节点增加selinux权限

原创 已于 2022-09-08 11:19:21 修改 · 2.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#selinux

于 2022-02-15 15:12:42 首次发布
本文档详细介绍了如何在Android11_alpha系统中修改SELinux策略,涉及文件路径、文件修改及内容变更。具体步骤包括在device.te中添加标签,更新file_contexts节点,并设定允许规则。通过编译、adb推送更新后的策略文件并重启设备来应用改动。同时,提供了调试技巧,如使用sepgrep搜索和selinux相关工具生成审计规则。

1,修改路径为:
Android11_alpha/vendor/XXX/product/mt9615_r/common/device/sepolicy/
2,修改文件
modified: device.te
modified: file_contexts
modified: XXXXXXX.te
3,修改内容
device.te里面添加一个标签
type demura_spi_device, dev_type;
file_contexts里面添加节点
/dev/spidev0.0 u:object_r:demura_spi_device:s0
XXXXXX.te添加允许规则
allow XXXXX demura_spi_device:chr_file { ioctl read write open map getattr };
4,问题判断依据
在这里插入图片描述

调试小tips:
selinux不需要整编代码,lunch选择项目以后,mmm system/sepolicy即可。

搜索时可直接使用sepgrep关键字,更快。只在selinux相关文件中搜索。

编译完成后,直接adb push \\Android11_alpha\out\target\product\C05\vendor\etc\selinux /vendor/etc/然后重启即可。

查看文件或者进程的type使用-Z 例如:ls -alZ,ps -Z。

使用工具自动生成

整理log里面的selinux的log信息
在这里插入图片描述
需要使用到源码的环境

最低0.47元/天 解锁文章
android11展锐 Selinux 添加设备节点问题修改及具体实现
Haomione的博客
08-26 2310
android11展锐 Selinux 添加设备节点问题修改及具体实现
Android开放sys下设备节点的读写权限
xqppw111的博客
01-14 6538
Android为system_app开放sys下节点的读写权限 由于Android源码的SELinux安全访问机制,app是无法直接访问设备节点,systemAPP也不行 开放权限步骤: 节点的实际路径:/sys/devices/platform/5v_en/led 1、在\device\rockchip\common\sepolicy目录下file.te文件中添加 type sysfs_led, fs_type, sysfs_type; sysfs_led为自定义的名称(如果是dev/下的应该写在dev
Android R中给新的服务添加selinux权限
weixin_55053963的博客
07-19 2132
Android服务添加selinux权限
【Android】SElinux(Security-Enhanced Linux)
weixin_41028159的博客
11-25 3435
作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。
Android AOSP添加selinux权限的方法
qq_40694393的博客
06-13 1301
注意:安卓原生的权限添加,只需要在/system/sepolicy/下找到.te文件,若是有供应商自定义的内容,则还需要同时在/device/xxx/seplociy/下找到同名文件添加同样的内容。添加的语句:allow platform_app app_data_file:file execute;1.根据log报错来手动添加,这种方法有一定风险,不熟悉语法添加的新手可能报错。添加的位置:AOSP下找到文件名为“缺少权限的对象.te”需要访问的文件:app_data_file。
高通平台中为一个server添加SELinux权限
TNT的博客
04-03 1712
假设我们在Android平台中实现了一个server,编译生成的应用程序位于/vendor/bin/testfd.下面为这个应用程序添加selinx权限。 1.在devices/qcom/sepolicy/vendor/common/目录下新建一个testfd.te文件,这个文件将用来添加testfd这个应用程序的权限。 2.将testfd.te这个文件加入到devices/qcom/sepoli...
linux创建设备文件指定权限,AOSP 8.1 新增/dev设备节点 Selinux权限设置
weixin_33321637的博客
04-29 1360
在开发驱动程序提供上层应用使用过程,设置到kernel层和user层之间权限的问题,例如:framework层自定义服务jni通过Hal硬件程序层访问/dev/xxx设备驱动节点;此过程会涉及到system_server去访问kernel层;说明:我们使用nexus 6p 8.1源码进行调试第一步:添加DAC权限设备文件是在内核驱动里面通过device_create创建的,而device_crea...
展讯Android 10 :读写节点SeLinux权限问题
AiHH的博客
03-08 4661
SeLinux权限问题本来是在adb logcat中搜索avc,但是展讯平台的SeLinux权限相关log好像不会在logcat中打印出来,应该在ylog中的某个文件会打印权限问题log(由于项目配置原因,ylog用不了,所以没有跟下去),这里我只看了logcat 先说下展讯se权限相关文件位置: init.rc 文件位置(android初始化文件,在此文件中初始化目标文件的777权限) device/sprd/sharkle/common/rootdir/root/init.common.rc file
详解Android Selinux 权限及问题
08-28
在Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点。Android 4.4中也有限制性地启用了这一...
Selinux文件节点读写权限和控制器权限配置
weixin_37961937的博客
06-28 1566
排查方法主要是查看点击该功能,系统打印出来的日志,发现缺少权限配置,我的最开始是文件读写权限缺少,后来又是控制器权限配置,很多权限他不是一次性出来的,以上截图是我其中一份日志是,仅供参考,是告诉你们看到系统日志里面如何找自己需要配置哪些全部。下面开始看我的日志,这段错误日志跟上面第一点的几乎一样,唯一不同的就是他是denied { read }这一段是 denied { write }这里面操作权限是可读,因为操作的不同,日志中体现的错误日志也不同,所以最终的写法就是。上面就是我所有需要配置的权限了。
APK启动bin相关selinux权限
04-22
APK启动bin相关selinux权限,基于mtk android 6.0平台
selinux权限
weixin_43899302的博客
08-19 2097
selinux
memory 节点selinux权限添加
鑫鑫缺点金的博客
12-27 341
存储添加selinux
android设置selinux权限
LXJSWD的博客
02-08 2032
selinux权限配置
为自定义系统服务添加SELinux权限
海豚的成长日记
01-07 1891
目录 1.为设备节点添加SELinux权限 2.为JAVA层的系统服务添加SELinux权限 3.为Native层的系统服务添加SELinux权限 4.自定义Native层系统服务如何跟随系统ROM一起编译并烧录到设备且开机自启动 SELinux权限的基础理论 https://blog.youkuaiyun.com/Innost/article/details/19299937 https://blog.youkuaiyun.com/Innost/article/details/19641487 简单理解:系.
2022-07-20 Android 11 SELinux avc 修改sys目录下面某个节点权限
海月汐辰
07-20 2314
1、在file.te中,加入一个域的别名,如在该例中,我们原本需要访问的是sysfs域中的一个文件,所以我们在file.te中定义一个新的域,名字可以随便取,定义一个叫做sysfs_powerenable的域(domain),该域具有fs_type和sysfs_type属性(attribute)如。5、编译的时候可能会有提示不允许untrustedapps写sysfs下面的节点,按下面的修改策略。3、在我们新建的powerenable.te策略文件中,把之前的sysfs替换为我们新定义的域,即。......
Android Selinux介绍,如何添加selinux 权限
热门推荐
yinhunzw的专栏
11-14 1万+
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
添加 Selinux 权限步骤
wangjun7121的专栏
03-06 7390
前言 简单笔记 步骤 一、首先验证是否是 Selinux 权限相关问题 在 eng 版本中使用: setenforce 0 临时关闭 selinux 后,再验证。(注:有时是权限问题,但也未必有效,这时可通过 log 确认) 二、给可执行程序添加权限: src\device\qcom\sepolicy\common\file_contexts # wangjun@wind-mo...
LED节点访问增加selinux权限记录
wangwei6227的博客
01-26 1161
由于工厂测试是直接读写取呼吸灯的文件节点,测试app没有selinux权限去读写该节点,需要增加selinux权限。 该工厂测试模块属于system app,所以对应的要加在system_app.te中 MTK FAQ: https://online.mediatek.com/FAQ#/SW/FAQ11486 https://online.mediatek.com/FAQ#/SW/F...
selinux 节点权限
最新发布
03-11
### 配置 SELinux 节点权限 在 Android 环境下配置 SELinux节点权限涉及多个方面,包括理解 SELinux 模式、修改安全上下文以及调试技巧。 #### 修改安全上下文以适应节点需求 为了使某个节点(例如设备文件或网络接口)能够按照预期工作,在 SELinux 下可能需要调整其安全上下文。这可以通过 `chcon` 命令临时更改,或者编辑 `/etc/selinux/targeted/contexts/files/file_contexts` 文件来永久设定[^2]。对于具体的节点路径,应指定适当的安全标签以便于访问控制策略生效。 #### 利用工具简化配置过程 针对复杂场景下的 SELinux 权限配置,可以借助自动化工具来自动生成必要的策略规则。这些工具有助于减少手动编写 policy 文件的工作量并降低错误率。此外,当遇到问题时,利用 `sealert` 或者查看日志中的 AVC (Access Vector Cache) 拒绝消息可以帮助定位具体原因所在[^4]。 #### 实践操作指南 假设要给定一个串口设备 `/dev/ttyUSB0` 设置合适的 SELinux 类型: 1. **查询当前状态** ```bash ls -alZ /dev/ttyUSB0 ``` 2. **应用新的安全上下文** 如果发现该设备不具备正确的类型,则可通过命令行即时更正: ```bash sudo chcon -t device_type /dev/ttyUSB0 ``` 3. **持久化变更** 若要让上述改动重启后仍然有效,需更新 file_contexts 数据库: ```bash echo "/dev/ttyUSB0 u:object_r:device_type:s0" | sudo tee -a /etc/selinux/targeted/contexts/files/file_contexts restorecon -v /dev/ttyUSB0 ``` 以上方法同样适用于其他类型的节点对象,只需替换相应的路径名和目标类型即可。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值