Android SELinux配置

最新推荐文章于 2024-05-08 18:02:21 发布
最新推荐文章于 2024-05-08 18:02:21 发布
阅读量2k 收藏 2
点赞数 2
分类专栏: Android应用开发 文章标签: SELinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxlworking1/article/details/85249796
版权

文章目录

1.权限警告

最近在调试Android的selinux配置,主要出现了一下三种权限警告,在此记录一下

avc: denied { create } for pid=2984 comm=“test_app” path="/dev/socket" scontext=u:r:test_app:s0 tcontext=u:r:test_app:s0 tclass=netlink_route_socket permissive=1

avc: denied { ioctl } for pid=2984 comm=“test_app” path="/dev/socket" dev=“tmpfs” ino=317 ioctlcmd=8916 scontext=u:r:test_app:s0 tcontext=u:r:test_app:s0 tclass=udp_socket permissive=1

avc: denied { read } for pid=2984 comm=“test_app” path="/dev/socket" name=“my_dir” dev=“mmcblk0p11” ino=24 scontext=u:r:test_app:s0 tcontext=u:r:device:s0 tclass=chr_file permissive=1

2.权限警告语法

avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0

1.操作权限,即需要执行的权限
2.源类型,即相应的te文件中的类型
3.目标类型,即相应的te文件的类型
4.访问类别,即目标类型的相关类别

3.权限配置语法

allow 源类型 目标类型:访问类别 {权限};

4.配置普通权限

avc: denied { create } for pid=2984 comm=“test_app” path="/dev/socket" scontext=u:r:test_app:s0 tcontext=u:r:test_app:s0 tclass=netlink_route_socket permissive=1

在源码中,我们自定义的sepolicy文件夹,打开test_app.te文件
在其中添加:allow test_app test_app:netlink_route_socket { create }

5.配置ioctl特殊权限

avc: denied { ioctl } for pid=2984 comm=“test_app” path="/dev/socket" dev=“tmpfs” ino=317 ioctlcmd=8916 scontext=u:r:test_app:s0 tcontext=u:r:test_app:s0 tclass=udp_socket permissive=1

在源码中,我们自定义的sepolicy文件夹,打开test_app.te文件
如果在其中添加:allow test_app test_app:udp_socket { ioctl },则编译会提示”never allow”错误
需要修改为
net_domain(test_app)allowxperm test_app test_app:udp_socket ioctl { SIOCSIFADDR };
其中SIOCSIFADDR**是在system/sepolicy/public/ioctl_defines配置文件中与值ioctlcmd=8916相对应: define(`SIOCSIFADDR’, `0x00008916’)

6.配置新增节点权限

avc: denied { read } for pid=2984 comm=“test_app” path="/dev/socket" name=“my_dir” dev=“mmcblk0p11” ino=24 scontext=u:r:test_app:s0 tcontext=u:r:device:s0 tclass=chr_file permissive=1

在源码中,我们自定义的sepolicy文件夹,打开test_app.te文件
如果在其中添加:”type my_dir_device, dev_type;”,声明my_dir_device为设备类型
打开file_contexts文件文件
如果在其中添加:” /dev/my_dir u:object_r:my_dir_device:s0”,声明my_dir_device为/dev/my_dir对应的节点
打开test_app.te文件文件
如果在其中添加?**allow test_app my_dir_device:chr_file { read }***;

天人人
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 9.0 selinux 策略配置
zhbpd的专栏
10-19 2088
主要配置: (1)文件; 在 file.te 中声明一个文件类型; type my_file, file_type, data_file_type, core_data_file_type; 在 file_contexts 文件中关联实际的文件路径和文件类型; /data/my_file(/.*)? u:object_r:my_file:s0 注意 my_file 的类型,如果是data目录下的,要添加 core_data_file_type; 是 vendor目
android添加自定义的系统服务供上层调用
Venus 的博客
12-31 3293
文章目录1.前言2.实现步骤2.1、定义 aidl 文件2.2 实现aidl 接口2.3 添加新的服务2.4、 创建新的service的管理类2.5 注册服务2.6 配置修改 Selinux 权限2.7 编译3.验证 1.前言 其本质,就是通过binder 方式进行通信。 大体流程: 创建一个binder接口,可通过aidl方式。 创建接口的实现类,即为服务类。 添加服务到系统 创建service管理类到 manager 注册服务对应的manager,以供调用者使用。 配置修改 SELinux 权限。(在
Android 13 aosp 默认关闭SELinux
最新发布
人生只是一种体验,不必用来演绎完美。
05-08 691
将IsEnforcing()方法中默认返回值修改为false即默认关闭SELinux。unused fun,注释掉(测试仅限于ud版本)
Android seLinux 设置
weixin_34138139的博客
03-06 349
android O上添加服务。在访问一些路径的时出现了权限的问题,将seLinux关闭之后运行成功。所以需要设置相关的权限。 参考文档: http://blog.csdn.net/tung214/article/details/72734086 主要查看dmsg中关于avc的错误,根据对应的错误在对应的文件中添加权限。 关于权限的文件位于device/xxxx/sepolicy/common目录...
Android selinux配置
peilong1988的专栏
05-28 450
最近项目上遇到Android selinux权限配置的问题,Android O之前的版本与Android O及之后的版本有较大的差异。Android O引入了Treble机制,为了防止system.img和vendor.img 中的数据、服务、应用等相互依赖、调用和 引用,谷歌大幅度的更新了selinux权限管理,在Android O及以后的版本中,sepolicy进行了分离,与system相关的...
MTK Android为某个APP单独添加selinux配置文件
zmlovelx(帅得不敢出门 程序员群31843264)
03-15 1031
test是一个system APP, 涉及到许多个selinux的权限,不想影响所有的system APP的权限,需要单独为test设定selinux
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
Android不同版本SELinux的介绍
01-01
**Android SELinux 知识详解** 安全增强型Linux(SELinux)是一种强制访问控制机制,最初由美国国家安全局(NSA)开发,旨在提高Linux系统的安全性。在Android系统中,SELinux扮演着至关重要的角色,它限制了应用...
Android 中的安全增强型 Linux(selinux
10-03
安全增强型 Linux (SELinux) 是 Android 系统中一种重要的安全机制,它增强了操作系统的安全性,通过强制访问控制(MAC)对所有进程实施严格的权限管理。SELinux 的核心目标是防止恶意软件和未授权访问,即使对于...
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Selinux权限配置详解
秦逸轩的博客
07-15 1574
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relabel 可更新或创建标识映射。 情景:定义一个 init 启动的 service --- demo_s
Android Q 平台 增加文件ioctl 的SElinux权限
sinat_37343534的博客
04-25 2599
Android Q 平台 增加文件ioctl 的SElinux权限 示例问题:avc: denied { ioctl } for path="/**/**" dev="**" ino=4026533781 ioctlcmd=0x6601 scontext=u:r:gap**:s0 tcontext=u:object_r:proc**:s0 tclass=file permissive=0 按照Android Q之前的selinux规则,只需要添加ioctl权限即可 allow gap** proc**:
Android Selinux 应用读写设备节点
人生只是一种体验,不必用来演绎完美。
01-22 3552
写入设备节点 final String FILE_PATH = "/sys/dev"; private void writeSysFile(){ final File file = new File(PATH_REPORT) ; String cmd = "1"; FileOutputStream fos = null; try{ fos = new FileOutputStream(file);
SELinux: 定向白名单机制使ioctl更安全
黑山老妖
08-06 3760
selinux: 定向白名单机制使ioctl更安全定向白名单:targeted Security动机ioctl为设备控制提供了必要的操作。典型的设备驱动支持由命令参数来区分的一套操作集,可以通过 ioctl系统调用来访问。SELinux为很多系统操作提供了一一对应的访问控制,例如chown,kill, setuid,ipc_lock等。另一方面,我们使用ioctl permission这一权限,
Android SELinux开发入门指南之权限解决万能规则
IT先森
07-04 3623
  Android SELinux开发入门指南之权限解决万能规则 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。今天将带领读者一起看看的是Android开启SELinux后,有没有一种通用...
Android 12中配置Selinux相关权限问题
CSDN爱好者的独到见解
03-29 569
从avc信息看,需要配置:但如上规则,放在系统里依然无法编译。原因是Google定义了相关规则,不允许按上述方法配置;处理方案是:①. 在文件中新增label,如下图所示;②. 在*.te文件中,通过set_propget_prop方法来配置;编辑/添加策略和file_contexts后,更新 /device/manufacturer/device-name/BoardConfig.mk 以引用 sepolicy 子目录和每个新策略文件。
Android Selinux详解[二]--新增文件标签相关
weixin_41028555的博客
03-07 1216
在工作过程中,SElinux常用的有以下几个文件可用于新增标签restorecon在Selinux中是一个非常常用的命令,其解释如下"restorecon" 是一个用于恢复文件或目录的 SELinux 安全上下文的命令。在使用 SELinux(Security-Enhanced Linux)时,每个文件和目录都有一个安全上下文,它描述了文件或目录的安全属性和访问权限。如果由于某种原因安全上下文发生了改变,例如文件被移动或复制,可能导致安全上下文不一致。
android 10 selinux如何配置
04-26
Android 10中,SELinux配置主要涉及到两个文件:/sepolicy和/file_contexts。 在/sepolicy文件中,需要修改对应的类和属性,定义哪些进程可以访问哪些资源,以及哪些操作是允许的。 在/file_contexts文件中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值