Android 修改 SELinux avc 权限的方法

已于 2023-04-27 14:16:48 修改
阅读量5.5k 收藏 19
点赞数 1
CC 4.0 BY-SA版权
分类专栏: android 文章标签: android
于 2023-03-01 16:52:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jppipai/article/details/129093013
在Android11.0系统上,针对RK3568平台,当遇到SELinuxavc权限问题时,开发者通常会通过进入终端获取root权限,切换到Enforcing模式来验证和捕捉错误日志。使用audit2allow工具结合错误日志生成权限配置,然后在相应sepolicy文件中添加允许规则,编译并验证修改。遇到neverallow错误时,需要在核心域策略中调整规则。

系统版本:Android 11.0    

平         台:RK3568

在 Android 系统的开发及适配过程中,我们常常需要对 SELinux avc  权限进行修改,以下是我对 SELinux avc  权限修改总结的方法。

一、验证功能是否存在 selinux 权限问题

#进入Android终端

adb shell

#获取root权限

su

#查看系统当前 selinux 的工作模式

getenforce

#将 selinux 切换为 Enforcing 强制模式(如果已经是Enforcing模式可省略)

setentforce 1

#验证功能并打印log

logcat | grep avc

这么做的目的是为了能够在app报错时及时发现avc权限问题。例如,在app中通过接口对节点进行读写操作时发现了log报以下selinux avc权限错误:

type=1400 audit(0.0:875): avc: denied { read } for name="value" dev="sysfs" ino=29545 scontext=u:r:system_server:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0


type=1400 audit(0.0:876): avc: denied { write } for name="value" dev="sysfs" ino=29545 scontext=u:r:system_server:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0

二、SELinux avc权限规则快速生成配置

(1) 将上述avc 权限的 log 信息收集起来并保存到文件中

例如:log.txt

(2) 在平台代码根目录下打开终端,执行以下命令 :

#初始化参数设置

source build/envsetup.sh

#通过lunch命令选择需要编译的分支

lunch

(3) 生成的selinux avc权限配置信息

#将 log.txt 文件拷贝到以下路径中,然后在终端中切换到路径所在的位置:

external/selinux/prebuilts/bin

#生成 selinux avc 权限配置信息,命令格式如下:

./audit2allow -i [log文件] > [生成文件]

如果生成的信息不全或者为空的话(如上图),可以在 log.txt 文件中重复放多几行 avc log 信息,再执行生成命令即可,例如:

(4) 加上open和getattr权限

注意,读写等 avc 权限的配置往往还需要加上 open 和 getattr 权限,例如:

 allow system_server sysfs:file {read write open getattr};

如果不加就可能报以下错误:

type=1400 audit(0.0:604): avc: denied { getattr } for path="/sys/devices/platform/fdd60000.gpio/gpiochip0/gpio/gpio27/value" dev="sysfs" ino=29545 scontext=u:r:system_server:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0

(5) selinux avc权限配置信息添加位置

device/rockchip/common/sepolicy/vendor/

例如,这里是在该目录下的 system_server.te 文件添加。此外,还需要对对应api等级的相同文件进行一样的修改:

system/sepolicy/prebuilts/api/30.0/private/coredomain.te

或者在 system/sepolicy 目录下找到相应文件添也行,这里是:

system/sepolicy/public/system_server.te


三、编译及验证

(1) 编译

在根目录下编译 /system/sepolicy/ 中的文件,编译命令如下:

mmm /system/sepolicy/

(2) 验证

将编译好的文件从电脑推送到Android设备中,以下推送命令(注意,需要删掉mapping目录及其包含的文件才能push成功):

adb push odm/etc/selinux/* odm/etc/selinux


adb push product/etc/selinux/* product/etc/selinux


adb push system/etc/selinux/* system/etc/selinux


adb push system_ext/etc/selinux/* system_ext/etc/selinux


adb push vendor/etc/selinux/* vendor/etc/selinux


adb reboot

四、常见编译错误

例如:

libsepol.report_failure: neverallow on line 99 of system/sepolicy/private/coredomain.te (or line 36611 of policy.conf) violated by allow system_server sysfs:file { read write open };

libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy


即上述修改的权限被 neverallow,具体位置在 /system/sepolicy/private/coredomain.te 中第99行。所以,对以上报错的修改如下:

--- a/sepolicy/private/coredomain.te
+++ b/sepolicy/private/coredomain.te
@@ -111,6 +111,7 @@ full_treble_only(`
    # /sys
    neverallow {
    coredomain
     -init
     -ueventd
     -vold
+    -system_server
     -system_app
   } sysfs:file no_rw_file_perms;
Android定制修改SELinux权限:实现enforcing和permissive模式在不同版本中的切换
PynRlang的博客
09-27 980
本文介绍了在Android嵌入式系统中定制修改SELinux权限方法,实现在不同版本中enforcing和permissive模式的切换。对于userdebug版本(permissive模式),我们修改sepolicy文件将所有的"enforcing"关键字替换为"permissive",然后重新加载SELinux策略以切换到permissive模式。对于user版本(enforcing模式),我们将备份的sepolicy文件还原,并重新加载SELinux策略以切换到enforcing模式。
Android 关闭SElinux权限
hyg55555的博客
01-09 576
【代码】Android 关闭SElinux权限
Android avc: denied 修改方法
小猪六月的博客
08-19 3231
以下内容互联网拷贝[S] <36>[ 59.591056] type=1400 audit(177553.350:39): avc: denied { read write } for pid=410 comm="[email protected]" name="brightness" dev="sysfs" ino=25578 scontext=u:r:hal_light_default:s0 tcontext=u:object_r:led_control:s0 tclass=file pe..
Android-SELinux-开启和修改文件权限的完整指南
最新发布
summerkissyou1987的专栏
07-31 770
Android系统中,SELinux(Security-Enhanced Linux)通过强制访问控制限制文件操作,即使拥有root权限也可能被拦截。
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1419
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限SELinux权限不足。
android selinuxavc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 1726
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
Android selinux权限修改
skytoby
12-30 3625
原文地址:https://skytoby.github.io/2019/selinux%E4%BF%AE%E6%94%B9/ SELinux权限修改 方法一:adb修改SELinux Enforcing(已打开) Permissive(已关闭) getenforce //获取当前seLinux状态 setenforce 1 //打开seLinux setenforce 0 //...
selinux 权限修改
weixin_44740132的博客
10-27 741
selinux权限修改
Android SELinux avc dennied权限问题解决方法
热门推荐
缥缈孤鸿影的专栏
05-25 9万+
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 2805
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限
MTK Android 12修改 XX IoT 应用 SELinux 策略和权限配置
我其实什么都不会
07-12 1578
本篇博客介绍,在开发和调试MTK A12系统预置 xxx IoT 应用过程中,遇到了一系列 SELinux权限管理相关的问题。以下是详细的错误日志和对应的修改记录。
基于 androidavc编解码源码
01-24
android 下的 AVC编码、解码库,附有封装库,以及测试代码。
详解Android Selinux 权限及问题
08-28
前两种方法通常只用于测试目的,而推荐的正式处理方式是通过修改.te文件来添加权限。要获取当前SELinux的状态可以使用`getenforce`命令,打开或关闭SELinux可以使用`setenforce 1`或`setenforce 0`命令。 修改.te...
android设置selinux权限
LXJSWD的博客
02-08 1947
selinux权限配置
【QCM6125】Android12 selinux权限修改及快速调试
sunnywalden
01-04 3968
【QCM6125】Android12 selinux权限修改及快速调试
Android SELinux
许浑的博客
05-26 1338
在/dev/中加载sepolicy并发布关键的restorecons,小心避免从/system读取任何内容。- 设备处于SELinux的宽容模式,出厂设备都是强制模式Enforcing(即。3、mk添加编译:BOARD_SEPOLICY_DIRS += device/1、通常情况下,添加或修改自己的设备专用SELinux文件(/device/结尾的文件是 SELinux 政策源代码文件,用于定义域及其标签。- 要访问的对象(例如,文件、套接字)的类型。- 要执行的操作(或一组操作,例如读取、写入)。
Android获取selinux的setprop权限修改SystemProperties
zmlovelx(帅得不敢出门 程序员群31843264)
08-23 2353
自定义了个SystemProperties的属性,需要在system应用中修改它,介绍MTK及展锐的设置方法,可扩展到其他平台. 比如代码中要这么设置 ```java SystemProperties.set("property_name", "value"); ``` 默认会引发selinux权限的报错.
Android6.0 selinux没有对某个文件的权限(又neverAllow)处理方法
kc58236582的博客
01-18 1万+
一、案例 我们举个案例,比如recovery升级中,碰到这个的log 01-01 08:03:22.410000 217 217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recov
Android App Selinux seapp权限详解
求变,从思想开始
05-07 1万+
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
android selinux 添加权限怎么声明
07-29
<think>好的,我现在需要回答用户的问题:“android selinux 添加权限怎么声明”。首先,我需要回忆一下AndroidSELinux权限声明的相关知识。SELinuxAndroid中用于强制访问控制,权限声明主要涉及TE(Type Enforcement)策略文件,通常包括类型定义、允许规则等。 首先,用户可能需要知道SELinux的基本结构,比如上下文(context)、类型(type)、域(domain)等概念。然后,添加权限通常需要修改TE策略文件,比如*.te文件,可能包括添加allow规则,定义新的类型或属性,或者修改现有的类型转换规则。 具体步骤可能包括:确定需要授权的源域(source domain)和目标类型(target type),以及需要的权限(permission)。然后在对应的TE文件中添加allow语句,例如allow source_domain target_type:class permission;。此外,可能需要更新文件上下文(file_contexts)来定义特定路径的SELinux上下文,或者在属性文件(例如property_contexts)中处理属性相关的权限。 另外,可能需要考虑使用sepolicy工具,比如checkpolicy来验证策略,或者使用audit2allow工具根据审计日志生成缺失的规则。例如,当应用出现SELinux拒绝访问时,查看logcat中的AVC拒绝信息,提取需要的allow规则,然后添加到策略中。 需要注意的是,AndroidSELinux策略分为平台策略(在system/sepolicy)和厂商策略(在vendor/sepolicy或device/*/sepolicy),根据修改的部分选择正确的位置。同时,不同Android版本的SELinux策略可能有变化,比如从宽松模式(permissive)到强制模式(enforcing)的转变,需要适配版本差异。 现在,我需要将这些步骤整理成清晰的回答,确保覆盖主要的声明方法和注意事项。然后,根据回答内容生成3-5个相关问题。 </think>在Android中通过SELinux添加权限主要涉及修改SELinux策略文件(通常为`.te`类型文件),并声明允许规则(`allow`语句)。以下是核心步骤: ### 1. 确定权限需求 首先通过日志(如`logcat`)捕获SELinux拒绝的AVC(Access Vector Cache)错误,获取以下关键信息: - **源域(source domain)**:发起访问的进程类型(如`system_app`、`vendor_app`)。 - **目标类型(target type)**:被访问的资源类型(如`system_file`、`vendor_db`)。 - **访问类(class)**:资源的类别(如`file`、`dir`、`socket`)。 - **需要的权限(permission)**:具体操作(如`read`、`write`、`execute`)。 ### 2. 添加`allow`规则 在对应的策略文件(如`system/sepolicy/domain.te`、`vendor/sepolicy/`下的自定义`.te`文件)中添加`allow`语句,格式为: ```te allow 源域 目标类型:访问类 权限集合; ``` 示例:允许`system_app`读取`system_file`类型的文件: ```te allow system_app system_file:file read; ``` ### 3. 处理类型转换(可选) 若涉及进程创建新资源(如创建文件),需声明`type_transition`规则,指定新资源的类型: ```te type_transition 源域 目标类型:访问类 新类型; ``` ### 4. 更新文件上下文(若需自定义路径) 若需为特定路径设置SELinux上下文,修改`file_contexts`文件(如`system/sepolicy/file_contexts`),格式为: ``` 路径正则表达式 上下文类型 ``` 示例:为`/data/local/tmp/test`路径设置`test_file`类型: ``` (/data/local/tmp/test)(/.*)? u:object_r:test_file:s0 ``` ### 5. 验证与编译 - 使用`checkpolicy`验证策略语法:`checkpolicy -M -C -o policy.bin *.te`。 - 推送更新后的策略到设备(如通过`adb push`),重启后验证权限是否生效。 ### 注意事项 - 策略文件按优先级加载(`system/sepolicy` < `vendor/sepolicy` < `device/*/sepolicy`),优先在厂商或设备目录修改。 - 高版本Android(如10+)强制启用SELinux(Enforcing模式),需确保规则严格符合最小权限原则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值