android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules**

最新推荐文章于 2024-08-20 14:40:31 发布
原创 最新推荐文章于 2024-08-20 14:40:31 发布 · 4.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了解决因自定义Sepolicy导致违反Google Neverallow规则而引起的CTS测试失败的方法。重点在于如何定位并修复违反Neverallow规则的具体策略,确保与Google AOSP保持一致。

[DESCRIPTION]

若有自行修改Sepolicy导致违反Google的Neverallow rule,CTS 将fail。比如:

android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules110 FAIL
junit.framework.AssertionFailedError: The following errors were encountered when validating the SELinuxneverallow rule:
neverallow { domain -system_server -system_app -init -installd } system_data_file:file { append create link unlink relabelfrom rename setattr write };
libsepol.report_failure: neverallow violated by allow install_recovery system_data_file:file { write create setattr relabelfrom append unlink link rename };
libsepol.check_assertions: 1 neverallow failures occurred

[SOLUTION]
查看CTS host log,找出neverallow violated by后面的部分,

allow install_recovery system_data_file:file { write create setattr relabelfrom append unlink link rename };
这个policy一般是在如下te文件中添加,需要客户自行检查:
alps/device/mediatek/common/sepolicy/install_recovery.te
alps/external/sepolicy/install_recovery.te
若上面的te文件中找不到这个修改说明是在别处te文件中添加的,则可以在
out/target/product/project/obj/ETC/sepolicy_intermediates中搜索即可,这是所有selinux policy的汇总。

上面fail的信息是说这一行policy违反了Google 原生的Neverallow policy:
neverallow { domain -system_server -system_app -init -installd } system_data_file:file { append create link unlink relabelfrom rename setattr write };
从而导致CTS fail,移除这一行即可。

Note:
必须维持external/sepolicy 与Google AOSP一致, 尽量不要修改.
特别是不要去除任何的neverallow 语句.

Android SELinux——neverallow问题处理(十六)
小旭的专栏
10-22 2206
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统对 SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反了 neverallow 规则,编译时候会报 neverallow 相关的错误。
AndroidCTS:解决android.carrierapi.cts.CarrierApiTest#testIccTransmitApduBasicChannel fail
GentelmanTsao的博客
08-04 2143
解决 CTS fail: junit.framework.ComparisonFailure: expected:<[90]00> but was:<[6f]00>
android.cts.security.SELinuxNeverallowRulesTest --testNeverallowRulesXXX
Uses_Permission的博客
01-19 3589
android.cts.security.SELinuxNeverallowRulesTest –testNeverallowRulesXXX [DESCRIPTION]若有自行修改Sepolicy导致违反Google的Neverallow rule,CTS 将fail。比如: android.cts.security.SELinuxNeverallowRulesTest#testNevera
Android O selinux违反Neverallow解决办法
yxw0609131056的博客
04-02 3万+
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:1、Android O selinux相关配置文件所在路径      system/sepolicy/*                      AOSP device和APPS相关selinux配置      device/qcom/sepolicy/*            平台和板卡...
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 4862
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
selinux常见neverallow项解决方法与常用命令
热门推荐
k663514387的博客
08-13 3万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限是Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限可
高通A14 CtsAppSecurityHostTestCases-android.appsecurity.cts.ApexSignatureVerificationTest#testApexPub
01-08
高通A14 CtsAppSecurityHostTestCases-android.appsecurity.cts.ApexSignatureVerificationTest#testApexPub
android.media.cts.CamcorderProfileTest#testGetWithId测试失败解决方法
08-31
android.media.cts.CamcorderProfileTest#testGetWithId测试失败解决方法 android.media.cts.CamcorderProfileTest#testGetWithId测试失败解决方法是 AndroidCTS测试中的一项重要测试,旨在检查高分辨率参数和...
展锐A14 GtsPackageSignatureTest--android.security.cts.PackageSignatureTest#testPackageSignatures fail
luojia20032004的博客
08-20 645
packages/modules/Bluetooth/android/app/certs/(注意此路径下签名只替换密钥内容,文件名保持不变,仍为com.android.bluetooth.pk8、com.android.bluetooth.x509.pem)3.替换完成后,检查下这四个路径下蓝牙签名中内容是否一致(bluetooth.x509.pem),若不一致说明替换不正确,按照指导步骤检查一下。vendor/partner_modules/build/certificates/(无此路径忽略)
问题单-CtsCameraTestCases模块下android.hardware.camera2.cts.CaptureRequestTest#testAeModeAndLock[1]测试fail
Ren_Mengfan的博客
07-19 1240
问题单-CtsCameraTestCases模块下android.hardware.camera2.cts.CaptureRequestTest#testAeModeAndLock[1]测试failERROR Log问题分析具体修改 ERROR Log java.lang.Throwable(Tset failed for camera 0: Sensitivity is invalid for AE manaul control test, request: 104 result: 100 问题分析 Se
selinux权限neverallow解决
qq_36975610的博客
03-07 2863
selinux权限neverallow解决
selinux解决sysfs neverallow问题
Rainman博的专栏
07-05 1371
执行 restorcon -R /devices/platform/aaa/bbb/ccc 来重新加载selinux上下文,发现已经变成。system/etc/selinux下的所以文件push到设备相应目录下, 具体看修改的selinux编译在哪里。将vendor/etc/selinux下的所以文件push到设备相应目录下,或者将。在aosp源码/system/policy/下grep system_app就会发发现。system app需要访问/sys下设备节点信息。my_sysfs了。
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 2987
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
【SELinux】通过neverallow语句来认知“属性”的意义
aaajj的专栏
02-25 6448
关于neverallow   对于类型为system_server_service 的服务,由于设置了 add_service(system_server, system_server_service);   里面调用了neverallow, add_service是个宏,定义在 system/sepolicy/public/te_macros   556###########...
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 2522
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限。
selinux权限问题
xiaolifeidaofirst的博客
05-30 3008
neverallow user_t shadow_t:file write; 这条neverallow规则可以有效地阻止我们在策略中添加一条允许user_t对类型为shadow_t的文件进行写操作的规则, 如果添加了这样的规则在编译时就会报错,这条规则不会移除访问权,它只是会产生编译错误。我们在编写策略时,neverallow规则往往放在allow规则前面,首先声明哪些访问是明确地被拒绝的,然后再声明哪些访问是可以接受的,这样就可以预防我们人为出错了。 neverall...
Android CTS中neverallow规则生成过程
liwugang43210的专栏
12-29 2562
CTS里面SELinux相关测试中neverallow测试项占绝大多数,Android系统开发者都应该知道,在修改sepolicy时,需要确保不能违反这些neverallow规则,不然会过不了CTSCTS中nerverallow测试都是在SELinuxNeverallowRulesTest.java文件中,并且从AOSP代码中发现该文件不是人工提交的,而是通过python脚本生成的,为了以后更好...
Android security知识点总结
汽车以太网和SOA
05-15 6880
Android security知识点总结
CTS 问题 第二篇
Lara Chen
01-10 4152
1、 android.app.cts.SystemFeaturesTest – testLocationFeaturesfail: junit.framework.AssertionFailedError: PackageManager#hasSystemFeature should return true for android.hardware.location.gps at junit.f
java.lang.AssertionError: The following errors were encountered when validating the SELinuxneverallow rule: neverallow traced_probes self:perf_event ~{ open write cpu kernel }; libsepol.report_failure: neverallow violated by allow traced_probes traced_probes:perf_event { tracepoint read }; libsepol.check_assertions: 1 neverallow failures occurred at org.junit.Assert.fail(Assert.java:89) at org.junit.Assert.assertTrue(Assert.java:42) at android.security.cts.SELinuxNeverallowRule.testNeverallowRule(SELinuxNeverallowRule.java:193) at android.security.cts.SELinuxNeverallowRulesTest.testNeverallowRules(SELinuxNeverallowRulesTest.java:135) 日志分析
最新发布
08-21
<think>首先,用户的问题是关于分析SELinux neverallow规则验证失败的日志,并找出问题原因,特别提到了java.lang.AssertionError。用户引用了几个相关的引用,我需要参考这些引用。 回顾引用: - 引用[1]:讨论了在Mockito中处理java.lang.AssertionError,涉及Spring验证器和异常处理。 - 引用[2]:提供了解决java.lang.AssertionError的方法,包括启用断言和正确使用断言。 - 引用[3]:描述了一个外部系统异常,涉及IDEA的离线模式导致lombok jar无法下载。 用户的核心问题是:分析SELinux neverallow规则验证失败日志,并找出java.lang.AssertionError的原因。 SELinux(Security-Enhanced Linux)是一个安全模块,用于Linux系统,包括Android。neverallow规则是SELinux策略的一部分,用于禁止某些访问或操作。验证失败意味着在编译或运行时,策略违反了这些规则。 java.lang.AssertionError 是Java中的一个错误,表示一个断言失败。在Android上下文中,这可能发生在构建过程或测试中,当SELinux策略验证失败时触发断言错误。 我需要构建一个清晰的回答,结构如下: 1. **理解问题**:解释SELinux neverallow规则和验证失败的含义。 2. **分析日志**:指导用户如何分析日志,找出具体原因。 3. **java.lang.AssertionError的角色**:解释这个错误如何与SELinux验证相关。 4. **常见原因和解决方案**:基于引用和一般知识,列出可能的原因和解决步骤。 5. **生成相关问题**:按照系统指令,在最后添加相关问题。 回答必须使用中文,并遵守LaTeX格式规则: - 行内数学表达式用$...$,例如:$x^2$。 - 独立公式用$$...$$并单独成段。 - LaTeX语法正确。 最后,生成相关问题。 ### 回答结构 1. **介绍SELinux neverallow规则**:简要解释。 2. **验证失败和java.lang.AssertionError**:链接到日志分析。 3. **日志分析步骤**:逐步指导。 4. **常见原因**:基于引用和一般知识。 5. **解决方案**:提供具体建议。 6. **相关问题**:生成3个相关问题。 ### 参考引用 - 引用[1]:提到在单元测试中处理异常,可能与测试SELinux策略相关。 - 引用[2]:解决AssertionError的方法,如启用断言和正确使用断言。 - 引用[3]:离线模式问题,可能类比于构建环境问题。 在Android SELinux上下文中,java.lang.AssertionError可能发生在构建工具(如sepolicy工具)中,当策略违反neverallow规则时,工具可能抛出断言错误。 ### 关键点 - **SELinux neverallow规则**:这些规则定义了绝对禁止的操作。在编译策略时,如果任何规则被违反,验证会失败。 - **日志分析**:用户需要查看构建日志或系统日志,找出哪个规则被违反,以及为什么。 - **java.lang.AssertionError**:在Java-based工具中(如Android构建工具),当断言条件失败时抛出此错误。例如,在策略验证工具中,如果检测到neverallow违规,可能使用断言来报告错误。 ### 分析步骤 1. **获取日志**:确保有完整的构建日志或错误日志。 2. **查找关键信息**:搜索"neverallow"、"AssertionError"等关键词。 3. **识别违规规则**:日志中通常会指定哪个neverallow规则被违反。 4. **检查策略文件**:查看相关的.te(Type Enforcement)文件。 5. **解决冲突**:修改策略以符合规则,或调整规则。 ### 常见原因 - **策略冲突**:两个或多个规则冲突,导致违反neverallow。 - **错误配置**:在策略文件中错误定义了类型或属性。 - **构建环境问题**:如引用[3],离线模式或依赖缺失。 - **测试问题**:如引用[1],在单元测试中模拟异常。 ### 解决方案 - **启用详细日志**:使用构建选项如`-d`或`-v`获取更多细节。 - **检查断言条件**:如引用[2],确保断言逻辑正确。 - **更新工具和依赖**:确保所有工具是最新的。 - **审查策略**:使用工具如`audit2allow`分析AVC拒绝。 ### 生成相关问题 基于系统指令,在末尾添加相关问题。 最终回答:</think>### SELinux neverallow规则验证失败日志分析 SELinux(Security-Enhanced Linux)是Android系统中的强制访问控制机制,`neverallow`规则用于定义绝对禁止的操作(如特定进程访问敏感文件)。当策略编译或运行时违反这些规则,验证会失败,并可能触发`java.lang.AssertionError`(Java断言错误),表示代码中的预期条件未满足[^1]。以下我将逐步指导您分析日志并找出原因。 #### 1. **理解日志结构** - **典型日志格式**:SELinux验证失败日志通常包含: - 违规规则标识(如`neverallow`规则名)。 - 违反的具体操作(如`{ read write }`权限)。 - 涉及的类型或属性(如`domain`类型)。 - 错误堆栈,包括`java.lang.AssertionError`的触发点。 示例日志片段: ``` libsepol.report_failure: neverallow violated by allow system_app kernel:file { execute }; java.lang.AssertionError: Expected no violations, found 1 at com.android.selinux.validator.PolicyValidator.verify(PolicyValidator.java:45) ``` - **数学表达示例**:在策略分析中,权限检查可视为集合运算。例如,规则违反可表示为: $A \cap B \neq \emptyset$ 其中 $A$ 是允许的操作集合,$B$ 是禁止的操作集合[^2]。 #### 2. **分析日志步骤** 逐步操作以定位问题原因: - **步骤1:提取关键信息** 在日志中搜索关键词: - `neverallow`:定位违规规则(如`neverallow domain kernel:file execute;`)。 - `java.lang.AssertionError`:找到错误堆栈,识别触发点(如验证工具的具体方法)。 - 示例:如果日志显示`AssertionError: Expected exception but none thrown`,表明测试预期异常但未发生[^1]。 - **步骤2:检查规则冲突** - 比对`neverallow`规则与策略文件(`.te`文件)。例如,规则: ```sepolicy neverallow { appdomain -system_app } data_file:dir { open }; ``` 若日志显示`system_app`违反此规则,说明策略中误将`system_app`排除在`appdomain`外。 - 使用工具辅助: - `audit2allow`:将AVC拒绝日志转换为策略补丁。 - `sepolicy-analyze`:检查规则兼容性。 - **步骤3:验证断言条件** `java.lang.AssertionError`通常源于工具内部的断言失败(如策略验证工具)。根据引用[2]: - 确保断言逻辑正确:例如,工具预期“零违规”,但实际检测到违规。 - 启用详细日志:在构建命令添加`-ea`(启用断言)和`-v`(详细模式): ```bash make -j4 SELINUX_VERBOSE=true; # Android构建示例 ``` #### 3. **常见原因与解决方案** 基于日志分析,常见问题及解决如下: | 原因类型 | 具体描述 | 解决方案 | |----------|----------|----------| | **策略冲突** | 规则定义矛盾(如`allow`与`neverallow`重叠) | 1. 检查`.te`文件,使用`m4`预处理器调试规则。<br>2. 确保类型属性一致,例如:$ \text{typeattribute } A \text{ 属于 } B$ 需满足 $B \subseteq A$[^2]。 | | **测试环境问题** | 单元测试模拟异常失败(如未触发预期异常) | 1. 在Mockito测试中,用`assertThrows`捕获异常[^1]。<br>2. 禁用离线模式:如引用[3],IDEA需关闭Offline模式(File > Settings > Build Tools > Gradle > 取消勾选Offline work)。 | | **工具或依赖错误** | 构建工具断言条件不满足或依赖缺失 | 1. 更新工具链:`repo sync`同步AOSP代码。<br>2. 检查依赖:确认`libsepol`或`libselinux`版本兼容。 | | **断言配置错误** | 生产代码误用断言处理业务逻辑 | 1. 避免断言用于关键错误处理(引用[2])。<br>2. 改用自定义异常(如`PolicyViolationException`)。 | **通用解决流程**: 1. 重现错误:运行`mmma system/sepolicy`编译策略。 2. 过滤日志:`grep -E "neverallow|AssertionError" build.log`。 3. 修复后验证:使用`cts-tradefed run cts -m CtsSelinuxTestCases`执行SELinux测试套件。 #### 4. **预防措施** - **启用断言调试**:开发阶段添加JVM参数`-ea`,快速暴露逻辑问题(引用[2])。 - **日志增强**:在策略验证工具中添加详细日志,输出违规上下文。 - **数学优化示例**:策略验证可建模为约束满足问题(CSP): $$ \begin{align*} \text{minimize} & \quad \sum \text{violations} \\ \text{subject to} & \quad \forall r \in \text{rules}, r \text{ is satisfied} \end{align*} $$ 这有助于自动化检测冲突[^2]。 通过以上步骤,您应能定位到根本原因(如策略文件错误或测试配置缺陷)。如果提供具体日志片段,我可以进一步针对性分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值