快速解决Android中的SELinux权限问题

最新推荐文章于 2025-04-25 11:47:20 发布
最新推荐文章于 2025-04-25 11:47:20 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Android源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HDDevTeam/article/details/78043499
本文介绍了如何解决Android中的SELinux权限问题,提供了一种通过调整.te文件中的语句来允许特定进程搜索文件夹的方法,并给出了在调试阶段临时关闭SELinux的命令,包括设置Permissive和Enforcing模式,以及获取当前SELinux状态的命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于selinux的详细资料,请查阅http://blog.youkuaiyun.com/innost/article/details/19299937

通过如下命令:

adb shell
logcat | grep 'avc:'
查看内核log打印的权限错误提示

avc: denied { search } for name="/" dev="tmpfs" ino=9626 scontext=u:r:dumpfile:s0 tcontext=u:object_r:tmpfs:s0 tclass=dir permissive=0

我们可以遵循这个方法,从头开始寻找关键对象,然后调整一下顺序,生成一条语句,最后将该语句填写到.te文件(

device\mediatek\common\sepolicy\basic/*.te)中即可

             denied { search }    u:r:dumpfile:s0    u:object_r:tmpfs:s0    tclass=dir

                  A                              B                             C                           D

                  B                              C                             D                           A

allow         dumpfile                     tmpfs:                        dir                     {search}

这条语句表示允许dumpfile域中的tmpfs进程搜索文件夹

当然,在调试阶段,可在终端上运行如下命令获取SELinux的状态和临时关闭SELinux

setenforce 0    #设置SELinux 成为Permissive模式(SELinux开启,但对违反SELinux规则的行为只记录,不会阻止)

setenforce 1    #设置SELinux 成为Enforcing模式 (SELinux开启)

getenforce       #获取SELinux状态(Permissive,Enforcing,Disabled)

测试的时候也可以在cmdline中加入androidboot.selinux=disabled来关闭SELinux

或者到Android源码的根目录下,直接修改system/core/init/init.c文件

static void selinux_initialize(bool in_kernel_domain) {
    Timer t;

    selinux_callback cb;
    cb.func_log = selinux_klog_callback;
    selinux_set_callback(SELINUX_CB_LOG, cb);
    cb.func_audit = audit_callback;
    selinux_set_callback(SELINUX_CB_AUDIT, cb);

    if (in_kernel_domain) {
        INFO("Loading SELinux policy...\n");
        if (selinux_android_load_policy() < 0) {
            ERROR("failed to load policy: %s\n", strerror(errno));
            security_failure();
        }

        bool kernel_enforcing = (security_getenforce() == 1);
        bool is_enforcing = selinux_is_enforcing();
        if (kernel_enforcing != is_enforcing) {
            if (security_setenforce(is_enforcing)) {
                ERROR("security_setenforce(%s) failed: %s\n",
                      is_enforcing ? "true" : "false", strerror(errno));
                security_failure();
            }
        }

        if (write_file("/sys/fs/selinux/checkreqprot", "0") == -1) {
            security_failure();
        }

        NOTICE("(Initializing SELinux %s took %.2fs.)\n",
               is_enforcing ? "enforcing" : "non-enforcing", t.duration());
    } else {
        selinux_init_all_handles();
    }
}
修改security_getenforce()的值(0或者1)。



Android 关闭SElinux权限
hyg55555的博客
01-09 559
【代码】Android 关闭SElinux权限
Android SELinux——基础介绍(一)
小旭的专栏
10-09 1296
SELinux(Security-Enhanced Linux)是一种基于强制访问控制 MAC 的安全增强模块,最初由美国国家安全局(NSA)开发,用于提高 Linux 操作系统的安全性。它基于 FLASK(Flux Advanced Security Kernel)模型,这是一个由美国国防部门开发的安全内核模型。SELinux 通过 LSM 接口集成到 Linux 内核中,提供了比传统的自主访问控制 DAC 更强的安全性和灵活性。
Android SELinux
学无止境
12-21 2568
SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式:权限拒绝事件会被记录下来,但不会被强制执行。强制模式:权限拒绝事件会被记录下来并强制执行。
AndroidSElinux(Security-Enhanced Linux)
weixin_41028159的博客
11-25 3329
作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。
Android 5.1中SELinux权限管理详解
最新发布
weixin_30336531的博客
04-25 847
SELinux规则的定义非常灵活,能够提供非常细致的安全控制。规则定义的基本语法通常包含以下几个部分:定义动作(如allowauditallowneverallow等);定义主体(通常指进程类型);定义目标(可以是文件、网络端口、其他进程等);定义访问类型(如readwriteexecuteconnect等)。一个典型的allow规则格式如下:在这里,domain代表进程的类型,type代表目标对象的类型,target。
Android 系统SELinux
jjx_fight的博客
10-22 2245
借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。格式如下:avc: denied { 操作权限 } for comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。– 类型绑定: external/sepolicy/file_contexts;
SELinux的安全特性加入安卓
焦虑的娃在
02-20 3216
焦虑的娃温馨提示:焦虑的娃的专题博客“关注安卓安全”的第二篇竟还是一篇译文,呵呵。最近花了好多时间看了许多SEAndroid方面的资料,发现有一篇英文文章讲的很好,简明扼要的概括了SELinux是如何应用到android系统里面去的。简单介绍了强制访问控制的概念,如何将SELinux添加到安卓,如何定制SELinux安全策略,如何验证你所定制的SELinux安全策略,同时给出了好几个应用案例。总而
Android系统SELinux详解
u010345983的博客
02-10 3847
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
详解Android Selinux 权限问题
08-28
Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4中也有限制性地启用了这一...
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 2721
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限
简述AndroidSELinux的TE
08-27
AndroidSELinux的TE简介 SELinux(Security-Enhanced Linux)是一种基于Linux内核的强制访问控制机制,它使用类型强制来改进强制访问控制。在Android系统中,SELinux扮演着重要的角色,本文将介绍Android中...
SELinux for Android 8.0 中文版
05-04
Android4.4到Android7.0,SELinux策略的构建流程是将所有的策略(平台和非平台)合并在一起,最后将合并生成的文件统一放在root目录下(即boot.img)。但这种方式有悖于Android 8.0的预定设计目标;Android8.0设计的初衷是允许合作方可以独立的更新他们自有的策略,即在Android8.0之后Google允许合作方将自有的策略部分与系统原有的进行分离,如合作方可以将自有的部分解耦到vendor.img分区中,在需要更新的情况下只需更新vendor部分即可实现
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性)
02-05
Android8.0 sepolicy权限新特性介绍,sepolicy权限Android8.0上面新的变化
Android实战经验篇-玩转Selinux(详解版)
oDwyane03的博客
01-24 1520
但是她又没有学习过以前的课程,所以不能赋予她 w 权限,怕她改错了目录中的内容,所以学员 st 的权限就是 r-x。班级中的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的学员当然不能访问这个目录。在使用 ACL 权限给用户 st 陚予权限时,st 既不是 /project 目录的属主,也不是属组,仅仅赋予用户 st 针对此目录的 r-x 权限。如下图,user是test,group是test,去写一个root权限的readme.txt文件,就是没权限的。
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 3513
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
Android selinux 解决实例
weixin_30596165的博客
06-19 359
问题如下,新增一个 设备 /dev/video8, 在 应用访问时 log 中 报出 avc: denied, 是 selinux 问题, 初始的 log 如下: 06-17 20:23:09.244 19650 19650 I pool-4-thread-1: type=1400 audit(0.0:530): avc: denied { read } for name="video8" de...
深入浅出理解Android系统中的SeLinux
AfinalStone的专栏
03-24 848
简单介绍SeLinux的历史以及SeLinuxAndroid系统中的使用
安卓SELinux策略
似霰的博客
05-07 861
安卓SELinux策略
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值