【Linux驱动调试技巧】在SElinux 如何获得对一个内核节点的访问权限?

最新推荐文章于 2025-10-30 20:02:36 发布
原创 最新推荐文章于 2025-10-30 20:02:36 发布 · 603 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细讲解了在Android5.0下,如何通过修改SEAndroid/SElinux的安全策略,使特定进程获得对自定义内核节点的访问权限。以/dev/wf_bt为例,手把手指导读者完成权限配置,包括定义设备类型、添加文件上下文和修改进程策略。

Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。
本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点的访问权限。

第一步:找到需要访问该内核节点的进程(process),笔者自己这个节点由system_server进程来访问

第二步:打开文件AndroidL/android/external/sepolicy/file_contexts.be 仿照这个文件里的写法,为你的节点定义一个你想要的名字:

在CODE上查看代码片派生到我的代码片

   /dev/tegra.* u:object_r:video_device:s0 
   /dev/tf_driver u:object_r:tee_device:s0 
   /dev/tty u:object_r:owntty_device:s0 
   /dev/tty[0-9]* u:object_r:tty_device:s0 
   # We add here 
   /dev/wf_bt u:object_r:wf_bt_device:s0 
wf_bt_device是自定义,其他左右两边的内容都和上面的范例一致。

第三步:打开文件AndroidL/android/external/sepolicy/device.te 仿照这个文件里的写法,将刚刚第二步写的wf_bt_device声明为dev_type:

在CODE上查看代码片派生到我的代码片

   # Device types 
   type device, dev_type, fs_type; 
   type alarm_device, dev_type, mlstrustedobject; 
   type adb_device, dev_type; 
   type ashmem_device, dev_type, mlstrustedobject; 
   type audio_device, dev_type; 
   type binder_device, dev_type, mlstrustedobject; 
   type block_device, dev_type; 
   # We add here 
   type wf_bt_device, dev_type; 

第四步: AndroidL/android/external/sepolicy/目录下很多.te文件都是以进程名来结尾的,比如有针对surfaceflinger进程的surfaceflinger,有针对vold进程的vold.te, 刚刚从第一步得到,这个节点是由system_server进程来访问,所以,我们找到system_server.te打开,加入允许这个进程对/dev/wf_bt的读写权限,

在CODE上查看代码片派生到我的代码片

   # Read/Write to /proc/net/xt_qtaguid/ctrl and and /dev/xt_qtaguid. 
   allow system_server qtaguid_proc:file rw_file_perms; 
   allow system_server qtaguid_device:chr_file rw_file_perms; 
     
   # chr_file表示字符设备文件,如果是普通文件用file,目录请用dir 
   # rw_file_perms代表读写权限 
   allow system_server wf_bt_device:chr_file rw_file_perms; 
这句话的意思是:允许system_server进程拥有对wf_bt_device的这个字符设备的读写权限。 改了这些之后,你就可以make installclean;make -j16编译image来验证权限是否获取成功。

fd =open("/dev/wf_bt",O_RDONLY | O_NOCTTY); 就可以成功访问了。

在framework写一个文件,比如:cache/hideapp.txt 但是在launcher2里是不能访问的,会报一个FileNotFoundException的异常。 这也是没权限访问的原因。 因此接下来就添加权限 在AndroidL/android/external/sepolicy/目录下, 首先在file_contexts里添加

/cache/hideapp.txt u:object_r:meig_pub_file:s0
然后再在file.te里添加

type meig_pub_file, file_type;

SeLinux权限配置心得总结
u013357557的专栏
02-20 5308
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
Android——SELinux 权限简介
Yawn
06-23 2389
1. 问题 1.问题log E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0 I auditd : avc: denied { find } for service=display pid=3015 uid=1046
SElinux的分析案例及调试技巧
最新发布
weixin_53527829的博客
10-30 371
本文介绍了SELinux调试技巧和问题分析案例。首先通过getenforce/setenforce命令判断权限问题,利用logcat抓取avc日志,解析日志格式添加权限规则。重点讲解了一个案例:当无法直接赋权时,通过自定义权限标签间接解决问题:1)在device.te定义新类型;2)在file_context设置路径上下文;3)在system_app.te添加权限规则。最后解决了因路径范围不足导致标签未生效的问题。文章提供了完整的SELinux调试流程和实战经验,对于解决类似权限问题具有参考价值。
【Android】SElinux(Security-Enhanced Linux)
weixin_41028159的博客
11-25 3439
作为安卓安全模型的一部分,安卓使用安全增强型LinuxSELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。
Android SELinux开发入门指南之正确姿势解决访问data目录权限问题
IT先森
07-05 9695
  Android SELinux开发入门指南之正确姿势解决访问data目录权限问题 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。今天要讲的是Android开启SELinux后不允许部分进...
Android SELinux 参数语法介绍及基础分析
xiaowang_lj的博客
09-27 1731
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement。
第一,内核模块开发代码如何编译成.ko?第二,如何在android系统层添加设备几点定义?第三,jni接口层要怎么做?是开发一个apk吗?第四,怎么修改selinux权限配置。总之我需要更详细的指导
03-22
最后,生成的相关问题要围绕这四个主题展开,确保问题能够覆盖用户可能进一步需要了解的内容,比如内核模块调试方法、设备节点的自动创建、JNI中的异常处理、SELinux策略的调试技巧等。</think>### 内核模块开发编译...
深入内核层面:Linux udev规则定制化管理ESP32设备节点权限(运维高手必备技能)
为此,udev应运而生,作为用户空间的设备事件管理器,它通过监听内核发出的uevent事件,实现对设备节点的动态创建、权限控制与符号链接定制。 udev不仅解决了设备命名不一致、权限受限等问题,还为嵌入式开发、自动...
Linux内核开发进阶技巧:kernel-devel-3.10.0优化与调试大揭秘
本文旨在全面介绍Linux内核开发的核心概念、工具应用以及性能优化技巧。首先,概述了Linux内核开发的基础知识,并详细讨论了kernel-devel-3.10.0的安装与配置过程,包括系统要求、安装步骤和内核模块管理。接着,...
探索Linux内核:第3版深度解析高清PDF
这本书的第三版提供了一个深入了解Linux内核的旅程,讲解了内核中最关键的数据结构,如进程控制块(PCB)、虚拟内存管理、I/O子系统等;探讨了核心算法,如调度算法(如CFS)、内存分配策略(如伙伴系统);并揭示了...
Linux内核完全注释(内核0[1].11_修正版)
09-26
9. **内核调试技巧**:包括使用gdb、kdb等工具进行内核级别的调试,以及如何分析内核日志。 10. **安全与权限**:讲解了Linux的用户和组管理、权限模型,以及SELinux等高级安全机制。 11. **性能优化**:涵盖内核...
【全志R18】Android6.0第三方应用访问dev节点正确配置Selinux策略后,依旧报错 avc: denied
橙子和小果的博客
04-17 2029
在此做下一个笔记,以前其实也遇到过,没想到这次还是踩坑。 由于客户使用第三方APP需要访问/dev/snd/下的声卡节点,因此打开APP后,发现并不能正常访问,使用 cat /proc/kmsg | grep avc,报错以下信息: [ 70.119120] type=1400 audit(1554076874.080:6):avc: denied { search } for pid=638...
android5.0,6.0第三方签名APP,在SElinux下,如何获得一个内核节点访问权限
gnnulzy的博客
10-20 3762
在android6.0中,出于安全考虑,不允许第三方签名的app被分配mlstrustedsubject: 在external/sepolicy/untrusted_app.te文件中: # Do not allow untrusted_app to be assigned mlstrustedsubject. # This would undermine the per-u
selinux在 android 上的实现
蓝精灵的专栏
09-27 1759
1. 在init.c main函数里面初始化 int main(int argc, char **argv){ .......... union selinux_callback cb; cb.func_log = log_callback; selinux_set_callback(SELINUX_CB_LOG, cb); cb.func_audit = audit_callback; sel...
SELinux权限学习笔记
javac_jj的博客
04-19 2642
转载:SELinux权限学习笔记 - Hello-World3 - 博客园 1. 权限修改 方法1: adb在线修改seLinux $ getenforce; //获取当前seLinux状态,Enforcing(表示已打开),Permissive(表示已关闭) $ setenforce 1; //打开seLinux $ setenforce 0; //关闭seLinux 方法2: 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/con
对Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解Android 下SELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
深入理解SELinux SEAndroid之二
热门推荐
Innost的专栏
02-21 7万+
接第一部分的内容(http://blog.youkuaiyun.com/innost/article/details/19299937)。今天公司年会,哥高兴,所以发布第二部。SELinux/SEAndroid一共分三部分。第一和第二部分是SELinux的基础知识,第三部分是SEAndroid的工作源码分析。        深入理解SELinux/SEAndroid 第二部分3)  File/File Sys
Android Selinux权限之MLS
weixin_44021334的博客
12-20 2015
Selinux MLS 相关的在 国内Andoriod 官网未找到,只有博客的说明。源码在截取部分,
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值