使用 audit2allow 工具添加SELinux权限的方法

已于 2024-06-26 14:22:11 修改
阅读量2.7k 收藏 20
点赞数 25
CC 4.0 BY-SA版权
分类专栏: Android Ubuntu 开发工具 文章标签: android ubuntu SElinux audit2allow
于 2024-06-26 14:21:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/netwalk/article/details/139987569

1. audit2allow工具的使用

audit2allow 命令的作用是分析日志,并提供允许的建议规则或拒绝的建议规则。

1.1 audit2allow的安装

sudo apt-get install policycoreutils

sudo apt install policycoreutils-python-utils

1.2 auditallow的命令

命令 含义 用法
-v --version 显示程序的版本号并退出
-h --help 显示此帮助消息并退出
-b --boot 自最近启动的audit的审计消息,与-i冲突
-a --all 从审计的log中读取输入,与-i冲突
-i<输入文件> --input 从输入文件中读取输入

1.3 audit2allow的使用

第一步:从android log中获取对应的avc

最低0.47元/天 解锁文章

200万优质内容无限畅学
Android SELinux——调试工具audio2allow介绍(十三)
小旭的专栏
10-17 1832
audit2allow 工具可以获取 dmesg 拒绝事件并将其转换成相应的 SELinux 政策声明。因此,该工具有 助于大幅加快 SELinux 开发速度。audit2allow 包含在 Android 源代码树中,会在您基于源代码构建 Android 时自动编译。
Android SELinux——allow语句参数(五)
小旭的专栏
10-11 889
通过上一篇文章我们知道,TE(Type Enforcement,类型强制)的 allow 语句中主要包括主体(source)、对象(target)、类别(class)和权限(permissions),这里我们就来看一下其中的参数信息。
使用audit2allow工具来根据avc log生成selinux规则
sunnywalden
12-27 2088
使用audit2allow工具来根据avc log生成selinux规则
audit2allow报错
baidxi的博客
04-28 566
【代码】audit2allow报错。
如何利用 audit2allow 工具调试SELinux日志
最新发布
2401_84168288的博客
06-08 1444
是一个将 SELinux 审计日志(通常是)中被拒绝的访问请求(AVC)转换为 SELinux 策略模块(type enforcement rules)的工具。它通常用于:快速分析“denied”问题的原因;自动生成允许这些操作的策略模块(以便你可以选择是否加载它们)。↓查看日志(ausearch / journalctl)↓使用 audit2allow 分析↓生成 .te 和 .pp 策略模块↓semodule -i 安装策略↓重试操作,验证结果下面我会。
Android 使用 audit2allow 工具添加SELinux权限
weixin_44021334的博客
02-17 7466
开发应用报错,提示 avc: denied { write } for comm="com.test" name="/" dev="dm-5" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_root_file:s0 tclass=dir permissive=0 那就是缺少 SELinux 权限,那就加上。 在 Android aosp 源码上,需要先执行过 source build/envsetup 、lunch 命令,
android audit2allow工具使用步骤
楼中望月
03-15 8787
在dmesg里面经常会看到很多的avc denied的打印,如果有很多这种打印,那可以借助于android提供的audit2allow工具帮我们转换成allow语句。 使用步骤如下: 一、将dmesg中的相关avc denied的打印语句,复制到一个txt文件中,我这里取名为tee-supplicant.txt(因为我正在操作的进程是tee-supplicant) avc: denied { read append } for comm="tee-supplicant" name="kmsg_debug"
SELinux audit2allow命令使用
热门推荐
dk_work的博客
05-22 1万+
解决方案: 首先将我们的报错avc日志拷出来做成一个avc.txt放在Ubuntu系统下面在终端中运行以下命令生成的avc.te文件就是我们的解决方法了。 audit2allow –i avc.txt >avc.te avc.txt avc: denied { create } for name="hsdi_tmp" scontext=u:r:system_app:s0 tcontext=u...
[SeLinux]audit2allow安装与使用
wu_shao_hua的专栏
06-29 6220
1.audit2allow的安装: sudo apt install policycoreutils 2.audit2allow的用法 抓log并保存至文件: adb logcat -b all > error_log.txt 3.分析SeLinux问题的log: audit2allow -i error_log.txt 有些系统在执行audit2allow时会出现错误“unable to open (null): Bad address” 有两个方法可以规避这个问题.....
Ubuntu使用audit2allow解决Android Selinux问题
fred专栏
05-06 891
遇到错误,提示需要用-p指定policy file,然偶尝试创建一个policy空文件,用-p选项,遇到如下错误。首先跟进错误log的堆栈信息找到源码,尝试把352行和354行注释掉,试试。提前用dmesg或者串口抓取kernel log。
SElinux 问题定位 与 添加权限
03-11 3287
adb shell setenforce 0 关闭selinux 验证selinux的配置规则: 首先要了解sepolicy的结构: a. App进程 -> mac_permissions.xml b. App数据文件 -> seapp_contexts c. 系统文件 -> file_contexts d. 系统属性 -> property_contexts一
SELinux avc权限--audit2allow
u012944254的博客
11-15 5697
SELinux avc 权限, audit2allow 使用 若在log出现“ avc:”则按照调试添加权限使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题,抓取最新日志,eg: 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...
selinux-添加
joben的专栏
07-10 2120
Aispeech Audio Hal porting到android系统中需要添加如下selinux权限android8.1): diff --git a/system/sepolicy/public/domain.te b/system/sepolicy/public/domain.te --- a/system/sepolicy/public/domain.te +++ b/system/s...
audit2allow工具修改selinux禁用规则
m0_56484847的博客
08-16 434
【代码】audit2allow工具修改selinux禁用规则。
添加selinux权限
weixin_47094059的博客
09-27 1292
1.定义其他类型在 sepolicy目录下知道定义video_device类型的文件,定义一个其他类型(type开头是定义类型)2.与文件绑定在 sepolicy/file_contexts文件中找到/dev/video31,修改为定义的类型3.给予权限1.加上报的权限问题,在 system_app.te添加
android selinux权限添加
weixin_46027271的博客
01-15 3360
本文基于Android10版本举例介绍selinux添加方法
2020-11-25 audit2allow
ConceptCon
11-25 360
Android source tree to generate policy statements by taking indmesgandlogcatdenial logs. adb shell su -c dmesg | grep denied | audit2allow for example: android$ grep denied ../../log/zdebug5.txt | audit2allow #============= adbd =============...
selinux 将private权限转成vendor可以使用
12-11
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,用于增强Linux系统的安全性。在Android系统中,SELinux被广泛使用来限制应用程序和进程对系统资源的访问权限SELinux将资源和进程分为不同的域(domain),并定义了一系列的规则来控制这些域之间的访问。 在Android系统中,文件和目录通常被分为不同的SELinux上下文(context),例如`private`和`vendor`。`private`上下文通常用于存储应用程序的私有数据,而`vendor`上下文则用于存储与硬件和厂商相关的文件。 如果你需要将`private`权限转成`vendor`,可以通过以下几种方式实现: 1. **修改SELinux策略文件**: - 编写自定义的SELinux策略文件,定义新的规则来允许特定的进程或应用程序访问`vendor`上下文中的文件。 - 使用`audit2allow`工具来生成策略文件。`audit2allow`可以根据SELinux的审计日志生成允许特定操作的规则。 2. **使用`chcon`命令临时更改文件上下文**: - `chcon`命令可以临时更改文件的SELinux上下文。例如: ```bash chcon -t vendor_file_t /path/to/private/file ``` - 这种更改是临时的,系统重启后会失效。 3. **使用`restorecon`命令恢复文件上下文**: - `restorecon`命令可以恢复文件的默认SELinux上下文。例如: ```bash restorecon -v /path/to/private/file ``` 4. **使用`setfiles`命令设置文件上下文**: - `setfiles`命令可以设置文件的SELinux上下文。例如: ```bash setfiles /path/to/context/file_contexts /path/to/private/file ``` 5. **在`init.rc`文件中添加规则**: - 在`init.rc`文件中添加规则来设置文件的SELinux上下文。例如: ```bash setprop selinux.file_context /path/to/private/file u:object_r:vendor_file_t:s0 ``` 通过上述方法,你可以将`private`权限转成`vendor`,从而允许特定的进程或应用程序访问`vendor`上下文中的文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JerryHe

你的鼓励是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值