android -- selinux 权限添加

最新推荐文章于 2024-11-09 20:38:38 发布

LHshooter

最新推荐文章于 2024-11-09 20:38:38 发布

阅读量950

点赞数

CC 4.0 BY-SA版权

分类专栏： Android

本文链接：https://blog.youkuaiyun.com/LHshooter/article/details/107799152

Android 专栏收录该内容

27 篇文章

订阅专栏

本文解析了在Linux系统中遇到的SELinux权限问题，详细分析了denied{set}

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

根据kernel中 denied 报错

init: avc:  denied  { set } for property=gsm.qcril.setll pid=3340 uid=1000 gid=1000 scontext=u:r:system_app:s0 tcontext=u:object_r:radio_prop:s0 tclass=property_service permissive=1

解析

denied  { set } ：表示没有 set 权限

scontext=u:r:system_app:s0：system_app 中缺少权限，文件名与此相同，xxx.te

tcontext=u:object_r:radio_prop:s0：radio_prop 文件系统缺少权限

tclass=property_service：property_service 类型的文件

解决

在 system_app.te

allow system_app radio_prop:property_service set;

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

LHshooter

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

rk3568 HAL3--Camera seLinux权限

weixin_35723192的博客

12-26

1248

rk3568 Android11 在特定场景发现 camera HAL3 的 RGA 无法正常调用，查看内核日志会发现某些服务缺少相关 seLinux 权限致使调用失败，按照正常情况则需要补齐就好。某些场景则需要增加新权限才能匹配相应功能；如果在 HAL 增加系统属性读取，就需要增加专属的 seLinux 权限申请。

rk3568 LTE(EC20--GPS 的 seLinux 权限)

weixin_35723192的博客

12-26

795

EC20 模组的GPS与单定位功能的GPS/GNSS的模组功能相同，只是同事方式有所差别；权限适配时可以相互参考，相互借鉴，添加的权限略有不同，但是思路基本一致。

参与评论您还未登录，请先登录后发表或查看评论

android te avc 权限

wangjicong_215的博客

03-04

841

01-14 16:14:45.867 E/selinux ( 0): avc: denied { set } for property=ctl.stop$vendor.fm pid=543 uid=1002 gid=1002 scontext=u:r:hal_bluetooth_qti:s0 tcontext=u:object_r:ctl_stop_prop:s0 tclass=prop...

SElinux avc dennied权限问题解决方法

Y在想什麽的博客

09-26

1532

SElinux avc权限不足问题：1.编译debug版本.2.抓log：adb shell --> dmesg | grep avc3.补充相对应的.te文件；.te文件也可以自己写，要先去system/sepolicy/file_contexts文件下声明；总体原则就是缺什么权限就补什么权限！！！

linux通过闪灯查看端口,MTK平台-添加闪光灯测试节点

weixin_42401178的博客

05-12

818

综述项目需求：客户有一个老化apk，自动测试闪光灯。新增以下节点，控制闪光灯亮灭。/sys/devices/virtual/torch/torch/torch_level写入1 ，后手电筒亮写入0 ，后手电筒灭/sys/devices/virtual/sub_torch/sub_torch/sub_torch_level写入1 ，前手电筒亮写入0 ，前手电筒灭实现思路1.创建/sys/device...

selinux权限说明及问题解决

zyfzhangyafei的专栏

08-12

9034

一、SELinux文件访问安全策略和app权限配置在android6.0以后的版本，google采用了SELinux的文件访问安全策略，想比较以前，绝对提高了文件的安全，不像以前那样，对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户（root），具有最高的系统权限，UID为0。系统伪用户，Linux操作系统出于系统管理的需要，但又不愿赋予超级用户的权限，需要将某些关

Android-SEAndroid权限问题指南

热门推荐

IT先森

07-11

1万+

Android-SEAndroid权限问题指南前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型，来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型（domain-type）模型的强制访问控制（MAC）安全系统，其原则是...

2024-11-6----Android 11（全志713m）----- 关于添加 Selinux 权限

qq_854189624的博客

11-06

1152

之前在MTK9.0上加过，所以还是知道一些具体的流程，但是每个平台和版本不太一样，一些细节也不一样，比如这次的映射，之前是在mtk的file_context可以加的，但在全志是在genfs_contexts上，而且路径什么的还不能多 /sys/所以以后遇到映射不成功的，可以仿照一个相似的节点，看看这个节点在哪个文件映射，然后声明，然后allow权限。

如何在 Android 上增加 SELinux 权限

柴三少_

11-09

2757

SELinux（Security-Enhanced Linux）是一种强制访问控制（MAC）机制，它为 Android 系统提供了额外的安全层。通过 SELinux，系统管理员可以定义细粒度的安全策略，限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限。

Securing Android-Powered Mobile Devices Using SELinux

05-05

1. **内核层集成**：修改Linux内核，添加SELinux的内核模块，确保内核支持SELinux策略。 2. **用户空间接口**：开发用户空间接口，允许加载和管理SELinux策略。 3. **策略编译和定制**：根据Android的应用环境，编写...

Android开放sys下设备节点的读写权限

xqppw111的博客

01-14

6387

Android为system_app开放sys下节点的读写权限由于Android源码的SELinux安全访问机制，app是无法直接访问设备节点，systemAPP也不行开放权限步骤：节点的实际路径：/sys/devices/platform/5v_en/led 1、在\device\rockchip\common\sepolicy目录下file.te文件中添加 type sysfs_led, fs_type, sysfs_type; sysfs_led为自定义的名称（如果是dev/下的应该写在dev

Android SELinux——添加策略实例（十五）

小旭的专栏

10-21

682

通过前面的文章，我们基本了解在 Android 系统中 SELinux 策略配置和基本语法，这里我们就来看一些常见的问题及其解决方案。这里我们主要看通过 allow 添加策略的方案。

android 零星调试笔记（二）

jimbo的专栏

07-18

4575

续上篇：http://blog.youkuaiyun.com/jimbo_lee/article/details/8694265 通过包名获取其他包的Context实例 Context有个createPackageContext方法，可以创建另外一个包的上下文，这个实例不同于它本身的Context实例，但是功能是一样的。这个方法有两个参数： 1。packageName 包名，要得到Context的包名 ...

SElinux和SEandroid验证denied处理

qqcc0000的专栏

01-20

3041

SEandroid和SElinux在加入到android4.X之后，在开发的过程中经常会在log中看到类似下面的denied信息，这是由于在相应的进程没有操作权限造成的，这些权限在sepolicy中没有被允许，或者是没有继承父进程的权限。 [77037.274119] [(2015-01-20 09:17:42.876329323 UTC)] [cpuid: 2] type=14

Android O 添加系统服务错误 add_service uid=1000 - PERMISSION DENIED

visionliao的专栏

07-26

3816

最近在Android 8.1上添加了一个叫scan的系统服务(如何添加一个系统服务不做介绍), 在其它应用中调用这个服务: private ActionScanManager mScanManager; private void test(Context context) { if (context == null) return; mScanM...

Android 5.x 权限问题解决方法

u013952558的专栏

03-16

1万+

Android 5.x 权限问题解决方法一、 android 5.x开始，引入了非常严格的selinux权限管理机制，我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。本文结合具体案例，讲解如何根据log来快速解决90%的权限问题。遇到权限问题，在logcat或者kernel的log中一定会打印avc denied提示缺

SELinux学习笔记

ymz641的专栏

12-31

2292

一、概念引入： DAC(Discretionary Access Control)：自主访问控制。在这种形式下，决定一个资源是否能被访问的因素是对应用户是否有该资源的权限（读、写、执行）。只要访问这个资源的进程符合以上的条件就可以被访问。其中root 用户不受任何管制，系统上任何资源都可以无限制地访问。 MAC(Mandatory Access Control)：强制访问控制。决定一个资源是否能被访问的因素除了用户权限之外，还需要判断对应的进程是否同样拥有对该资源的访问权限。即使进程是以 root 身份运行

Android 8.1 非系统进程设置系统域属性问题

岁月斑驳7的博客

11-07

1万+

1. 进程间通过设置属性进行交互 Android 系统开发中经常需要通过属性在各个进程间传递信息，通过一个进程 set_property，另一个进程 get_property 达到进程间通信的需求。属性获取没有限制，但是如果需要进程可以进行设置属性操作，则需要做一些处理。因为在 init 进程属性设置处理过程中会进行 selinux 权限的检查，如果不通过的话，设置属性的请求会被拒绝。报错 f...

android selinux 添加权限怎么声明

最新发布

07-29

<think>好的，我现在需要回答用户的问题：“android selinux 添加权限怎么声明”。首先，我需要回忆一下Android中SELinux权限声明的相关知识。SELinux在Android中用于强制访问控制，权限声明主要涉及TE（Type Enforcement）策略文件，通常包括类型定义、允许规则等。首先，用户可能需要知道SELinux的基本结构，比如上下文（context）、类型（type）、域（domain）等概念。然后，添加权限通常需要修改TE策略文件，比如*.te文件，可能包括添加allow规则，定义新的类型或属性，或者修改现有的类型转换规则。具体步骤可能包括：确定需要授权的源域（source domain）和目标类型（target type），以及需要的权限（permission）。然后在对应的TE文件中添加allow语句，例如allow source_domain target_type:class permission;。此外，可能需要更新文件上下文（file_contexts）来定义特定路径的SELinux上下文，或者在属性文件（例如property_contexts）中处理属性相关的权限。另外，可能需要考虑使用sepolicy工具，比如checkpolicy来验证策略，或者使用audit2allow工具根据审计日志生成缺失的规则。例如，当应用出现SELinux拒绝访问时，查看logcat中的AVC拒绝信息，提取需要的allow规则，然后添加到策略中。需要注意的是，Android的SELinux策略分为平台策略（在system/sepolicy）和厂商策略（在vendor/sepolicy或device/*/sepolicy），根据修改的部分选择正确的位置。同时，不同Android版本的SELinux策略可能有变化，比如从宽松模式（permissive）到强制模式（enforcing）的转变，需要适配版本差异。现在，我需要将这些步骤整理成清晰的回答，确保覆盖主要的声明方法和注意事项。然后，根据回答内容生成3-5个相关问题。 </think>在Android中通过SELinux添加权限主要涉及修改SELinux策略文件（通常为`.te`类型文件），并声明允许规则（`allow`语句）。以下是核心步骤： ### 1. 确定权限需求首先通过日志（如`logcat`）捕获SELinux拒绝的AVC（Access Vector Cache）错误，获取以下关键信息： - **源域（source domain）**：发起访问的进程类型（如`system_app`、`vendor_app`）。 - **目标类型（target type）**：被访问的资源类型（如`system_file`、`vendor_db`）。 - **访问类（class）**：资源的类别（如`file`、`dir`、`socket`）。 - **需要的权限（permission）**：具体操作（如`read`、`write`、`execute`）。 ### 2. 添加`allow`规则在对应的策略文件（如`system/sepolicy/domain.te`、`vendor/sepolicy/`下的自定义`.te`文件）中添加`allow`语句，格式为： ```te allow 源域目标类型:访问类权限集合; ``` 示例：允许`system_app`读取`system_file`类型的文件： ```te allow system_app system_file:file read; ``` ### 3. 处理类型转换（可选）若涉及进程创建新资源（如创建文件），需声明`type_transition`规则，指定新资源的类型： ```te type_transition 源域目标类型:访问类新类型; ``` ### 4. 更新文件上下文（若需自定义路径）若需为特定路径设置SELinux上下文，修改`file_contexts`文件（如`system/sepolicy/file_contexts`），格式为： ``` 路径正则表达式上下文类型 ``` 示例：为`/data/local/tmp/test`路径设置`test_file`类型： ``` (/data/local/tmp/test)(/.*)? u:object_r:test_file:s0 ``` ### 5. 验证与编译 - 使用`checkpolicy`验证策略语法：`checkpolicy -M -C -o policy.bin *.te`。 - 推送更新后的策略到设备（如通过`adb push`），重启后验证权限是否生效。 ### 注意事项 - 策略文件按优先级加载（`system/sepolicy` < `vendor/sepolicy` < `device/*/sepolicy`），优先在厂商或设备目录修改。 - 高版本Android（如10+）强制启用SELinux（Enforcing模式），需确保规则严格符合最小权限原则。