Android SElinux权限添加,NeverAllow,未生效等全解(超详细)

已于 2024-01-30 11:40:25 修改
阅读量2.1k 收藏 21
点赞数 8
分类专栏: android问题解决 文章标签: android 数据库 linux
于 2024-01-30 11:39:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhhxlj/article/details/135885652
版权
本文介绍了如何理解和配置SELinux的权限,包括定位所需权限,如操作对象类型、原始拥有者和文件类型,以及如何配置权限以解决编译neverallow异常和运行不生效的问题,特别强调了自定义权限的重要性。
摘要由CSDN通过智能技术生成

目录

1. 概述

我以我自己的方式来理解SELinux
SELinux有如下四个重要参数:
  操作权限
  想要使用改操作的对象类型
  操作的原始拥有者
  操作要操作的文件类型

2. 定位所需权限

首先我们进入adb , adb root,setenforce 0
然后抓取log(adb shell dmesg > log.txt),检索关键字avc

如下是一条报错

avc: denied { search }      //{}中的是缺少的操作权限
for name="leds" dev="sysfs" ino=27484 
scontext=u:r:untrusted_app  //scontext=u:r: 之后的内容是想要使用当前操作的对象
:s0:c141,c256,c512,c768 
tcontext=u:object_r:sysfs_leds//object_r: 之后是当前操作的原始拥有者
:s0 tclass=dir // 操作要操作的文件类型
permissive=0 app=com.android.ledcontrol

现在我们知道了如上信息之后就可以进行下一步了。

3. 配置所需权限

咱们就以上述报错来进行对应配置

3.1 配置想要使用当前操作的对象

  首先定位到日志中的''scontext=u:r:untrusted_app'',这里意味着我们需要在“untrusted_app”对
应的.te文件中加入所需权限。我们可以到源码目录device/*/sepolicy中运行
“find . -name untrusted_app.te”

QiTianM437-A603:/work/FH16/device/qcom$ find . -name untrusted_app.te
./sepolicy/generic/vendor/test/untrusted_app.te
./sepolicy/legacy/vendor/common/untrusted_app.te
./sepolicy/legacy/vendor/sdm710/untrusted_app.te
./sepolicy/qva/vendor/common/untrusted_app.te
./sepolicy/qva/private/untrusted_app.te

  我们可以找到如上所示的对应文件。我们按照当前平台信息找到对应的te,就可以进行添加权限了。
    格式如下: 

allow [需要添加权限的对象] [权限拥有者]:[操作类型] {[权限类型]};
对应上述日志即:
allow untrusted_app sysfs_leds:dir {search};

3.2 编译并替换

  使用该命令进行编译:make selinux_policy
  		注:  此时编译可能会遇到neverallow的编译报错,详细解法可以看下一章内容。
  生成文件路径:$(OUT_TARGET)/vendor/etc/selinux/precompiled_sepolicy
  替换对应文件,重启即可。当然有时候可能你替换之后仍然无法完成你想要的操作。
你需要再去抓log看看是不是还有其它avc报错。
       注:  如已经按照上述操作添加过权限后,还是会有avc报错,这是可见下一章对应内容。

4. 常见的异常

4.1 编译neverallow

  这种报错出现的原因往往是由于当前我么添加的SElinux权限违反谷歌规定的Neverallow规则。
  这时有两种解决方式,一种是暴力型,一种是规范型。
  暴力性的话我们就根据报错中的提示,将对应的neverallow规则注释掉即可。
  !!!!!!!!切记,这种操作可能会影响各类认证(CTS、VTS)以及其它未知风险!!!


  接下来讲一下如何规范的处理。
  出现这种情况往往是因为我们申请权限时,我们放大了我们所需的权限。
  举个例子:我们现在需要的一种操作是:能够让我们的app 能够 读写 Led灯的驱动文件节点。
 但是我们在申请权限时对应的命令往往会是如下命令:
         allow untrusted_app devices:file {open read write};
  我们按照字面意思理解一下,就是所有未被信任的app都拥有对所有设备节点(devices:file)的文件的读写权限。显然这样是不安全的。
  那我们该如何解决呢?那就需要自定义一个权限。比如我们可以将我们需要操作的Led驱动
文件节点自定义为一个单独的权限。然后我们只申请这一个权限。
  接下来我们来介绍如何进行操作。

4.1.1 自定义权限

	首先我们需要确定当前我们所操作的文件的类型。
	比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”
	结果如下:

sdm660_64:/ # ls -Z /dev/moto_sdl
u:object_r:device:s0 /dev/moto_sdl

我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”

QiTianM437-A603:/work/FH16/system/sepolicy$ grep -rns "u:object_r:device:s0"
prebuilts/api/33.0/private/file_contexts:73:/dev(/.*)?        u:object_r:device:s0
private/file_contexts:73:/dev(/.*)?             u:object_r:device:s0

  我们可以看到,在这里我们将所有/dev下的文件都定义为了device类型。因此我们在这两个文件下添加如下内容:
  /dev/moto_sdl           u:object_r:sdl_device:s0
  然后再在device.te中定义我们自定义权限的权限类型:
  type sdl_device, dev_type, mlstrustedobject
 如上我们便完成了权限的自定义过程。编译后我们再运行ls -Z,就会发现变为了:

sdm660_64:/ # ls -Z /dev/moto_sdl
u:object_r:sdl_device:s0 /dev/moto_sdl

然后重新按照第一步开始,重新配置一下,即可解决该问题。

4.2 运行不生效

参考该博客

奥特男孩打代码怪兽
关注
专栏目录
Android SeLinux 权限添加
Android
09-30 2785
SeLinux 权限添加 调试时,可以关闭selinux 权限 setenforce 0 搜索avc,如下: type=1400 audit(0.0:292): avc: denied { read write } for name=“ttyHSL2” dev=“tmpfs” ino=11380 scontext=u:r:system_app:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0 system_app 中 devic
android selinux报avc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 479
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 2万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
Android系统和开发--安全性和权限管理 SELinux 策略 安全架构
最新发布
chenhao0568的专栏
08-15 996
学习android权限知识 SElinux chmod -R 777 ./ setenforce 0 adb root su fastboot oem at-unlock-vboot adb disable-verityAndroid系统是基于Linux内核构建的,因此它继承了Linux权限管理机制。Android应用需要通过声明权限来访问系统的某些功能(如摄像头、存储、位置等)。开发者在中声明权限,用户在安装应用时或者运行时可以授予或拒绝这些权限。简介: 是一个用于修改文件或目录权限的命令。含义:注意
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Android Selinux 权限配置
freedom9977的博客
12-31 3965
1.SElinux三种权限: enforcing:强制模式、代表SELinux运行中,且已经正确的开放限制 domain/type。 permissive:宽容模式、代表SELinux运行中,不过金会有警告信息并不会直接限制 domian/type。 disabled:关闭模式、SELinux 关闭状态 2.基础权限的配置 比如内核报这样的错: [ 172.554381] type=1400 audit(22611.739:4): avc: denied { getattr } for ...
selinux权限问题
xiaolifeidaofirst的博客
05-30 1898
neverallow user_t shadow_t:file write; 这条neverallow规则可以有效地阻止我们在策略中添加一条允许user_t对类型为shadow_t的文件进行写操作的规则, 如果添加了这样的规则在编译时就会报错,这条规则不会移除访问权,它只是会产生编译错误。我们在编写策略时,neverallow规则往往放在allow规则前面,首先声明哪些访问是明确地被拒绝的,然后再声明哪些访问是可以接受的,这样就可以预防我们人为出错了。 neverall...
android selinux权限添加
weixin_46027271的博客
01-15 2515
本文基于Android10版本举例介绍selinux添加方法
添加selinux权限
weixin_47094059的博客
09-27 905
1.定义其他类型在 sepolicy目录下知道定义video_device类型的文件,定义一个其他类型(type开头是定义类型)2.与文件绑定在 sepolicy/file_contexts文件中找到/dev/video31,修改为定义的类型3.给予权限1.加上报的权限问题,在 system_app.te添加
快速添加Android seLinux权限
lzz214的博客
01-26 353
根据日志快速添加Android seLinux权限
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 1987
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
访问文件的SELinux权限添加
01-20
最近做了一个功能:设备首次驻网时,在设备指定目录创建文件,并在此文件中写入当前的时间,然后通过暗码可以读取这个时间 这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件,”/data/vendor/time_code/time_code.txt”,此时SELinux权限问题就来了,如下所示: 原创文章 53获赞 87访问量 2万+
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3231
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
Android P SElinux权限调试
Kian_G 的博客
04-21 6733
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
Android 添加SELinux权限
jn9547的博客
09-29 227
文件类型:*.te,通常位于 */system/sepolicy/vendor 目录下 示例: selinux权限报错: avc: denied { read } for pid=1831 comm="servicemanager" name="current" dev="proc" ino=62432 scontext=u:r:servicemanager:s0 tcontext=u:r:networkserver:s0 tclass=file permissive=1 解析: scontex: 源对
android设置selinux权限
LXJSWD的博客
02-08 1630
selinux权限配置
Android selinux权限
weixin_49303682的博客
05-05 1077
SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedora core 2开始, 2.6内核的版本都支持SELinux。在 SELinux 出现之前,Linux 上的使用的安全模型是 DAC( Discretionary Access Control 自主访问控制)。DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用户的权限相同。
selinux权限添加总结
风和先行的专栏
10-20 394
selinux修改方案总结
Android AOSP添加selinux权限的方法
qq_40694393的博客
06-13 915
注意:安卓原生的权限添加,只需要在/system/sepolicy/下找到.te文件,若是有供应商自定义的内容,则还需要同时在/device/xxx/seplociy/下找到同名文件添加同样的内容。添加的语句:allow platform_app app_data_file:file execute;1.根据log报错来手动添加,这种方法有一定风险,不熟悉语法添加的新手可能报错。添加的位置:AOSP下找到文件名为“缺少权限的对象.te”需要访问的文件:app_data_file。
Android selinux 权限的作用?
03-20
Android SELinux(Security-Enhanced Linux)是一种安全机制,用于加强Android系统的安全性。它通过强制访问控制(MAC)来限制应用程序和系统服务的权限,以防止恶意应用程序对系统进行攻击或滥用权限Android SELinux的主要作用如下: 1. 强制访问控制:SELinux通过为每个进程和文件分配安全上下文,限制了进程和文件之间的访问权限。这样可以防止应用程序越权访问其他应用程序或系统资源。 2. 提高应用程序安全性:SELinux可以限制应用程序的权限,使其只能访问其需要的资源,从而减少了应用程序被攻击的风险。 3. 隔离应用程序:SELinux可以将不同应用程序隔离开来,防止恶意应用程序通过攻击其他应用程序来获取敏感信息或控制系统。 4. 减少攻击面:SELinux可以限制系统服务的权限,防止恶意应用程序利用系统服务进行攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值