SELinux 权限问题

最新推荐文章于 2024-08-15 13:24:05 发布
最新推荐文章于 2024-08-15 13:24:05 发布
阅读量819 收藏
点赞数
分类专栏: Framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wq892373445/article/details/106072476
版权

权限修改

  • adb在线修改seLinux
    Enforcing(表示已打开),Permissive(表示已关闭)
 getenforce;  //获取当前seLinux状态
 setenforce 1;   //打开seLinux
 setenforce 0;   //关闭seLinux
  • 从kernel中彻底关闭
    修改LINUX/android/kernel/arch/arm64/configs/xxx_defconfig文件(xxx一般为手机产品名), 去掉CONFIG_SECURITY_SELINUX=y 的配置项
  • sepolicy中添加权限
    通过指令cat /proc/kmsg | grep denied,或者kernel的Log中定位到标志性log
    在这里插入图片描述修改步骤
    找相应的源类型.te文件,此文件可能的存放路径 (其中源类型见下方的标志性log格式) :
  LINUX/android/external/sepolicy
  LINUX/android/device/qcom/sepolicy/common

标志性log 格式

avc: denied  { 操作权限  }  for pid=7201  comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类型 permissive=0

在相应源类型.te文件,添加如下格式的一行语句:(结尾别忘了分号)

 格式:allow  源类型 目标类型:访问类型 {操作权限};

实例
Kernel Log

avc: denied {getattr read} for pid=7201 comm="xxx.xxx" scontext=u:r:system_app:s0 tcontext=u:r:shell_data_file:s0 tclass=dir permissive=0

修改方案

  在system_app.te文件中,添加下面语句:
  allow system_app shell_data_file:dir{getattr read};

8.1 user版本去掉selinux权限
代码路径:\system\core\init\Android.mk

ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT)))
init_options += \
    -DALLOW_LOCAL_PROP_OVERRIDE=1 \
    -DALLOW_PERMISSIVE_SELINUX=1 \
    -DREBOOT_BOOTLOADER_ON_PANIC=1 \
    -DDUMP_ON_UMOUNT_FAILURE=1 \
    -DVERIFY_BOOT_USERDEBUG=1
else
init_options += \
    -DALLOW_LOCAL_PROP_OVERRIDE=0 \
    -DALLOW_PERMISSIVE_SELINUX=1 \
    -DREBOOT_BOOTLOADER_ON_PANIC=0 \
    -DDUMP_ON_UMOUNT_FAILURE=0 \
    -DVERIFY_BOOT_USERDEBUG=0
endif

备注:其中该属性DALLOW_PERMISSIVE_SELINUX=1 设置为1表示关闭
本文来自:http://gityuan.com/2015/06/13/SEAndroid-permission/

路过独木桥!!
关注
专栏目录
详解Android Selinux 权限问题
08-28
在Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4中也有限制性地启用了这一...
SeLinux权限配置心得总结
u013357557的专栏
02-20 4896
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
查看SELinux状态&关闭SELinux
weixin_30399055的博客
08-02 567
1. 查看SELinux状态 1.1 getenforce getenforce 命令是单词get(获取)和enforce(执行)连写,可查看selinux状态,与setenforce命令相反。 setenforce 命令则是单词set(设置)和enforce(执行)连写,用于设置selinux防火墙状态,如: setenforce 0用于关闭selinux防火墙,但重启后失效 [root@l...
Android系统和开发--安全性和权限管理 SELinux 策略 安全架构
最新发布
chenhao0568的专栏
08-15 1049
学习android权限知识 SElinux chmod -R 777 ./ setenforce 0 adb root su fastboot oem at-unlock-vboot adb disable-verityAndroid系统是基于Linux内核构建的,因此它继承了Linux的权限管理机制。Android应用需要通过声明权限来访问系统的某些功能(如摄像头、存储、位置等)。开发者在中声明权限,用户在安装应用时或者运行时可以授予或拒绝这些权限。简介: 是一个用于修改文件或目录权限的命令。含义:注意
SELinux 关于avc:denied {read write getattr xxx} for 错误
精诚所至
02-25 3510
环境平台:msm8953、android7.1.2 实例报错: avc:denied{readwrite}forpid=3944comm="handsetpowerlib"name="xxxxx"dev="tmpfs"ino=5545scontext=u:r:untrusted_app:s0:c512,c768tcontext=u:object_r:device:s0tclass=chr_filepermissive=1 可得:主体untrusted_app在对客体类别为...
SELinux 的配置小解
最实用的Linux博客
11-05 5866
原贴:http://www.linuxeden.com/forum/archiver/tid-157077.htmlSELinux 的配置小解【转载】SELinux 是从FC3和AS4起,所提供的一个高级安全特性。它可以对系统上运行的任何一个应用程序做权限上的控制。版本低于FC3/AS4的Linux,没有提供SELinux特性,或者默认就是禁用这个特性的。为了运行Plesk,需要对SELinu
Selinux详解
xxdw1992的博客
10-21 9734
一.介绍 1.1百度百科 SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。 SELinux 是 2.6 版本的 Linux内核中提.
selinux 权限文档
09-11
SEAndroid是SELinux in Android的缩写。SELinux全称Security Enhanced Linux,即安全增强版Linux,它并非一个Linux发布版,而是一组可以套用在类Unix操作系统(如Linux、BSD等)的修改,主要由美国国家安全局(NSA)...
selinux权限修改.pdf
03-26
本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce ...
selinux问题
01-05
SELinux 权限问题案例分析 SELinuxSecurity-Enhanced Linux 的缩写,表示安全强化型 Linux。它是一个基于 Linux 的操作系统的安全子系统,旨在提供一种更高级的访问控制机制,以保护 Linux 系统免受未经授权的...
selinux权限配置指南.pdf
01-21
本文档《selinux权限配置指南.pdf》将重点讲解SELinux的基本概念、运行模式、语法格式以及权限配置的各个方面,特别是结合Android平台的SELinuxsepolicy)进行讲解,旨在帮助开发者更好地理解和配置SELinux,以...
SELinux权限 ObjectClassesPerms
08-14
SELinux中,对象权限(Object Classes Perms)是定义安全策略的关键元素,用于规范不同类型的对象(如文件、进程、网络套接字等)可以执行的操作。** ### 1. SELinux通用权限集 #### 1.1.1 共享数据库(common ...
selinux权限说明
12-30
本文将深入解析Android 5.1中的SELinux权限管理机制。 一、SELinux概述 SELinux是美国国家安全局(NSA)开发的一种强制访问控制模型,其目标是通过严格的策略来限制进程对资源的访问,以防止权限滥用和恶意攻击。在...
访问文件的SELinux权限添加
01-20
最近做了一个功能:设备首次驻网时,在设备指定目录...然后设备首次驻网时在此目录下创建txt文件,”/data/vendor/time_code/time_code.txt”,此时SELinux权限问题就来了,如下所示: 原创文章 53获赞 87访问量 2万+
APK启动bin相关selinux权限
04-22
本文将深入探讨APK启动bin相关selinux权限的原理、配置以及重要性。 一、SELinux基础 1. SELinux简介:SELinux由美国国家安全局(NSA)开发,主要目的是提供细粒度的访问控制,防止恶意软件或错误配置对系统造成...
SELinux手册 电子书 pdf 英文
01-12
2. 安全上下文:SELinux 使用安全上下文来标识进程和文件的安全级别和权限。 3. 策略语言:SELinux 使用策略语言来描述访问控制规则和策略。 SELinux 的优点包括: 1. 提高系统安全性:SELinux 通过强制访问控制...
SeLinux权限说明及问题解决
xingfuyisheng的专栏
08-22 1895
在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样,对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略
SELinux权限问题解决
aylr2015的博客
06-27 1014
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题
智能终端信息安全概念(十):内核安全(2)SElinux
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-30 1623
SELinux由NSA发布,之后,Red Hat、Network Associates、Secure Computing Corporation、Tresys Technology以及Trusted Computer Solutions等公司及研究团队都为SELinux的发展做出了重要的贡献。,可在Linux系统中配置其状态。SELinux的状态分为3种,即disabled、permissive和enforcing。
SELinux权限问题:自定义Service案例分析
"SELinux权限问题案例分析" SELinuxSecurity-Enhanced Linux)是一种强制访问控制(MAC)系统,用于提高Linux操作系统的安全性。它通过定义严格的策略来限制进程可以访问哪些资源,从而减少安全漏洞的影响。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值