快速修改验证Sepolicy(Selinux)

最新推荐文章于 2025-04-02 16:42:12 发布
最新推荐文章于 2025-04-02 16:42:12 发布
阅读量1.3k 收藏 21
点赞数 13
分类专栏: android驱动 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jiangchaobing_2017/article/details/139478114
版权

一,判断是否为Sepolicy问题

Step1. 当某个进程出问题时,举个例子,比如so明明存在却无法link,那么看日志里是否有相关的avc:

avc: denied {
    open } for path="/data/system/myapp.config" dev="dm-0" ino=4538462 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:system_data_file:s0 tclass=file permissive=0 app=com.android.launcher3

Step2. 临时关闭Selinux

adb shell
# 设置为Permissive模式
setenforce 0
# 看一下成功没
getenforce

上述方法重启后失效,仅限临时验证。

Step3. 看问题是否消失

如果log没有avc错误。消失了就是Selinux的问题。

二,快速修改

其实很好修改,再来看这句日志:


                

                
                
        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        


    



                



	

		

			

				
					
selinux - Android编写sepolicy

				
			

			

				

					Zpeg的博客
				

				

					07-20
					
					4844
					
				

			

		

		

			
				
为service编写sepolicy
由init启动的service服务要在各自的selinux domain中运行。



			
		

	



                

            
              



	

		

			

				
					
android中sepolicy, selinux学习笔记

				
			

			

				

					shellshell13的专栏
				

				

					02-19
					
					9175
					
				

			

		

		

			
				
android sepolicy selinux规范学习,相关问题debug

			
		

	



              


  
              

                


	

		

			

				
					
Android Selinux快速验证的方法

				
			

			

				

					星空物语的博客
				

				

					12-13
					
					2322
					
				

			

		

		

			
				
在Android P上如果修改selinux的内容, 可以通过以下方法来验证是否生效:

1. 单编system/sepolicy


mmm system/sepolicy

2. push system/etc/selinux 和 vendor/etc/selinux 到手机里面, 并重启手机.


adb push  $(PRODUCT_OUT)/system/etc/selinux /s...

			
		

	





	

		

			

				
					
 SELinux

					
最新发布

				
			

			

				

					2302_77791905的博客
				

				

					04-02
					
					968
					
				

			

		

		

			
				
SELinux,即 Security-Enhanced Linux,意为安全强化的 Linux,由美国国家安全局(NSA)主导开发。开发初衷是防止系统资源被误用。在 Linux 系统中,系统资源的访问均通过程序进行。例如,当/var/www/html/目录的权限被设置为 777 时,所有程序都能访问该目录。若此时 Web 服务器软件已启动,其触发的进程便可以写入该目录,而该进程面向整个互联网提供服务,存在安全风险。

			
		

	



		

			
		



	

		

			

				
					
android sepolicyselinux快速配置方法

				
			

			

				

					10-29
				

			

		

		

			
				
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。

			
		

	





	

		

			

				
					
一文学会SepolicySelinux快速修改验证

				
			

			

				

					weixin_36389889的博客
				

				

					01-29
					
					1242
					
				

			

		

		

			
				
一文学会SepolicySelinux快速修改验证

			
		

	





	

		

			

				
					
sepolicy 配置和快速验证

				
			

			

				

					kanyou222的专栏
				

				

					04-28
					
					2418
					
				

			

		

		

			
				
sepolicy修改快速验证
编译:(只针对 .te 的文件, 如果file_contexts service_contexts 这种文件好像不行)


make selinux_policy -j8 // vendor 和system 都修改了
make selinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy
编译成功后,只需要替换如下文件 vendor_sepolicy.cil,即可快速验证
/vendor/etc/selinux/vend...

			
		

	





	

		

			

				
					
如何快速验证 SELinux Policy 问题

				
			

			

				

					老雷的Android学习
				

				

					09-11
					
					5541
					
				

			

		

		

			
				
Description]
当您修改SELinux Policy 配置后,如何快速进行Debug 确认,以便快速确认厘清呢?

 

[Keyword]
android, SELinux, SELinux Policy, SELinux Debug
 
[Solution]
在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 来增强andro

			
		

	





	

		

			

				
					
SELinux sePolicy

				
			

			

				

					大雄不爱吃肉
				

				

					08-14
					
					4483
					
				

			

		

		

			
				
基础知识

SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。

Policy

policy

			
		

	





	

		

			

				
					
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)

				
			

			

				

					02-28
				

			

		

		

			
				
- **验证与编译**:使用`make`和`make install`命令来编译和安装新的策略,然后重启设备以应用更改。  **6. 开发者指南**  对于Android开发者来说,理解并正确配置这些新特性至关重要。以下是一些建议: - 学习和...

			
		

	





	

		

			

				
					
hidl service selinux rule

				
			

			

				

					02-07
				

			

		

		

			
				
6. **集成与发布**:将修改后的策略和上下文文件集成到Android源码中,并进行系统级别的验证。  在实际操作中,还需要遵循Android的SELinux开发最佳实践,如尽可能限制服务的权限,只给予必要的访问权限,避免过于...

			
		

	





	

		

			

				
					
selinux-policy:Fedora的selinux-policy是主线的一个重要补丁

				
			

			

				

					04-10
				

			

		

		

			
				
selinux-policy-contrib存储库与selinux-policy合并
2020年11月25日,selinux-policy-contrib存储库与selinux-policy合并。
 以前,Fedora中的SELinux策略包使用2个存储库:base [1]和contrib [2]。 将该仓库分为两个部分只是一个历史产物,现在只是造成混乱的原因,这使得处理SELinux策略仓库变得更加困难。
 从现在开始,这些存储库合并为一个,包含来自两个存储库的源。 所有更改都会影响回购, rawhide分支以及将来的分支f34和更高版本。 在Rawhide分支中工作时,现在仅使用基本仓库。 相应的contrib分支已归档,将不再使用。 contrib存储库的提交历史记录是基本存储库的一部分。 稳定分支( f33 , f32 ,所有较旧的分支)保持不变。
 这主要是git存储库的存储位

			
		

	





	

		

			

				
					
SelinuxSepolicy

				
			

			

				

					ambitions666的博客
				

				

					08-01
					
					411
					
				

			

		

		

			
				
标签

selinux通过标签来匹配规则和相应的许可操作。
标签采用以下形式:
​		user:role:type:mls_level

规则和域

selinux的规则采用一下形式:
allow domains types:classes actions
domains :域,可以理解成一个容器,存放不同主体subject。不同主体可以同属一个域
types:被访问对象(客体)的标签
classes:客体的不同类型
actions:需要执行的操作

启动第三方可执行程序
start exttv-0-1



			
		

	





	

		

			

				
					
selinux-sepolicy配置

				
			

			

				

					卓越之路
				

				

					01-21
					
					6500
					
				

			

		

		

			
				
一、概念

1. 运行模式

Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissivedomain。

   语法格式

Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:m...

			
		

	





	

		

			

				
					
Android P SELinux权限修改快速验证

				
			

			

				

					arrol1786936883的博客
				

				

					07-29
					
					3728
					
				

			

		

		

			
				
SELinux权限修改快速验证修改编译验证
修改编译
Android P在android/system/sepolicy和android/device/qcom/sepolicy/目录下修改或添加xxx.te文件后,可通过make selinux_policy命令进行编译。
make selinux_policy产生的编译文件会输出到out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux

			
		

	





	

		

			

				
					
Linux内核学习笔记——SELinux介绍(SELinux Policy是什么?)

				
			

			

				

					ZP1015
				

				

					07-01
					
					2488
					
				

			

		

		

			
				
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Policy。

本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。
一、SELinux Overview

1. SELinux 来源

SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation

			
		

	





	

		

			

				
					
Android Sepolicy 介绍及配置

				
			

			

				

					qq_45527937的博客
				

				

					03-11
					
					1776
					
				

			

		

		

			
				
SeAndroid  指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。

			
		

	





	

		

			

				
					
Android Selinux详解[八]--常用sepolicy函数和权限组说明

				
			

			

				

					weixin_41028555的博客
				

				

					03-28
					
					2228
					
				

			

		

		

			
				
Selinux中有很多函数,比如domain_auto_trans, r_dir_file等等,可以见源码中定义的地方举例一两个看一下。

			
		

	





	

		

			

				
					
本地编译selinux权限验证

				
			

			

				

					Thatgriler的博客
				

				

					06-20
					
					601
					
				

			

		

		

			
				
本地编译验证selinux

			
		

	





	

		

			

				
					
Android SELinux快速可视化配置工具

				
			

			

				

					
				

			

		

		

			
				
该工具主要是为了在64位Linux操作系统上处理Android SELinux配置时提供快速解决方案。它的主要功能可能包括:  1. 规则生成:根据用户选择的源和目标上下文以及希望允许的操作,自动生成相应的SELinux规则。 2. 视觉...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
孤舟簔笠翁

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值