Android P 系统 SELinux 报错修改

BOJUE01

已于 2024-03-11 15:26:36 修改

阅读量363

点赞数

分类专栏： Linux Android 文章标签： linux android 内核 c语言

于 2024-03-08 18:34:55 首次发布

本文链接：https://blog.youkuaiyun.com/BOJUE01/article/details/136569505

版权

Linux 同时被 2 个专栏收录

36 篇文章 ¥19.90 ¥99.00

订阅专栏

Android

6 篇文章

订阅专栏

本文详细介绍了在Android P系统中如何处理SELinux报错，包括确定文件类型、添加策略文件、加入权限以及解决编译报错问题。通过修改domain、file_contexts、te文件和解决核心域关联问题，确保程序正常运行。同时，文章提供了临时关闭SELinux的命令。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

I.SELinux文件类型确定

查看文件的安全上下文并做修改

1、到相关目录中去查看

evk_8mq:/ # cd system/bin/

evk_8mq:/ # ls -Z | grep demo

PS:demo替换成所需查看的文件名

一般情况下，由于没有设置demo的selinux权限，一般会默认它为文件系统中的文件

demo u:object_r:system_file:s0

2、添加定义文件类型的策略文件

1）添加所需的策略文件demo.te(这里demo以可执行程序为例)

在device/fsl/imx8m/sepolicy中，新建demo.te文件

type demo, domain;

type demo_exec, exec_type, file_type;

init_daemon_domain(demo)

定义了demo是domain(领域),demo_exec为可执行程序

2）对文件匹配进行设定

在device/fsl/imx8m/sepolicy/file_contexts中，加入匹配字段

/system/bin/demo u:object_r:demo_exec:s0

PS:上文中的demo均可替换成所需文件名

此时再进行第

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

BOJUE01

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

Android P系统编译报错SELinux违反Neverallow

qwe6872400的博客

08-16

5427

在文章《Android P关于串口访问权限的问题》讲到了关于SELinux权限问题。SeLinux的*.te文件路径：其中为了给串口增加权限，修改了一些*.te的权限配置文件，修改完之后系统编译报错。错误分析：system/sepolicy/private/domain.te和system/sepolicy/public/app.te违反了neverallows规则解决办法：绝对不允许app对sysfs:file进行文件读写操作，改为：可以允许app对sysfs:file进行文件读写操作。...

Android P版本seLinux导致U盘无法挂载的问题

eatlemon的博客

09-09

1494

Android P版本seLinux导致U盘无法挂载的问题问题背景添加seLinux权限问题背景简单的描述一下问题背景。某平台上，在打开了selinux后的版本上，测试同学提了一个bug，U盘无法挂载。问题滞留时间太长，本来该模块不是我负责的，属于帮忙分析问题，可能理解不太专业，大家有啥可以指出来。添加seLinux权限从抓取的日志中，发现有一条关于fsck的seLinux权限，通过转成allow权限就是 allow fsck_untrusted system_file:file entrypoi

参与评论您还未登录，请先登录后发表或查看评论

Android 用户组权限，SELinux心得总结

Mis_wenwen的博客

11-09

9024

这里要分两个部分来说，一个是Linux权限组的设定，一个是SELinux。我们先不考虑SELinux。先单独来说Linux权限组。因为要想对某个文件进行操作(read,write,execute等)，必须先满足Linux权限组的规则，然后再满足SeLinux的allow条件，才能成功操作。我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...

Android14之Selinux报错:unknown type qemu_device at token (一百八十三)

Android系统攻城狮

02-01

3393

本篇目的：在编译Android automotive车载系统时，遇到一个这样的报错，不清楚怎么引入的，但是解法很简单，分享给大家。Android平台的SELinux（Security Enhanced Linux）是一种基于Linux内核的安全增强技术，由美国国家安全局（NSA）发起并得到Red Hat、Tresys等公司的支持。SELinux的主要目的是在Linux操作系统上实现强制访问控制（Mandatory Access Control，MAC），以提高系统的安全性。

解决Android log中selinux报错问题

weixin_55053963的博客

07-19

2214

Android中selinux问题解决

android selinux报avc denied权限和编译报neverallow解决方案

Venus 的博客

07-06

1507

直接打开编译报错中那个domain.te，路径：system/sepolicy/public/domain.te，找到和我们添加的部分，搜索“device:chr_file”，可以找到如下内容了，看一下就明白了，不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查，除保持对ioctl的审查/授权之外，对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限，主要是判断一下是申请的属性还是device节点访问权限等。

Android13 添加SELinux权限编译的时候出现 neverallow 编译报错

Venus 的博客

03-11

1072

翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点，也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec，白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴，网上的文章真是千篇一律，感觉都是一个版本抄袭出来，例子都一摸一样的，不知道有没有验证就发出来，希望大家都能把博客写好，给人以便利，给自己以价值。

增加SELinux，编译报错neverallow check failed

万般皆下品，唯有读书高~

01-27

1272

Android, SELinux配置

Android系统SELinux详解

u010345983的博客

02-10

3712

SELinux是一种加强文件安全的一种策略，可以更好地保护我们的Android系统，比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施，这样就降低了恶意软件的影响，并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑，SELinux是保护神，但是从软件开发方面，SELinux就是一道牵绊，这是一把双刃剑。SELinux默认开启，即使获得了该系统的root权限，也只能向相关策略中指定的设备写入数据，从而更好地保护和限制系统服务，保障系统和数据的安全。......

自定义系统service SELinux权限报错

拒绝背八股文

05-13

1870

报错： E SELinux : avc: denied { add } for service=flashlight pid=3485 uid=1000 scontext=u:r:system_server:s0 tcontext=u:object_r:default_android_service:s0 tclass=service_manager permissive=1 ...

Android Selinux 问题处理笔记

上周的博客

07-19

1794

对于Android的Selinux，处理Selinux问题，如果只是解决权限问题，不需要去理解那么多理论，按下面模板处理即可。但请注意，在enforce模式下，报错是不会有打印产生的，所以先要将selinux设置为Permissive才行。

【SELinux】总结之策略规则&语法&报错解决

Philister的博客

09-27

7095

SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥（哈希key）4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别和许可相关写法5.1 类别

关于9.0系统Selinux权限问题报错的分析和处理

RenoY3的博客

05-17

2293

Selinux简介 SELinux是安全增强型 Linux（Security-Enhanced Linux）简称 SELinux。它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。 SELinux for Android在架构和机制上与SELinux完全一样，考虑到移动设备的特点，所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源，包括域转换，类型转换，进程、内核、文件、目录、设备，App，网络及IPC相关

SeLinux权限增加，编译报错SELinux违反Neverallow 和 Differ问题，Logcat 和 Kernel log中avc: denied问题的解决

weixin_45494251的博客

03-14

2132

system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件，必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意，有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容：修改hal_health_default.te。tclass：表示什么文件类型缺少权限。

Android SElinux权限添加，NeverAllow，未生效等全解（超详细）

zhhxlj的博客

01-30

3760

我以我自己的方式来理解SELinuxSELinux有如下四个重要参数：操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下：我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”

SELinux权限问题解决

aylr2015的博客

06-27

1141

SELinux是Google从android 5.0开始，强制引入的一套非常严格的权限管理机制，主要用于增强系统的安全性。借助 SELinux，Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响，并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而，在开发中，我们经常会遇到由于SELinux造成的各种权限不足，即使拥有“万能的root权限”，也不能获取全部的权限。如果问题消失了，基本可以确认是SELinux造成的权限问题，需要通过正规的方式来解决权限问题。

Android SELinux 权限问题处理

jgw2008的专栏

02-26

6606

前言 SELinux 是 Google 从android 5.0 开始，强制引入的一种非常严格的管理机制，主要用于增强系统的安全性。SELinux有以下两种模式： enforcing mode: 限制访问 permissive mode: 只审查权限，不限制 1 确定 SELinux 问题在调试过程中遇到权限问题时，可以通过如下方法，确定是不是由于 SELinux 导致的问题：方法一：通过串口或者adb使用如下命令，先将 selinux权限切换到审查模式： setenforc

Selinux配置与验证

qq_43195222的博客

04-24

1118

Selinux是一种基于内核的安全保护机制，在linux系统种默认自带，但在实际生产环境中一般为宽松模式(permissive)或彻底关闭状态(disabled)。本文旨在系统服务启动异常时，作为一个排错思路。

Android 系统SELinux

jjx_fight的博客

10-22

2103

借助 SELinux，Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响，并保护用户免遭移动设备上的代码可能存在的缺陷的影响。格式如下：avc: denied { 操作权限 } for comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。– 类型绑定: external/sepolicy/file_contexts;

01-01 07:38:35.977 1878 1878 D PrefCtrlListHelper: Could not find Context-only controller for pref: com.android.settings.bluetoot h.BluetoothDeviceRenamePreferenceController 01-01 07:38:37.676 819 950 I ActivityManager: Start proc 10216:com.android.bluetooth/1002 for service {com.android.bluetooth/co m.android.bluetooth.btservice.AdapterService} 01-01 07:38:37.720 10216 10216 E SELinux : seapp_context_lookup_internal: No match for app with uid 1002, seinfo default, name com .android.bluetooth 01-01 07:38:37.721 10216 10216 F zygote64: jni_internal.cc:825] JNI FatalError called: (com.android.bluetooth) frameworks/base/core /jni/com_android_internal_os_Zygote.cpp:1976: selinux_android_setcontext(1002, 0, "default:privapp:targetSdkVersion=34:complete", " com.android.bluetooth") failed 01-01 07:38:38.131 10223 10223 F DEBUG : Abort message: 'JNI FatalError called: (com.android.bluetooth) frameworks/base/core/jni/ com_android_internal_os_Zygote.cpp:1976: selinux_android_setcontext(1002, 0, "default:privapp:targetSdkVersion=34:complete", "com.a ndroid.bluetooth") failed' GMS固件报错，如何解决

最新发布

03-18

<think>嗯，用户的问题是解决GMS固件中与SELinux和蓝牙相关的JNI FatalError，具体涉及到com.android.bluetooth。首先，我需要理解这个问题可能的原因。JNI错误通常和本地代码有关，比如JNI库的问题，或者权限不足导致访问冲突。SELinux的策略可能会阻止蓝牙服务访问某些资源，从而引发错误。首先，我应该检查SELinux的拒绝日志，看看是否有相关的avc拒绝信息。用户可能需要使用audit2allow工具来生成新的策略规则，或者调整现有的SELinux策略。另外，蓝牙相关的JNI库可能存在兼容性问题，比如32位和64位的混合使用，或者库的版本不匹配。需要确认JNI库是否正确编译，并且路径配置正确。然后，GMS固件可能有一些特定的配置，比如在构建过程中是否启用了AddressSanitizer（ASan），虽然ASan不能直接检测Java代码，但可以检查JNI库的问题。用户可能需要重新构建app_process并使用ASan来检测内存错误。同时，检查init.zygote的配置是否正确，确保32位和64位的支持没有问题。另外，蓝牙服务的权限问题也是可能的，比如缺少必要的SELinux标签或文件权限。需要检查蓝牙服务相关的文件、套接字和设备节点的权限是否正确。还有，查看系统日志和logcat输出，确定具体的错误信息和堆栈跟踪，这有助于定位问题根源。可能还需要考虑固件版本和补丁，确保系统更新到最新，或者是否有已知的问题和解决方案。最后，如果问题依旧存在，可能需要更深入的调试，比如使用gdbserver或动态分析工具来跟踪JNI调用。</think>### GMS固件中SELinux与蓝牙JNI FatalError问题解决方案 #### 1. 检查SELinux策略冲突 - **步骤**：通过`adb logcat | grep 'avc: denied'`查看SELinux拒绝记录，重点过滤`bluetooth`和`jni`相关进程 - **示例策略修复**： ```te # 允许蓝牙服务访问JNI库 allow bluetooth app_data_file:file { read execute }; allow bluetooth system_app:unix_stream_socket connectto; ``` 使用`audit2allow -p policy.xx.te`生成补丁策略[^2] #### 2. JNI层内存问题检测 - **ASan集成**： ```bash # 修改编译配置启用ASan export SANITIZE_TARGET=address m -j$(nproc) app_process64 ``` 通过ASan检测JNI库的内存越界、空指针等问题[^1] #### 3. 蓝牙服务权限修复 - **关键文件权限**： ```bash # 检查蓝牙相关节点 ls -lZ /dev/ttySAC2 # 蓝牙串口设备 ls -lZ /sys/class/rfkill # RFKILL控制接口 ``` - **典型修复**： ```te # 允许访问蓝牙HCI接口 allow hal_bluetooth_default dev_type:chr_file { read write }; ``` #### 4. JNI接口版本匹配检查`ro.zygote`配置是否符合硬件架构： ```makefile # 64位主模式+32位兼容模式配置示例 PRODUCT_DEFAULT_PROPERTY_OVERRIDES += ro.zygote=zygote64_32 TARGET_SUPPORTS_32_BIT_APPS := true TARGET_SUPPORTS_64_BIT_APPS := true ``` 需确保JNI库的`bitness`与配置一致[^2] #### 5. 蓝牙协议栈更新通过GMS更新渠道获取最新蓝牙协议栈： ```bash adb install -r --enable-rollback Bluetooth.apk adb shell am broadcast -a android.bluetooth.adapter.action.STATE_CHANGED ``` #### 6. 核心转储分析获取崩溃时的内存镜像： ```bash echo "/data/core.%p" > /proc/sys/kernel/core_pattern ulimit -c unlimited ``` 通过`gdb app_process64 core.xxx`分析JNI调用栈