准确添加AVC权限

最新推荐文章于 2025-06-06 15:33:23 发布
最新推荐文章于 2025-06-06 15:33:23 发布
阅读量2.4k 收藏 44
点赞数 23
CC 4.0 BY-SA版权
分类专栏: Android开发经验 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mihuayishi/article/details/136036617
本文介绍了Android中的AVC权限控制机制,它是基于SELinux的强制访问控制,用于限制应用程序对系统资源的访问。文章详细解释了AVC权限的作用、原理,以及如何通过审计日志解决权限问题,包括如何在system_suspend.te和platform_app.te文件中添加权限以满足系统安全需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是avc权限

AVC权限通常指的是 Android 中的权限控制,其中 AVC 是 Access Vector Cache(访问向量缓存)的缩写。Android 使用了 Linux 内核,而 AVC 是 Linux 内核中用于强制访问控制(MAC)的一部分。Android 使用了 SELinux(Security-Enhanced Linux)来实现 MAC。

在 Android 中,AVC 权限用于限制应用程序对系统资源的访问。这包括文件、网络、硬件等资源。每个应用程序都有一个特定的安全上下文,AVC 权限通过安全上下文来控制应用程序对系统资源的访问权限。

AVC 权限的实现有助于提高 Android 系统的安全性,防止应用程序越权访问敏感信息或系统资源。开发人员在编写应用程序时需要遵循这些权限,以确保其应用程序在运行时能够按照设定的规则进行访问控制。

这里又提到了SELinux,那什么是SELinux呢?

SELinux(Security-Enhanced Linux)是一个为 Linux 内核提供强化的安全性机制的项目。它通过实施强制访问控制(MAC)来增强系统的安全性。传统的 Linux 安全模型使用的是基于用户和组的自愿访问控制(DAC),而 SELinux 引入了基于策略的强制访问控制。

在 SELinux 中,每个进程、文件和系统资源都有一个安全上下文,其中包含了关于其访问权限的详细信息。这种访问控制的强制性意味着即使用户具有访问某个资源的权限,SELinux 策略也可以限制对该资源的访问。

SELinux 主要有以下几个核心概念:

  1. 安全上下文(Security Context): 每个对象(如进程、文件、套接字等)都有一个关联的安全上下文,它包含了 SELinux 策略中定义的有关该对象的信息。
  2. 策略(Policy): SELinux 使用一个策略来定义系统中的安全规则。这个策略规定了哪些对象可以访问哪些资源,以及以何种方式进行访问。
  3. 强制访问控制(MAC): SELinux 引入了强制访问控制,这意味着即使在传统的自愿访问控制机制下具有访问权限的用户也受到 SELinux 策略的限制。

SELinux 在一些 Linux 发行版中已经被默认启用,它提供了额外的安全层,有助于防止未经授权的访问、减缓攻击传播和提高系统的整体安全性。

实际上就是你在某些地方访问某些东西时,权限被拒绝了,然后Log中有提示avc的警告,这个时候就需要进行添加avc权限来进行访问。

log:

2024-02-05 07:33:17.600   516-516   binder:516_6            android.system.suspend@1.0-service   W  type=1400 audit(0.0:197): avc: denied { read } for name="wakeup20" dev="sysfs" ino=31414 scontext=u:r:system_suspend:s0 tcontext=u:object_r:sysfs_ab_wakeup:s0 tclass=dir permissive=0
2024-02-05 07:35:30.580   516-516   binder:516_3            android.system.suspend@1.0-service   W  type=1400 audit(0.0:198): avc: denied { read } for name="wakeup20" dev="sysfs" ino=31414 scontext=u:r:system_suspend:s0 tcontext=u:object_r:sysfs_ab_wakeup:s0 tclass=dir permissive=0

类似于上述这种日志,就可以根据日志来进行添加对应的。

  • type=1400: 这是 SELinux 审计消息的类型代码,表示 AVC(Access Vector Cache)。
  • audit(0.0:198): 提供了关于审计事件的时间戳和事件序列号。
  • avc: denied { read }: 表明 SELinux 拒绝了一个读取操作。
  • name="wakeup20": 这是触发 AVC 错误的文件或目录的名称。
  • dev="sysfs": 指定了设备类型,这里是 sysfs。
  • ino=31414: 提供了文件或目录的 inode 号。
  • scontext=u:r:system_suspend:s0: 这是源(或发起)上下文,表示触发 AVC 事件的进程的安全上下文。
  • tcontext=u:object_r:sysfs_ab_wakeup:s0: 这是目标上下文,表示被访问对象的安全上下文。
  • tclass=dir: 这是目标类别,表示被访问对象的类型,这里是一个目录。
  • permissive=0: 表明 SELinux 不是在宽容(Permissive)模式下运行,即它是强制执行的。

整理一下,就是:需要在system_suspend.te文件中添加

#类似于下面这种形式
allow system_suspend dumpstate:fifo_file write;

#下面是根据上述log进行添加
allow system_suspend sysfs_ab_wakeup:dir { read };

下面在举一个例子;

Log如下:

2024-02-05 03:18:14.243 13126-13126 e.myapplication         com.example.myapplication            W  type=1400 audit(0.0:248): avc: denied { read } for name="version" dev="proc" ino=4026532087 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:proc_version:s0 tclass=file permissive=0 app=com.example.myapplication

分析结果为:需要在platform_app.te文件中。给proc_version添加对应的权限。此时有一个巧妙的看他是否还缺其他的权限的方法,因为在被权限拒绝后,后面的访问不会进行,所以只会提示一种报错。因此:

SELinux权限
场景:avc问题快速调试
1)adb shell getenforce //查询selinux运行模式
2)adb shell setenforce 0 //切换成permissive(宽容模式),需先adb root
3)adb shell setenforce 1 //切换成enforcing(强制模式)

这里可以改成宽容模式,然后查看info类型的日志来查看是否还需要添加权限。

Log如下:

2024-02-05 03:23:04.555 13126-13126 e.myapplication         com.example.myapplication            I  type=1400 audit(0.0:250): avc: denied { read } for name="version" dev="proc" ino=4026532087 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:proc_version:s0 tclass=file permissive=1 app=com.example.myapplication
2024-02-05 03:23:04.555 13126-13126 e.myapplication         com.example.myapplication            I  type=1400 audit(0.0:251): avc: denied { open } for path="/proc/version" dev="proc" ino=4026532087 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:proc_version:s0 tclass=file permissive=1 app=com.example.myapplication
2024-02-05 03:23:04.555 13126-13126 e.myapplication         com.example.myapplication            I  type=1400 audit(0.0:252): avc: denied { getattr } for path="/proc/version" dev="proc" ino=4026532087 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:proc_version:s0 tclass=file permissive=1 app=com.example.myapplication

这里就看到提示了三种所需要的权限,因此添加如下:

allow platform_app proc_version:file { read open getattr};

添加方式和上面是一致的,添加完成编译即可。

Android SELinux——调试工具audio2allow介绍(十三)
小旭的专栏
10-17 1854
audit2allow 工具可以获取 dmesg 拒绝事件并将其转换成相应的 SELinux 政策声明。因此,该工具有 助于大幅加快 SELinux 开发速度。audit2allow 包含在 Android 源代码树中,会在您基于源代码构建 Android 时自动编译。
Android/SELinux 添加 AVC 权限
daisy.skye的博客
04-18 1407
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后,使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限。SELinux的权限不足。
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 4723
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
selinux报avc denied权限和编译报neverallow 解决方案
最新发布
u010823818的博客
06-06 905
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/app.te,找到和我们添加的部分,搜索“apk_data_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
avc: denied SELinux权限问题解决
Haomione的博客
03-31 7590
avc: denied SELinux权限问题解决
[Android开发技巧] 通过avc日志自动生成selinux策略
a572423926的博客
04-17 1108
当我们添加一个新的进程、或者移植一个新的平台时,日志中存在大量的selinux报错,根据日志手动添加selinux策略的方法就显得很笨且麻烦了。利用linux系统给我们提供的audit2allow工具,我们只需要抓取完整的日志,过滤出avc相关的报错,即可根据这些日志一次性生成对应的策略,然后添加到对应的te文件即可
avc权限问题解决
hkj887tg的博客
04-02 1268
avc权限问题是android开发中比较常见的权限问题,已经有了一套成熟的解决方案。
selinux avc权限设置
xhao1985的博客
08-07 2178
解决原则是:缺什么权限补什么,一步一步补到没有avc denied为止。 解决权限问题需要修改的权限文件如下位置,以.te结尾 A:Android/device/mediatek/common/sepolicy/*.te B:Android/external/sepolicy/*.te 其中,A是对B的overlay(覆盖),能在A修改的尽量在A修改,尽量避免修改B。 avc: deni...
(MTK)java文件添加简单接口并配置相应的SELinux avc 权限笔记
weixin_48495360的博客
08-06 1153
android 中常见的关于selinux权限添加的相关案例步骤,比较详细,仅供大家参考
android te avc 权限
wangjicong_215的博客
03-04 841
01-14 16:14:45.867 E/selinux ( 0): avc: denied { set } for property=ctl.stop$vendor.fm pid=543 uid=1002 gid=1002 scontext=u:r:hal_bluetooth_qti:s0 tcontext=u:object_r:ctl_stop_prop:s0 tclass=prop...
添加selinux权限
weixin_47094059的博客
09-27 1301
1.定义其他类型在 sepolicy目录下知道定义video_device类型的文件,定义一个其他类型(type开头是定义类型)2.与文件绑定在 sepolicy/file_contexts文件中找到/dev/video31,修改为定义的类型3.给予权限1.加上报的权限问题,在 system_app.te添加
SELinux权限
03-23
在引用部分,用户提供的参考引用是关于关闭SELinux的,我需要确保在相关部分正确添加引用标识,比如在关闭SELinux的部分末尾加上[^1]。同时生成的相关问题需要与SELinux配置和问题相关,比如如何检查状态、日志分析...
读自己的进程也需要权限
03-16
需要确保内容准确,比如检查`selinux_android_getcon`函数是否真的可以替代直接读取文件,以及是否需要额外权限。同时,调试技巧部分可以再次提及,如查看logcat中的SELinux拒绝信息。 最后,保持回答简洁,但覆盖...
在linux系统中,我给了start.sh执行的权限,但使用bash start.sh时,仍然会提示权限不足
03-16
在Linux系统中,即使已经为`start.sh`添加了执行权限,使用`bash start.sh`时仍提示**权限不足**,可能涉及以下原因及解决方案: --- ### 1. **关键原因分析** #### (1) **文件系统挂载参数限制** - **现象**:...
第一,内核模块开发代码如何编译成.ko?第二,如何在android系统层添加设备几点定义?第三,jni接口层要怎么做?是开发一个apk吗?第四,怎么修改selinux权限配置。总之我需要更详细的指导
03-22
- 通过`adb logcat | grep avc`查看权限拒绝记录,例如: ``` avc: denied { write } for pid=1234 scontext=u:r:app:s0 tcontext=u:object_r:led_device:s0 ``` 2. **添加SELinux策略规则** - 在设备策略...
Android权限 - avc权限问题
hanhan1016的专栏
05-05 5161
1.一般来说,如何确认是Selinux权限引起的问题? 通过命令adb shell getenforce,查看Selinux状态 adb shell getenforce Enforcing //1 Permissive //0 如果为Enforcing,则使用命令adb shell setenforce 0,设置成Permissive mode,如果设置成Permissive mode后没有问...
seandroid 如何添加被denied的权限avc denied)
YongYu_IT的专栏
03-10 1019
来自:http://blog.youkuaiyun.com/lewif/article/details/51130867?winzoom=1
[Android Framework]Android 11 SELinux avc权限解决方法
usmaI的博客
11-19 6886
1.SELinux与Android的关系 SELinux(Security-Enhanced Linux)是由美国国家安全局开发的一种安全增强型Linux内核模块,从Android5.0(API 21)开始被Google引入并强制集成,用于最大限度地减小系统中服务进程可访问的资源,从而增强系统安全性,也就是说即使系统漏洞被Hacker钻了空子,也不容易为所欲为。对于开发者来说,也就意味着即使你开发的服务拥有root权限,你开发的系统服务也并不能任意访问系统资源。 2.在Android中与SELinux有关的
android avc格式,Android权限 - avc权限问题
weixin_39746229的博客
05-26 488
1.一般来说,如何确认是Selinux权限引起的问题?通过命令adb shell getenforce,查看Selinux状态adb shell getenforceEnforcing //1Permissive //0如果为Enforcing,则使用命令adb shell setenforce 0,设置成Permissive mode,如果设置成Permissive mode后没有问题,就是S...
如何通过 SELinux 限制进程的 reboot 权限
04-03
<think>好的,我现在需要帮助用户了解如何配置SELinux来限制进程执行reboot权限。首先,我得回忆一下SELinux的基本概念,比如域(domain)和上下文(context),以及如何通过策略管理进程的权限。 用户的问题很明确,但可能需要分步骤解答。首先,我需要确认SELinux的工作模式,因为如果处于Permissive模式,策略不会被强制执行,所以必须确保是Enforcing模式。引用中提到的getenforce命令和设置方法应该在这里提到[^5]。 接下来,需要分析reboot操作涉及的系统调用和文件。比如,reboot可能通过/sbin/reboot这个二进制文件,或者直接使用reboot系统调用。SELinux策略需要限制进程对这些资源的访问。可能需要使用audit2allow工具来分析日志,找出拒绝的访问请求,然后生成自定义模块。 然后,如何创建自定义策略模块是关键。步骤可能包括使用audit2why分析日志,生成.te文件,编译并加载模块。这里需要确保用户知道如何查找相关的AVC拒绝信息,并正确生成策略规则。比如,如果进程尝试执行reboot命令,可能需要拒绝其对reboot_exec类型的执行权限。 另外,可能需要手动编写.te策略文件,定义类型和规则。例如,定义进程的域类型,并禁止其访问与reboot相关的类型。这部分需要具体示例,比如使用dontaudit或neverallow规则。 还有,测试配置是否生效的步骤也很重要。用户需要将策略模块加载后,切换回Enforcing模式,并测试进程是否被阻止执行reboot。同时,查看日志确认SELinux是否正确拦截了操作。 需要确保所有步骤的准确性,比如正确的命令和文件路径。同时,提醒用户备份和谨慎操作,因为错误的SELinux配置可能导致系统问题。引用中的信息,如策略工具和域的概念,需要正确引用[^2][^4]。 最后,生成相关问题,帮助用户进一步学习,比如如何查看SELinux策略或处理拒绝日志。这需要结合引用中的内容,如使用ps -Z查看进程域[^4],或图形化工具[^3]。</think>### SELinux限制进程reboot权限的配置方法 #### 1. 确认SELinux运行模式 首先确保SELinux处于强制访问控制模式: ```bash $ getenforce # 查看当前模式 $ sudo setenforce 1 # 临时切换为Enforcing模式 $ sudo sed -i 's/SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config # 永久生效 ``` 若需调试可暂时设为Permissive模式 #### 2. 分析reboot权限依赖 reboot操作涉及以下关键资源: - 系统调用:`reboot()`函数 - 可执行文件:`/sbin/reboot` - 系统服务:`systemd`的reboot.target 在SELinux策略中,这些资源对应特定的安全上下文类型: ```bash $ ls -Z /sbin/reboot system_u:object_r:reboot_exec_t:s0 ``` #### 3. 创建自定义策略模块(推荐方案) **步骤1:记录拒绝事件** ```bash $ sudo ausearch -m avc -ts recent | grep reboot # 查看相关拒绝日志 ``` **步骤2:生成策略模板** ```bash $ sudo audit2allow -a -M my_noreboot # 自动生成.te文件 ``` **步骤3:手动优化策略** 编辑生成的`my_noreboot.te`文件,添加精确控制规则: ```te module my_noreboot 1.0; require { type reboot_exec_t; type my_process_t; # 要限制的进程域类型 class file { execute }; } # 禁止执行reboot命令 neverallow my_process_t reboot_exec_t:file execute; # 禁止reboot系统调用 dontaudit my_process_t self:process { transition }; neverallow my_process_t self:capability sys_boot; ``` **步骤4:编译并加载策略** ```bash $ make -f /usr/share/selinux/devel/Makefile $ sudo semodule -i my_noreboot.pp ``` #### 4. 验证配置效果 ```bash $ sudo sealert -a /var/log/audit/audit.log # 查看完整安全事件 $ ps -Z -C httpd # 示例:查看httpd进程的域上下文 LABEL PID TTY TIME CMD system_u:system_r:httpd_t:s0 1234 ? 00:00:00 httpd ``` #### 5. 替代方案:布尔值控制 对部分系统服务可使用预置策略: ```bash $ sudo setsebool -P secure_mode_insmod off # 示例:禁用内核模块加载 ``` **注意事项**: 1. 修改策略前建议备份:`sudo semodule -B` 2. 可使用`semanage`管理文件上下文 3. 调试时建议配合`audit2why`分析日志[^2]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值