Android SELinux 权限问题(二)—添加权限后不生效

最新推荐文章于 2024-10-21 09:01:36 发布
原创 最新推荐文章于 2024-10-21 09:01:36 发布 · 6k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #selinux

博客介绍了在Android系统开发中遇到的权限问题,即使在untrusted_app.te文件中添加了权限,仍无法解决权限错误。问题根源在于mls文件的权限限制。解决方案是修改untrusted_app.te文件,将其类型添加为mlstrustedsubject,重新编译固件后权限问题得到解决。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

​ 通过上面的方法介绍,我们已经知道了,如何添加权限问题,但有时会遇到一个问题就是: 明明已经添加了对应的权限,但是编译固件烧录到板子后,还是会报这个权限没有添加。

1.问题说明

​ 在实际的项目开发中,遇到了如下图所示的权限问题

在这里插入图片描述

通过 audit2allow 工具解析出了需要添加的权限,于是乎我在 untrusted_app.te 文件中添加了对应的权限,如下图所示:

在这里插入图片描述

然后,重新编译打包固件,烧录到板子后,发现 “allow untrusted_app proc:file write;" 权限问题仍然存在,并没有解决,此时就有点懵了。

2.解决方案

(1) cd 到 system/sepolicy/ 目录下,使用 find 命令找到一个名字是 mls 的文件,我这个项目的 mls文件路径如下所示:system/sepolicy/private/mls

(2) 打开文件,发现有如下的限制:

mlsconstrain { file lnk_file sock_file chr_file blk_file } { write setattr append unlink link rename }
          (t2 == app_data_file or l1 eq l2 or t1 == mlstrustedsubject or t2 == mlstrustedobject);

(3)上一条的限制就导致了,即使在 untrusted_app.te 文件中添加的语句验证没有问题,但是这条限制没有通过,权限问题同样没有解决。上述规则通过的四个条件如下:

t2 == app_data_file
l1 eq l2
t1 == mlstrustedsubject
t2 == mlstrustedobject

上面的四条规则,只要一条通过,都可以,所以我们最终的修改方法是:

system/sepolicy/public/untrusted_app.te

test34@test34:~/Source/rk3399_TVI3337_9.0/system/sepolicy$ git diff public/untrusted_app.te
diff --git a/public/untrusted_app.te b/public/untrusted_app.te
index 5289bf96b..2a0531b11 100644
--- a/public/untrusted_app.te
+++ b/public/untrusted_app.te
@@ -16,6 +16,6 @@
 ### seapp_contexts.
 ###

-type untrusted_app, domain;
+type untrusted_app, domain, mlstrustedsubject;
test34@test34:~/Source/rk3399_TVI3337_9.0/system/sepolicy$

(4) 如上修改完成后,重新编译固件,打包,烧录。将不会在报该权限存在问题。

Android SELinux——添加新服务策略(十
小旭的专栏
10-17 1118
通过前面的学习我们也大致了解 SELinux 的相关只是,这里我们就来看一下实际开发中,如果需要为厂商新增的一个自定义服务添加相关权限该如何操作。
Liunx 赋权限不生效
来杯咖啡的博客
08-14 403
如果你的系统使用了 SELinux 或类似的安全模块,文件和目录的访问还受到安全上下文的影响。:如果你的文件或目录位于另一个挂载的文件系统中,那么该文件系统可能使用了自己的权限设置。如果你不是文件的所有者或没有适当的权限,那么你可能无法更改权限。如果你仍然无法解决问题,提供更多关于你正在尝试更改权限的文件或目录、使用的命令以及错误信息的详细信息可能有助于更准确地找到解决方案。如果你赋予了目录特定的权限,但文件没有更改,请检查目录的权限继承情况。:如果文件系统被挂载为只读,你将无法更改文件或目录的权限
Android Selinux权限之MLS
weixin_44021334的博客
12-20 1679
Selinux MLS 相关的在 国内Andoriod 官网未找到,只有博客的说明。源码在截取部分,
Android11 SELinux 添加权限不生效
kevin's cache的专栏
04-12 842
发现需要确实是Android 11 platform_app 缺少mlstrustedobjectAndroid 11上需要对一个节点进行写操作,但是添加Selinux以后还是报错。但是因为要过cts,不能直接修改platform_app的type。修改yft_temperature_file即可。软件平台:Android11。硬件平台:QCS6125。加了权限还是一直报avc。
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 8763
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android SELinux 添加权限不生效
a785722173的博客
01-26 4007
Android SELinux 添加权限不生效 Android 12上需要对一个节点进行写操作,但是添加Selinux以后还是报错 allow platform_app yft_temperature_file:file { write read getattr open }; 加了权限还是一直报avc 01-26 09:40:55.556 7891 7891 W yft.factorymode: type=1400 audit(0.0:361): avc: denied { write }..
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 4125
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
android添加权限,Android 权限添加不起作用
weixin_28859781的博客
05-29 678
在manifest中plus->distribute->google->permissions中添加了如下权限"","","","","","","","","",但是运行应用依然提示:Uncaught java.lang.SecurityException: Permission Denial: opening provider com.huawei.android.launc...
Android SeLinux权限问题和解决方法
loji521的专栏
10-27 1149
1. 确认 seLinux导致权限问题 1.1 标志性log 格式: avc: denied {操作权限} for pid=7201comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类别 permissive=0 1.2 举例: Kenel log: avc: denied { execheap } for pid=7201 comm="com.baidu.input" scontext=u...
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3567
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
Android SELinux——常见问题处理思路(十四)
小旭的专栏
10-21 785
然后用 make selinux_policy 编译,然后 push 相关分区下的 etc/selinux。直到没有 avc 报错为止。
Android SELinux——添加策略实例(十五)
小旭的专栏
10-21 673
通过前面的文章,我们基本了解在 Android 系统中 SELinux 策略配置和基本语法,这里我们就来看一些常见的问题及其解决方案。这里我们主要看通过 allow 添加策略的方案。
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
qq_34694875的博客
11-01 4123
Android SELinux的neverallow错误解决
android 8.1 user版本sepolicy添加allow后不生效问题
Android系统开发笔记
08-09 1147
android 8.1中在SystemUI里面添加了通过jni对驱动节点的ioctl操作,编译user版本的时候受selinux限制,在device目录下的sepolicy下的platform_app.te中添加了ioctl 允许语句,但是还是提示没有权限。打印如下log: ndroid.systemui: type=1400 audit(0.0:17):avc: denied { ioctl...
[ Android实战 ] selinux 策略修改不生效问题解决
a572423926的博客
03-01 9635
前段时间移植系统应用到新平台的时候,发现存在一个selinux问题。按照平时的方式加了对应的selinux策略后,依然会报同样的selinux权限错误。因此借此机会研究了一下selinux问题,写下了此篇博客。
Android 在Manifest中设置权限无效的原因(6.0 新特性就是动态权限
cx415462822的专栏
08-06 5949
1.问题描述 <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> 我知道要显示手机SD卡里面的图片需要,读取权限,在Manifest里面添加了以上权限后,仍然无法显示图片。具体代码如下: String picturePath=sdPath+"/a.png"; ...
android添加系统权限时报错
yvonne201的博客
12-25 4878
参考:https://blog.youkuaiyun.com/pxcz110112/article/details/88021441 项目中添加以下系统权限出错:android.permission.MOUNT_UNMOUNT_FILESYSTEMS、android.permission.CHANGE_CONFIGURATION、android.permission.WRITE_SETTINGS、android.permission.DEVICE_POWER 1、需要先在同时在 manifest标签里添加:xml.
selinux安全策略导致APP不能读取文件
airgreen的博客
11-07 1288
由于项目的需要,我们开发的画册类APP需要读取几个G的数据,系统启动后只有此APP自动启动显示,APP不能退出,用户不能使用其他APP。直接在普通平板上安装显示是不能满足需求的。因此我们定制了小米2平板将APP连同几个G的数据打包到系统中。原来开发的时候是用小米1平板做调试开发的,但是后来换了小米2平板就发现画册不能正常显示。查找原因发现每次在读取关键文件时有以下的Log出现: type=140
android selinux权限
最新发布
04-03
### AndroidSELinux 权限配置教程 #### 1. SELinux 基础概念 SELinux 是一种强制访问控制 (MAC) 安全机制,它补充了传统的基于用户 ID 和组 ID 的自主访问控制 (DAC)[^2]。在 Android 系统中,SELinux 提供了一种更细粒度的安全模型来保护设备免受潜在威胁。 当遇到 `permission denied` 错误时,通常是因为某些操作违反了 SELinux 的策略规则。这可能涉及文件、目录或其他资源的访问尝试被拒绝的情况[^5]。 --- #### 2. 配置 SELinux 权限时的关键步骤 ##### 2.1 查看日志并定位问题 要解决 SELinux 导致的权限问题,第一步是查看系统日志以获取详细的错误信息。可以通过以下命令捕获相关日志: ```bash dmesg | grep avc ``` 这些日志记录了哪些操作因 SELinux 被阻止以及具体的上下文信息。例如,如果某个进制文件无法执行,则可能是由于其安全标签不匹配或缺少必要的权限[^4]。 ##### 2.2 使用 audit2allow 工具分析和生成新规则 为了快速修复缺失的权限,可以利用工具 **audit2allow** 自动生成所需的 policy 文件片段。具体流程如下所示: 1. 收集 AVC 拒绝消息; 2. 运行下面这条指令来自动生成对应的 rule: ```bash cat /path/to/denied_log.txt | audit2allow -M mymodule ``` 3. 将生成好的 module 加载至当前运行环境之中测试效果; 需要注意的是,这种方法虽然便捷高效,但也有可能引入新的安全隐患因此需谨慎对待新增加的内容是否合理合法合规[^1]。 ##### 2.3 手动调整 SEPolicy 规则 对于复杂场景或者不适合自动化的修改需求来说,还需要手动编辑 sepolicy 文件来进行精确控制。一般情况下需要遵循以下几个原则: - 添加适当类型的转换规则(type_transition); - 授权特定主体(subject) 对象(object) 实施动作(action); 示例代码展示如何允许某服务读取指定路径下的数据文件夹内容: ```sepol allow myservicedomain file:dir {read getattr}; allow myservicedomain file:file {open read write append lock ioctl}; ``` 完成编写之后记得重新编译整个 selinux framework 并刷入目标设备验证最终成果[^3]. --- #### 3. 特殊情况处理 – 关闭 Enforcing Mode 作为最后手段,在调试阶段也可以考虑暂时禁用 enforce mode 来绕过所有限制条件从而确认是否有其他因素干扰正常工作流。不过强烈建议仅用于短期排查目的而非长期解决方案因为这样会使系统暴露于极大风险之下失去应有的安全保障功能. 临时关闭方法如下: ```bash setenforce 0 ``` 永久更改则需要修改 `/sepolicy` 或者通过 OTA 更新推送更新后的版本给终端用户应用生效. --- ### 总结 通过对上述几个方面的深入探讨可以看出, 正确合理的设置 android 下面得 selinux 参数是一项既技术性强又责任重大的任务. 不但要求开发者具备扎实的操作系统理论基础还要熟悉实际产品架构特点才能做到游刃有余妥善处置各类突发状况.
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

进阶牛牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值