Android O selinux违反Neverallow解决办法

最新推荐文章于 2024-03-14 11:32:14 发布
最新推荐文章于 2024-03-14 11:32:14 发布
阅读量3w 收藏 61
点赞数 10
分类专栏: Android Experience 文章标签: selinux neverallow Android O sepolicy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxw0609131056/article/details/79784490
版权

因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:

1、Android O selinux相关配置文件所在路径

      system/sepolicy/*                      AOSP device和APPS相关selinux配置

      device/qcom/sepolicy/*            平台和板卡相关selinux配置

2、修改selinux权限时,注意不要违反谷歌规定的Neverallow规则,否则编译报错

例如:kernel log中提示“avc: denied { read write } for pid=867 comm="mmi" name="binder" dev="tmpfs" ino=10501 scontext=u:r:mmi:s0 tcontext=u:object_r:binder_device:s0 tclass=chr_file permissive=0”

如果直接在mmi.te文件中添加:allow mmi  binder_device : chr_file  rw_file_perms,就可能导致违反谷歌规定的Neverallow规则而编译报错: 

system/sepolicy/public/domain.te

neverallow {
  domain
  -coredomain
  -appdomain
  -binder_in_vendor_violators 

} binder_device:chr_file rw_file_perms;

如果这时直接修改neverallow规则,可以通过编译,但是可能会导致CTS测试失败,所以这时就要想办法绕过neverallow规则,

上面有一个binder_in_vendor_violators貌似和binder有关,那我们就先看下这个东东如何定义的吧?

system/sepolicy/public/attributes

attribute binder_in_vendor_violators;

expandattribute binder_in_vendor_violators false;

system/sepolicy/private/binder_in_vendor_violators.te

allow binder_in_vendor_violators binder_device:chr_file rw_file_perms;

从中可以看出这个东东具有读写binder_device权限,那我们能否利用这个?如果可以,又该如何利用?

 其实很简单,只要做如下修改即可:

device/qcom/sepolicy/common/mmi.te

typeattribute mmi binder_in_vendor_violators;

将mmi domain关联到这个东东,问题就可以解决了

渴望成长的菜鸟
关注
  • 10
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
AndroidSELinux详解
achirandliu的专栏
06-07 889
AndroidSELinux详解
SELinux4AndroidO
02-05
m4.pdf/configuring-selinux-policy-report.pdf/implementing-selinux-as-linux-security-module-report.pdf/The_SELinux_Notebook-4th_Edition.pdf/SEAndroid-NDSS2013.pdf/abs2014_seforandroid_smalley.pdf/...
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 1723
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 1640
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 467
翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
selinux权限neverallow解决
qq_36975610的博客
03-07 1608
selinux权限neverallow解决
Android O 8.0 selinux特性 Google介绍文档
12-26
Android O 8.0 selinux特性 Google介绍文档,帮助学习最新selinux规则
详解Android Selinux 权限及问题
01-20
Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,...
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinuxSecurity-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
SELinux for Android 8.0
12-10
This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip ...
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 1938
Android系统编译 报neverallow 错误的解决方法。
android selinux报avc denied权限和编译报neverallow解决方案
楼中望月
06-02 7397
android avc denied解决方案,以及nerverallow编译报错解决方案
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
最新发布
weixin_45494251的博客
03-14 1315
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限。
Android SELinux
dph125的专栏
05-10 756
转自:https://blog.csdn.net/ch853199769/article/details/82501078 https://blog.csdn.net/su749520/article/details/82800050 引言 本文是对SEAndroid方面知识拾人牙慧后的一些总结。 SEAndroid是一套以SeLinux为核心的系统安全机制。 SELinux是...
android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules**
Uses_Permission的博客
11-26 3897
[DESCRIPTION]若有自行修改Sepolicy导致违反Google的Neverallow rule,CTS 将fail。比如:android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules110 FAIL junit.framework.AssertionFailedError: The following errors
SELinux】通过neverallow语句来认知“属性”的意义
aaajj的专栏
02-25 6109
关于neverallow   对于类型为system_server_service 的服务,由于设置了 add_service(system_server, system_server_service);   里面调用了neverallow, add_service是个宏,定义在 system/sepolicy/public/te_macros   556###########...
setenforce: SELinux is disabled解决办法
05-30
如果您想启用SELinux,可以按照以下步骤操作: 1. 编辑SELinux配置文件/etc/selinux/config,将SELINUX的值改为enforcing。 ``` sudo vim /etc/selinux/config ``` 将SELINUX的值改为enforcing,保存并退出。 2. 重启系统使配置生效。 ``` sudo reboot ``` 3. 确认SELinux是否已经启用。 ``` getenforce ``` 如果输出结果为Enforcing,表示SELinux已经启用。 请注意,启用SELinux可能会影响系统的正常运行,需要根据实际情况进行调整和配置。如果您不确定如何正确配置SELinux,请咨询系统管理员或安全专家的建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值