Android 9.0 SELinux avc dennied权限问题解决方法

最新推荐文章于 2024-07-06 20:00:00 发布
最新推荐文章于 2024-07-06 20:00:00 发布
阅读量1.7k 收藏 6
点赞数
分类专栏: Android系统开发 文章标签: android qt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wq892373445/article/details/120315124
版权
  1. 概述
    SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。
    然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。
  2. 调试确认SELinux问题
    为了澄清是否因为SELinux导致的问题,可先执行:
    setenforce 0 (临时禁用掉SELinux)
    getenforce (得到结果为Permissive)
    如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。
    遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破:
    cat /proc/kmsg | grep avc

    dmesg | grep avc
    例如:
    audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev=“tmpfs” ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
    可以看到有avc denied,且最后有permissive=0,表示不允许。
  3. 具体案例分析
    源代码路径:Android/external/sepolicy/*.te
    案例1:
audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=/1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

分析过程:
缺少什么权限: { write }权限,
谁缺少权限: scontext=u:r:kernel:s0
对哪个文件缺少权限:tcontext=u:object_r:block_device
什么类型的文件: tclass=blk_file
完整的意思: kernel进程对block_device类型的blk_file缺少write权限。
解决方法:
在上文A位置,找到kernel.te这个文件,加入以下内容:

allow  kernel  block_device:blk_file  write;

make installclean后重新编译,刷boot.img才会生效。
案例2

audit(0.0:53): avc: denied { execute } for  path="/data/data/com.mofing/qt-reserved-files/plugins/platforms/libgnustl_shared.so" dev="nandl" ino=115502 scontext=u:r:platform_app:s0 tcontext=u:object_r:app_data_file:s0 tclass=file permissive=0

分析过程:
缺少什么权限: { execute}权限,
谁缺少权限: scontext = u:r:platform_app:s0
对哪个文件缺少权限:tcontext = u:object_r:app_data_file
什么类型的文件: tclass= file
完整的意思: platform_app进程对app_data_file类型的file缺少execute权限。
解决方法:在上文A位置,找到platform_app.te这个文件,加入以下内容:

allow  platform_app  app_data_file:file  execute;

案例3

audit(1444651438.800:8): avc: denied { search } for pid=158 comm="setmacaddr" name="/" dev="nandi" ino=1 scontext=u:r:engsetmacaddr:s0 tcontext=u:object_r:vfat:s0 tclass=dir permissive=0

解决方法 :

allow  engsetmacaddr  vfat:dir  { search write add_name create }; 或者
allow  engsetmacaddr   vfat:dir  create_dir_perms;

案例4

audit(1441759284.810:5): avc: denied { read } for pid=1494 comm="sdcard" name="0" dev="nandk" ino=245281 scontext=u:r:sdcardd:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

解决方法

allow  sdcardd  system_data_file:dir  read;  或者
allow  sdcardd  system_data_file:dir  rw_dir_perms;
  1. 万能公式
以第案例4为例:
audit(1441759284.810:5): avc: denied { read } for pid=1494 comm="sdcard" name="0" dev="nandk" ino=245281 scontext=u:r:sdcardd:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0

某个scontext对某个tclass类型的tcontext缺乏某个权限,我们需要允许这个权限:
我们的log重新排列一下,
scontext = u:r:sdcardd
tcontex t= u:object_r:system_data_file:s0
tclass = dir
avc: denied { read }
得到万能套用公式如下:
在scontext所指的.te文件(例如sdcardd.te)中加入类似如下allowe内容:
参考文档:https://blog.csdn.net/m0_37905055/article/details/100689474?utm_medium=distribute.pc_relevant.none-task-blog-2defaultbaidujs_title~default-0.no_search_link&spm=1001.2101.3001.4242

路过独木桥!!
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Android 关闭SElinux权限
hyg55555的博客
01-09 344
【代码】Android 关闭SElinux权限
SELinux解决avc denied
m0_46211029的博客
03-28 4871
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC SELinux工作模式 SELinux 有三种工作模式,分别为: enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻...
Android Debug: avc denied 已存在的目录不能访问
04-24 784
scontext指的是域,对应的是te文件 上面报错这条对应te文件是untrusted_app.te, scontext全写是source_type context;tcontext指的是目标类型,上面报错这条对应的是目标类型system_file,tcontext全写是target_type context;denied后面{}里的是要执行的动作,比如append,open,execmod,link等等。tclass指的是类别,上面报错这条对应的是类别是file,源类型 目标类型:访问类别 {权限};
android selinuxavc denied权限和编译报neverallow解决方案
最新发布
Venus 的博客
07-06 320
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
Android seLiunx权限问题(avc dennied)解决方法
Crazy程序猿
03-29 2728
Android seLiunx 调试方法
linux文件组 avc: denied { dac_read_search } for capability=2
xiaowang_lj的博客
10-07 968
1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。当前运行的进程的UID很多样,root,system,radio,u0_a*等等,通过”ps -e” 可以看到,Android系统中存在很多User。输入 上面的命令查看 android.xxxtest 进程的信息。将我们的service 在group中添加需要的组即可。其中前缀为u0_a代表的是APP进程的UID。可以看到9997 是everybody 组。首先查找进程的id号,这里是7867。
修改了selinux权限却依然报avc: denied的错误
qq_35141454的博客
10-10 1712
在上篇文章中,https://blog.csdn.net/qq_35141454/article/details/102462971,让应用程序实现了对spi设备的读写。接着去尝试让引用程序去读写系统自带的i2c接口,在dev下,有两个i2c节点:i2c-2和i2c-3。 按照上篇文章所述去修改相应的te文件,编译内核报错,大概就是重定义了。于是我查看了i2c节点属...
android 9.0 selinux 策略配置
zhbpd的专栏
10-19 2119
主要配置: (1)文件; 在 file.te 中声明一个文件类型; type my_file, file_type, data_file_type, core_data_file_type; 在 file_contexts 文件中关联实际的文件路径和文件类型; /data/my_file(/.*)? u:object_r:my_file:s0 注意 my_file 的类型,如果是data目录下的,要添加 core_data_file_type; 是 vendor目
[SDM660 Android9.0]selinux权限
但行前路 无问西东
05-20 545
1.apk控制gpio init.qcom.rc里给该io 666权限 也不能操控 操控报错 应用层 5244 5244 W ing.aliveDetect: type=1400 audit(0.0:183): avc: denied { write } for name="value" dev="sysfs" ino=50119 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:sysfs:s0 tclass=file perm
详解Android Selinux 权限问题
08-28
Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4中也有限制性地启用了这一...
MT6582 android 5.0 avc denied问题如何处理
szx940213的博客
12-27 529
加了一个地磁传感器[   14.226038].(1)[152:logd.auditd]type=1400 audit(1262304017.660:4): avc: denied { write } for pid=283 comm="mcI64xxd" name="regmap" dev="sysfs" ino=10576 scontext=u:r:mcI64xxd:s0 tcontext=...
Android SELinux avc dennied权限问题解决方法
mengyays的博客
04-24 507
Android SELinux avc dennied权限问题解决方法 原创缥缈孤鸿影_love 最后发布于2017-05-25 18:10:37 阅读数 35060 收藏 展开 这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限...
Android avc: denied 深入沟兑02(dac_read_search)
小猪六月的博客
04-09 1838
dac_read_search与规避neverallow The dac_override denial issue means that the offending process is trying to access a file with the wrong user/group permissions.The correct solution almost never grants dac_override policy, becasue if this process is not in "
[Android]通过‘avc denied‘日志信息添加SELinux规则
Ryan ZHENG的专栏
12-28 3255
[Android]通过’avc denied’日志信息添加SELinux规则 前言 本文仅讨论如果通过’avc denied’日志信息,确定缺失的SELinux规则。 暂不讨论: 添加的SELinux规则是否存在权限放大; 添加的SELinux规则是否触犯neverallow; (有时间再补上这两部分,挖坑+1…) 背景 最近在跑CTS,有些Fail项与SELinux有关,这里举个例子: cts-tf > run cts -m CtsNetTestCases -t android.net.ipv6
Android SELinux avc dennied权限问题
csh86277516的博客
11-20 3542
Android SELinux avc dennied权限问题解决方法 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解
android 解决AVC问题
点滴的岁月
11-01 2192
Android 解决avc
节点写入报avc权限问题
youthking1314的博客
12-28 667
节点写入报avc权限问题
Android Q上的SeLinux权限管理与问题解决
本文档深入探讨了Android系统的Security-Enhanced Linux (SeLinux) ...本文档提供了关于SeLinuxAndroid系统中的重要性和应用,帮助开发者和系统管理员识别和解决权限相关问题,确保应用程序在高度安全的环境中运行。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值