SELinux之解决avc denied

最新推荐文章于 2025-04-16 22:00:00 发布
最新推荐文章于 2025-04-16 22:00:00 发布
阅读量5.3k 收藏 10
点赞数
分类专栏: SELinux 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46211029/article/details/105157587
版权

安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DAC和MAC

SELinux工作模式

SELinux 有三种工作模式,分别为:
enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻止
permissive: 宽容模式, 执行SELinux规则, 违反的行不会被阻止
disabled: 关闭SELinux

adb shell setenforce 0 设置SELinux 成为permissive模式
adb shell setenforce 1 设置SELinux 成为enforcing模式
adb shell getenforce 获取SELinux状态(permissive,enforcing,disabled)

avc denied

在Android系统开发中, 可能会遇到SELinux的权限不足而引起的各种问题. 可以尝试将SELinux工作模式临时改为宽容模式看问题是否解决, 来判定是否是SELinux引起的问题

标志性 log: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0
源类型:授予访问的类型,通常是进程的域类型
目标类型:客体的类型,它被授权可以访问的类型
访

最低0.47元/天 解锁文章
Android Selinux Error avc: denied { getattr } for path=“/data/update_ota.zip“ dev=“dm-2“ ino=817 sco
码点
04-16 58
Android SELinux 权限问题。
如何设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理?
热门推荐
老雷的Android学习
09-11 2万+
[Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc:  denied" 或者"avc: denied" 如一行LOG: [ 17.285600].(0)[503:idmap]type=1400 audit(1
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 2156
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限。
Android进阶-SELinux
王涛的博客
06-28 5096
前一篇文章已经介绍了SELinux相关知识, https://blog.youkuaiyun.com/qq_33750826/article/details/80743035 基于 Android 4.3(宽容模式)和 Android 4.4(部分强制模式)的 Android 5.0 版本,开始全面强制执行 SELinux。 一、政策格式 政策规则采用以下形式: allow domain...
android之selinux问题解决记录 一
qq_27840511的博客
07-17 622
android之selinux问题解决记录 一
SeLinuxavc log解读
心上枫叶红的博客
01-25 3382
avc log分析: SeLinuxAVC log的详细分析 eg: type=AVC msg=audit(1395177286.929:1638): avc: denied { read } for pid=6591 comm="httpd" name="webpages" dev="0:37" ino=2112 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=dir 整体翻译:SE
SElinux avc dennied权限问题解决方法
Y在想什麽的博客
09-26 1438
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己写,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理?
sky_brian的专栏
11-15 7715
正所谓软件出错不可怕,出错不报错就可怕了。只要看到日志中有报错信息都是有迹可循的。 继android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc:  denied" 或者"avc: denied" 1.问题现象:
SELinux 关于avc:denied {read write getattr xxx} for 错误
精诚所至
02-25 3780
环境平台:msm8953、android7.1.2 实例报错: avc:denied{readwrite}forpid=3944comm="handsetpowerlib"name="xxxxx"dev="tmpfs"ino=5545scontext=u:r:untrusted_app:s0:c512,c768tcontext=u:object_r:device:s0tclass=chr_filepermissive=1 可得:主体untrusted_app在对客体类别为...
Android seLiunx权限问题(avc dennied)解决方法
Crazy程序猿
03-29 2916
Android seLiunx 调试方法
Android SELinux avc dennied权限问题解决方法
Android
06-12 658
解决权限问题有帮助 https://blog.youkuaiyun.com/tung214/article/details/72734086
Android Selinux Error avc: denied { write } for path=“/data/ota_package/update.zip“ dev=“dm-9“ ino=1
最新发布
码点
04-16 37
翻译过来就是 system_app 对于ota_package_file 目录缺少write 权限。Android SELinux 权限问题。
selinux运行程序Permission denied,无avc log
心上枫叶红的博客
06-16 962
SeLinux 强制模式下,无AVC信息,且出现Permission denied解决方法。
avc: denied SELinux权限问题解决
Haomione的博客
03-31 7425
avc: denied SELinux权限问题解决
android selinuxavc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 1546
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
Andorid Stutio不停的输出E/SELinux: avc: denied { find } for service=window pid的解决办法
God Liao On The Way
04-10 4595
这种问题真的是头疼,导致我无法正常调试,Andorid Studio Logcat一直提示too muchu output to process 最后在网上找了一个类似问题的解决办法,si马当火huo马医吧: 进入文件系统,将SELinux的权限关闭: Ctril+R,输入cmd回车,输入 adb shell ->su->setenforce 0
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1383
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限。SELinux的权限不足。
avc denied
03-18
### 解决 AVC Denied SELinux 权限错误的方法 当遇到 `AVC denied` 错误时,这通常意味着某个进程尝试访问资源的操作被 SELinux 阻止。以下是针对该问题的分析和解决方案: #### 1. 确认 SELinux 当前运行模式 SELinux 提供三种主要模式:`enforcing`、`permissive` 和 `disabled`[^1]。可以通过以下命令查看当前模式: ```bash getenforce ``` 如果返回值为 `Enforcing`,表示 SELinux 正常工作并阻止未授权操作;如果是 `Permissive`,则只记录日志而不执行任何阻断行为。 对于现代 Android 设备而言,在 N 版本之后已不允许完全禁用 SELinux (`disabled`),而仅允许将其设置为宽容模式(`permissive`) 或强制模式(`enforcing`) [^3]。 #### 2. 查阅审计日志以定位具体拒绝事件 通过查阅 `/var/log/audit/audit.log` 文件或者利用 `ausearch` 工具可以帮助我们找到具体的拒绝详情。例如: ```bash ausearch -m avc -ts recent ``` 这些日志条目会提供关于哪个主体(Subject),试图采取何种动作(Action)以及目标对象(Object)的信息。 #### 3. 使用 setroubleshoot 分析工具诊断问题 Setroubleshoot 是一款专门用于解析 SELinux 报警消息的应用程序包。它能够自动读取系统中的报警数据,并给出可能的原因解释及其建议修复措施。 安装方法如下(基于 RedHat/CentOS/Fedora 发行版为例): ```bash yum install setroubleshoot service setroubleshootd start ``` #### 4. 创建自定义策略模块解决问题 一旦明确了是什么样的请求遭到了拒绝,就可以考虑编写一个新的本地安全政策来覆盖默认规则集。流程大致包括以下几个方面: - **收集所需信息**: 记录下所有相关的上下文(Contexts)、类型(Type)/域(Domain)等细节; - **生成初始模板文件**: 利用 audit2allow 命令从现有的违规记录里提取必要的声明语句; ```bash grep "avc: denied" /var/log/messages | audit2allow -M mypol ``` - **加载新创建好的模块到内核当中去**: ```bash semodule -i mypol.pp ``` 上述过程将会把刚才制作完成的新规纳入生效范围之内从而解除先前存在的约束条件限制[^5]. 另外值得注意的一点在于某些情况下也许并不需要永久改变现有配置而是临时调整特定时间段内的状态以便于调试目的达成即可比如切换至 Permissive Mode 下观察现象变化情况然后再恢复原来设定等等. 最后提醒各位开发者朋友务必谨慎对待每一次修改因为不当操作极有可能引发更严重的安全隐患甚至导致整个系统的崩溃瘫痪等问题发生所以请始终遵循最小特权原则(Minimal Privilege Principle). ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值