res.Resources$NotFoundException0x01. 崩溃日志首先从崩溃日志的信息上就能看出来不是应用层的资源问题。 1.source id: 0x20b00000 2.崩溃栈的记录是在chromium创建Actionmenu的时候(长按webview中的一段文本)09-15 15:22:25.072 3
Selinux 权限解决记录
最新发布
storm_peng的专栏
11-01 1766
再ls -z /sys/devices/platform/soc/fe08c000.mmc/mmc_host/mmc0/mmc0:0001/life_time 名字就变过来了。setenforce 0 之后,操作正常的,就可以确认为selinux权限问题了,下面记录曾经遇到过的权限问题。wakelock 的owner 为radio, group 为wake_lock,而tvhalserver属于root 的。场景:客户的app 应用需要在他的APP 里,读取系统文件节点,但运行的时候,获取不到需要的值。
SELinux 权限添加
m0_52481422的博客
11-19 1294
通过adb shell getenforce 可以获取SELinux的工作模式,Enforcing表示打开,Permissive表示关闭。 当有权限未被允许时,kernel log 会提示,比如我遇到的是: type=1400 audit(1590114336.309:8): avc: denied { search } for pid=1582 comm="ip" name="net" dev="mmcblk1p16" ino=16 scontext=u:r:sysCfg:s0 tcontext=u:ob
linux怎么看文件安全上下文,Linux的安全控制访问模块之SElinux
weixin_31271165的博客
04-28 919
SElinux1、Selinux介绍:Linux的一个强制访问控制安全模块,2000年以GNU GPL发布,Linux内核2.6版本集成在内核中。DAC:自由访问控制,进程是无束缚的。MAC:强制访问控制,策略的规则决定控制的严格程度(策略被用来定义被限制的进程能够使用那些资源[文件和端口]);进程的可以被限制的;默认情况下,没有允许的行为将被拒绝。2、Selinux的四种工作类型:(1)star...
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限
keepalived运用
yeqixian123456的博客
08-06 294
keepalived简介 1.1 keepalived是什么? Keepalived 软件起初是专为LVS负载均衡软件设计的,用来管理并监控LVS集群系统中各个服务节点的状态,后来又加入了可以实现高可用的VRRP功能。因此,Keepalived除了能够管理LVS软件外,还可以作为其他服务(例如:Nginx、Haproxy、MySQL等)的高可用解决方案软件。 Keepalived软件主要是通过VRRP协议实现高可用功能的。VRRP是Virtual Router RedundancyProtocol(虚拟.
ABAP-技能树
smzyydwwb的博客
05-06 1016
ABAP-技能树
异常:java.lang.ArrayIndexOutOfBoundsException
热门推荐
m0_64838208的博客
05-20 5万+
java.lang.ArrayIndexOutOfBoundsException: 一种运行时异常,常出现在数组下标越界中,称为下标出界异常 代码演示: 下面异常报错,就是因为我的数组arr只能有arr[0],arr[1]两个元素,而我的循环中多插入了,所以出现了下标越界,而这是运行时异常,需要用户自己解决,所以我们有两种处理方法: 两种解决方式就可以消除异常 ...
android系统】chomd 777都解决不了的——SElinux权限问题解决方法
看图的博客
01-18 7371
背景 在mediaservice中读取设备节点/dev/sst_storage失败,通过log发现没有权限。尝试chomd 777设置设备节点权限,发现在代码中还是无法获取到权限打开和读取。通过网上资料查询获知可能是SELinux策略导致的。 了解权限管理机制 权限管理机制介绍 SEAndroidSELinuxAndroid 上面的一个移植。SELinuxLinux上系统保护机制,S...
ZXing竖屏解决(完美版)
似锦
11-23 8650
好久没写博客了,正在做扫码的项目,我们调用ZXing的项目,毕竟有源码,比较好的深入哈。我用的是ZXing2.1的包,其实这个包也有问题,就是编码问题,请看ZXing乱码问题的解决!传送门(这个经测试还是有乱码问题,以后我会写一篇作为参考) 在之前一定要仔细看源码哦,这个项目有很多学习的地方呢。 好了,不多说了,正文,怎么解决竖屏问题,相信网上也能搜得到,可是那好多都是基于ZXing1.6版本
移植exfat修改vold使Android4.4.2自动挂载exfat格式的U盘(支持插过苹果电脑exfat格式的U盘)
zhengyuquan的专栏
06-11 1318
由于原来Android4.4.2的SDK不支持插过苹果电脑exfat格式的U盘,原因是exfat版本太低,所以要移植最新版本的exfat才可以。最新版本的exfat源码地址:(exfat)点击打开链接移植exfat需要依赖libfuse,libfuse最新源码地址:(libfuse)点击打开链接代码与编译好的文件都可以在 CSDN 资源里下载:一、修改 exfat 代码移植需要修改代码,但是修改的...
Android 11.0 支持exFAT文件系统
05-10 3340
Android 11.0 支持exFAT文件系统,主要工作是kernel部分的nofuse移植和userspace的fuse移植,其他部分kernel和android都已实现,这个移植工作参考下面任何一篇文档都可以实现,我就不赘述了。 kernel中移植nofuse,代码下载解压后,更名exfat放到kernel/fs下, 修改kernel/fs下Kconfig、Makefile,以及kernel的config。 移植fuse,下载源码,并放到external/exfat下, 修改编译系统的.mk
SELinux整理笔记
liguangxianbin的博客
05-25 5267
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&wfr=spider&for=pc一、前言安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
SELinux 的基本介绍及用法
awoyaoc的博客
05-14 8337
SELinux 的基本介绍及用法安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。进行实验时首先 [root@localhost ~]# rm -rf /etc/vsftpd/ [root@localh...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值