解决 系统升级后Selinux的file_context指定的目录或者文件域变成unlabeled

最新推荐文章于 2025-06-06 15:59:27 发布
最新推荐文章于 2025-06-06 15:59:27 发布
阅读量8k 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: android系统 SELiunux 文章标签: android SELiunux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nuanhua209/article/details/64905357
本文记录了一次SELinux权限丢失的问题排查过程,详细分析了导致系统分区中SELinux属性丢失的原因,并给出了修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近遇到一个selinux相关问题,相关的denied打印如下:

avc: denied { write } for name="/" dev="mmcblk0pxx" ino=2 scontext=u:r:AAAA:s0 tcontext=u:object_r:unlabeled:s0 tclass=dir permissive=0

avc: denied { create } for pid=1886 comm="xxxxx" name=aaa" scontext=u:AAAA:s0 tcontext=u:object_r:unlabeled:s0 tclass=file permissive=0

之前指定的/aaa/bbb目录下的文件域为XXX_XXX突然全部变成unlabeled。


unlabeled的标签是系统没有指定的目录就是unlabeled。尝试把出现的denied规则加到te文件里?too yong to naive.

Google能随随便便让进程去建unlabeled ?在external/sepolicydomain.te文件中有如下neverallow规则:

# Do not allow any domain other than init or recovery to create unlabeled files.
neverallow { domain -init -recovery } unlabeled:dir_file_class_set create;

凡是过CTS的娃娃都应该明白这意味着什么,不能随便加!而且neverallow 规则不能修改,否则CTS会有fail项。

Google不让改怎么办?问Google吧!

Google到相关的资料都指向一个原因:系统可能做过OAT升级到时系统分区被破坏,selinux属性丢失

https://marc.info/?l=seandroid-list&m=142072965016559&w=2


咨询了报问题的同事,出问题的机器没有做过OAT升级/(ㄒoㄒ)/~~。但是还是怀疑和分区被破坏有关系。

接着分析:

1.拷贝出来板子的/file_contexts文件,发现指定/aaa/bbb目录的域确实是XXX_XXX。

2.实验把/aaa/bbb目录指定为CCC_CCC重新烧boot.img发现域还是没有改变。

使用命令restorecon -r /aaa/bbb指定的CCC_CCC域起作用,此时怀疑系统有备份file_contexts的属性到某个地方。

3.紧接着查到系统里有把file_contexts的指定设置到系统的分区镜像里。用dd命令拷贝出来/dev/block/分区镜像。查看多了unlabeled的字段。


最后联想到最近有同事做数据保护工作。咨询了同事在/aaa/bbb分区因为写数据掉电或者其他情况被破坏掉后,他会使用make_ext4fs重新格式化分区,但是格式化话后没有回复selinux的域指定。而系统在升级时不会去升级/aaa/bbb分区,系统每次起来都会读一句坏了的分区中保存的/file_contexts。导致出现u:object_r:unlabeled:s0 问题。


解决方法是在数据保护格式化分区后重新调用一次selinux_android_restorecon方法回复selinux属性。

关于selinux_android_restorecon 参考文章:http://blog.youkuaiyun.com/l173864930/article/details/17232547




Docker 挂载权限 chcon: can't apply partial context to unlabeled file
隔壁老瓦的专栏
09-30 1万+
Docker 挂载权限 chcon: can't apply partial context to unlabeled file   参考:http://www.linuxidc.com/Linux/2012-09/70199.htm   # chcon -t samba_share_t /software  chcon: can't apply partial context to u...
Android】关于selinux等引起的权限问题
Joymine的专栏
11-01 2462
本文章会持续更新问题背景1:在系统中间增加一个parameter分区,主要用来存储音频参数等硬件参数。但是在audioserver进程访问的时候出现权限问题 相关信息:Android N+MTK 如何创建分区打包成镜像放到手机? 在build/core/Makefile中间的修改如下: ## Generate an ext4 image TARGET_PARAMETER_OUT := $(PR
[AOSP]Android 9.0添加分区unlabeled的原因分析及解决办法
MasterC的博客
01-18 1942
问题分析 最近需要在系统中新建一个分区,整个流程走下来和其它Android版本差别不大,毕竟分区是对于底层Linux而言的,但是添加完却发现系统应用不能读写此分区,仔细研究后发现和SELinux有关,具体可以参阅Android Source上的相关资料,将SELinux设为Permissive模式之后能够正常访问,于是参照其它博主提供的方法抓取了SELinux权限拒绝日志,发现原来是因为此分区的...
Android 10添加分区unlabeled的原因分析及解决办法
feibafeibafeiba的博客
06-07 242
既然清楚了问题,那就好办了,去找新建分区unlabeled解决办法,看到了一位博主的博客,大致的意思就是,新建的分区在SELinux初始化的时候还未挂载,所以即使配置好了相关的SELinux策略也不生效,因为配置的是具体的type的SELinux权限,而实际上该分区却是unlabeled,我们需要在新建的分区挂载之后重新去加载分区的sepolicy,故在device下的init.xxx.rc文件中加入restorecon_recursive [分区名]即可。
SELinux 各模块简要说明
OLiverDing的博客
06-06 722
为文件/目录分配唯一的 SELinux 类型(如),决定哪些进程有权访问。示例表示可执行文件的安全上下文为。
Linux资源的SELinux context详解
成长的足迹
06-30 6181
Linux操作系统中的每个资源(如进程、文件描述符、文件、网络等),也被称为SELinux对象,都拥有一个特别的security label,也被称为SELinux label,或SELinux context,以表示该对象能够执行的permissions和operations。这是一个标识符,从Linux系统的细节中抽象出,只聚焦于系统资源的安全属性。通过使用SELinux context,就可...
SELinuxunlabeled”标签产生的两种场景及解决方案
李老板的移动安全杂货铺
09-15 4127
SELinux出现unlabeled的两种场景做了简单的记录,深度分析形成原因,并且给出了对应的解决方式。两种场景均为笔者在实践过程中遇到的真实场景,是从事Linux安全开发的研发人员大概率会遇到的场景,希望可以帮助大家快速定位和解决类似问题。
sepolicy 中unlabeled 修改
私房菜
08-23 4691
  文章出处:http://blog.youkuaiyun.com/shift_wwx/article/details/77500458 请转载的朋友标明出处~~       最近需要在平台上添加一个persist 分区,需要添加sepolicy,但是不管怎么修改,发现分区最终 ls -Z 出来一直是:u:object_r:unlabeled:s0,而不是想要的persist_file 属性。 ...
file_contexts(system/bin/添加)
热门推荐
houyizi337825770的专栏
05-13 1万+
最近在编译android4.1.2源码的时候,想在"out/target/……/system/bin/"目录添加几个二进制文件;但是每次把二进制文件拷贝到"out/target/……/system/bin/"目录后,在回到源码根目录“make -j8”生成system.img文件后,我从新打开system.img文件或者刷机到板子上面,总是没有我添加到那几个二进制文件!很是纳闷!如果一直这样工作就
context linux,使用selinux contexts
weixin_35181426的博客
05-25 631
SELinux增强了Linux系统的安全,但是对于初学者来说很容易造成各种各样的错误,经常被搞的莫名其妙不知所措,最后只能祭出大招把SELinux一关了之。笔者也是初学者,也没有搞清楚其中的道理,只是了解点皮毛而已。本文只从chcon命令的使用结合几个例子简单回顾一下,更加深入的知识有待继续学习。使用selinux contextsSELinux增强了Linux系统的安全,但是对于初学者来说很容易...
解决SELinux导致Apache无法访问文件
SchRHT Blog
01-19 1294
问题描述 RHEL8服务器安装有Apache做文件访问用,数据卷是/dev/sdb挂载在/nfs下,要从网站访问的内容存在于/nfs/perf-insight/路径下,在Apache默认路径下设有同名软连接即/var/www/html/perf-insight/。 访问网站提示“Forbidden”,查询错误日志/var/log/httpd/error_log提示如下: [Tue Jan 19 16:38:25.344744 2021] [autoindex:error] [pid 6095:tid 139
chcon: can't apply partial context to unlabeled file
05-15
这个错误通常是由于 SELinux 上下文标签不正确导致的。可以尝试使用 chcon 命令来更改文件的上下文标签,例如: ``` sudo chcon -t httpd_sys_content_t /path/to/file ``` 其中 `-t` 参数指定新的上下文标签。在...
chcon: can't apply partial context to unlabeled file '/code/file20230501/static/'
05-15
这个错误是因为SELinux的安全策略不允许将一个部分标记的上下文应用于没有标记的文件。你可以使用以下命令来解决...如果你想要永久性地更改文件的安全上下文,则需要使用semanage或者SELinux策略中创建一个新的规则。
SELinux
jerry7582597的专栏
01-26 1913
SELinux   Background LSM中文全称是linux安全模块。英文全称:linux security module. LSM是一种轻量级、通用的访问控制框架,适合多种访问控制模型以内核模块的形式实现。 通过系统调用进入内核之后,系统首先进行传统的权限检查(传统权限检查主要是基于用户的,用户通过验证之后就可以访问资源),通过之后才会进行强制访问控制。(强制访问控制是不允许主体干...
file_contexts 踩坑
solo_the_word的博客
07-27 2842
1. file_contexts文件修改时,最后一行必须要有一个空行,否则会编译不过。
selinux介绍
成功不必在我,而功力必不唐捐!
08-23 747
selinux相关命令 // 0--代表Permissive // 1--代表Enforcing setenforce 0 // 查看selinux开关状态 getenforce // 查看进程的sContext ps -Z // 查看文件权限 ls -Z 如果设置成permissive mode 后问题依旧,说明还有其他的权限问题约束,否则就是SELinux 方面的问题 抓取SELinux Log adb shell dmesg 抓kernel log,使用命令: adb shell "cat /
selinux 介绍
老鹰不捉小鸡
06-13 992
DAC和MAC的区别:DAC核心思想:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限 ...
FileContext等的坑?
zj510的专栏
01-19 1485
FileContext等的坑?问题场景具体问题解决方案 问题 在minifilter中,可以使用CtxGetFileContext,CtxCreateFileContext等函数保存context。 以FileContext为例,新建的文件可以保存一个context进去,然后当这个文件被删除的时候,操作系统会调用minifilter的清理函数来删除相应的context。 那么坑: 如果海量创建文件...
启用SELinux时遇到的问题
windowsxpwyd的专栏
05-16 7828
一台CentOS5.7的机器,原来只是在公司内部访问,SELinux是禁用的状态,现需要搭建成FTP服务器并发布到外网上去,为了安全,启用SELinux。编辑/etc/selinux/config文件,将SELINUX=disabled改为SELINUX=permissive,保存后重启系统。(SELinux从禁用状态转变为启用时,需要重启系统以重新标记文件的上下文,红帽建议先将SELinux的值
file.te file_context.te 解释
最新发布
08-19
<think>我们正在讨论SELinux策略文件中的file.te和file_contexts文件(注意:用户可能误写为file_context.te,但实际标准名称是file_contexts)。根据引用内容,我们可以总结如下: 引用[1]提到: - file_contexts:给所有的自定义变量赋具体的值(包括文件节点、设备节点、可执行程序) - file.te:声明file_contexts中为文件类型的变量 引用[2]和[3]则提供了关于进程域和可执行文件标签的示例。 引用[4]提到,一般不需要直接修改system/sepolicy中的文件,而是添加设备专用政策文件(位于/device/manufacturer/device-name/sepolicy目录中)。 因此,用户的问题是关于SELinux策略中file.te和file_contexts文件的作用与解释。 下面我将详细解释这两个文件: ### 1. **file.te** 文件 - **作用**:在SELinux策略中,`file.te`文件用于**声明文件类型(file types)**。这些类型用于对系统中的文件、目录、设备节点等进行分类,以便在策略规则中引用。 - **内容格式**:在`file.te`中,我们使用`type`语句来定义新的文件类型。例如: ```te type my_custom_file_type, file_type; ``` 这里: - `my_custom_file_type` 是自定义的类型名称。 - `file_type` 表示这是一个文件类型(属于属性`file_type`)。 还可以定义其他与文件相关的类型,如: - 目录类型:`type my_custom_dir_type, file_type, fs_type;` - 设备节点类型:在`device.te`中定义(如引用[1]中所示),但`file.te`通常只关注普通文件和目录。 - **关联性**:在`file.te`中定义的类型,会在`file_contexts`文件中被赋予具体的文件路径。 ### 2. **file_contexts** 文件 - **作用**:将文件路径与SELinux类型(在`.te`文件中定义的类型)关联起来,即**给文件系统对象打标签(labeling)**。这样,当系统启动或文件被创建时,SELinux会根据这个文件给相应的文件系统对象赋予安全上下文。 - **内容格式**:每一行包含一个文件路径模式和一个安全上下文。例如: ``` /system/bin/tinymix u:object_r:tinymix_exec:s0 ``` 这里: - `/system/bin/tinymix` 是文件路径(支持正则表达式)。 - `u:object_r:tinymix_exec:s0` 是安全上下文,其中`tinymix_exec`就是在`.te`文件中定义的类型。 另一个例子(来自引用[1]): ``` /dev/GT9762AF(/.*)? u:object_r:GT9762AF_device:s0 ``` 这表示`/dev/GT9762AF`及其子节点都被赋予类型`GT9762AF_device`。 - **应用时机**:这些标签通常在以下情况下被应用: - 系统启动时(由`init`进程在挂载文件系统后通过`restorecon`或`setfiles`命令设置)。 - 创建新文件时(如果父目录有默认的SELinux上下文,则新文件会继承)。 - 手动执行`restorecon`命令时。 ### 3. 两个文件的协同工作流程 1. **声明类型**:在`file.te`(或`device.te`等)中定义一个新的类型(例如`my_file_type`)。 2. **关联路径**:在`file_contexts`文件中,将文件路径模式与这个类型关联。 3. **策略规则**:在进程的`.te`文件中,通过`allow`规则允许该进程访问此类型。例如: ```te allow my_process my_file_type:file { read write }; ``` ### 4. 示例解析(基于引用[1]和[3]) - **添加设备节点**(引用[1]): - 在`device.te`中声明设备节点类型:`type GT9762AF_device, dev_type;` - 在`file_contexts`中关联设备节点路径:`/dev/GT9762AF(/.*)? u:object_r:GT9762AF_device:s0` - 在进程的`.te`文件(如`factory.te`)中添加访问权限:`allow factory GT9762AF_device:chr_file { read write ioctl open };` - **添加可执行文件**(引用[3]): - 在`file.te`(或自定义的`tinymix.te`)中声明可执行文件类型: ```te type tinymix, domain; type tinymix_exec, exec_type, file_type; ``` - 在`file_contexts`中关联可执行文件路径:假设路径为`/system/bin/tinymix`,则: ``` /system/bin/tinymix u:object_r:tinymix_exec:s0 ``` - 在`tinymix.te`中定义进程域转换(由`init`启动): ```te init_daemon_domain(tinymix) ``` 并添加必要的权限规则。 ### 5. 注意事项 - **文件位置**:在AOSP中,设备特定的策略文件应放在设备的`/device/manufacturer/device-name/sepolicy`目录下(引用[4]),而不是直接修改`system/sepolicy`。 - **标签继承**:对于由`init`启动的进程,其标签要么在`init.rc`中用`seclabel`指定,要么通过`init_daemon_domain`宏进行域转换(引用[2])。 ### 总结 | 文件 | 主要作用 | 内容示例 | |------------------|------------------------------|---------------------------------------| | `file.te` | 声明文件、目录等类型 | `type my_file_type, file_type;` | | `file_contexts` | 将文件路径映射到SELinux类型 | `/path/to/file u:object_r:my_file_type:s0` | 这两个文件是SELinux策略中定义文件安全上下文的基础,通过它们可以实现对文件访问的精确控制。 --- ### 相关问题 1. 如何在Android设备上添加一个新的SELinux策略文件? 2. SELinux中进程域转换是如何工作的(例如`init_daemon_domain`)? 3. 如何调试SELinux权限拒绝(denial)问题? 4. 在SELinux策略中,`allow`规则的语法和常见用法有哪些? 5. 设备节点和普通文件在SELinux策略中有什么区别?</think>### SELinux 策略文件解析:`file.te` 与 `file_contexts` 在 SELinux 策略开发中,`file.te` 和 `file_contexts` 是两个关键配置文件,它们协同工作实现对文件系统对象的安全标签管理。以下是详细解释: --- ### 1. **`file.te` 文件** **作用**:声明文件类型(File Types),定义文件系统对象的 **安全类型标识符**。 **核心功能**: - 为文件、目录、设备节点等资源创建唯一的 SELinux 类型标签 - 将类型归类到预定义属性(如 `file_type`, `dev_type`) - 作为策略规则(`allow` 语句)中的目标类型 **典型内容格式**: ```te # 声明普通文件类型 type my_custom_file, file_type; # 声明设备节点类型 type my_device_node, dev_type; # 声明可执行文件类型 type my_executable, exec_type, file_type; ``` **示例场景**(引用[1][3]): ```te type tinymix_exec, exec_type, file_type; // 声明 tinymix 可执行文件的类型 type GT9762AF_device, dev_type; // 声明设备节点类型 ``` --- ### 2. **`file_contexts` 文件** **作用**:将 **文件系统路径** 映射到 `file.te` 中定义的安全类型,实现 **标签绑定**。 **核心功能**: - 为具体文件/目录分配 SELinux 安全上下文 - 支持正则表达式匹配路径模式 - 在系统启动或文件创建时自动应用标签 **典型内容格式**: ```context # 路径模式 安全上下文 /dev/my_device.* u:object_r:my_device_node:s0 /system/bin/tool u:object_r:my_executable:s0 /data/app/.* u:object_r:app_data_file:s0 ``` **示例场景**(引用[1][3]): ```context /dev/GT9762AF(/.*)? u:object_r:GT9762AF_device:s0 // 设备节点标签绑定 /system/bin/tinymix u:object_r:tinymix_exec:s0 // 可执行文件标签绑定 ``` --- ### 3. **协同工作流程** 1. **类型声明**(`file.te`) 定义类型 `my_file_type` 和 `my_device_type`。 2. **路径映射**(`file_contexts`) 将 `/path/to/file` 绑定到 `my_file_type`,`/dev/my_device` 绑定到 `my_device_type`。 3. **策略控制**(`*.te`) 在进程策略中授权访问: ```te allow my_process my_file_type:file { read write }; allow my_daemon my_device_type:chr_file { ioctl open }; ``` **完整示例**(引用[1][3]): ```te // file.te type GT9762AF_device, dev_type; // file_contexts /dev/GT9762AF(/.*)? u:object_r:GT9762AF_device:s0 // mediaserver.te allow mediaserver GT9762AF_device:chr_file { read write ioctl open }; ``` --- ### 4. **关键差异总结 | 特性 | `file.te` | `file_contexts` | |--------------------|--------------------------------------|--------------------------------------| | **目的** | 声明类型和属性 | 绑定路径到类型 | | **内容** | SELinux 类型定义语句 (`type ...`) | 路径-上下文映射规则 | | **作用阶段** | 策略编译时 | 文件系统创建/启动时 | | **修改影响** | 需重新编译策略 | 需运行 `restorecon` 或重启 | | **正则支持** | 否 | 是 | --- ### 5. **实践注意事项** 1. **自定义策略位置**(引用[4]): 设备专属策略应放在 `/device/<厂商>/<设备名>/sepolicy/`,而非修改系统全局策略。 2. **标签继承机制**(引用[2]): `init` 启动的进程通过 `init_daemon_domain()` 宏转换域上下文,例如: ```te init_daemon_domain(tinymix) // 将 tinymix 从 init 域切换到专属域 ``` 3. **验证工具**: - `ls -Z` 查看文件当前标签 - `restorecon -v /path` 强制重新应用标签 - `sepolicy-check` 验证策略一致性 > 📌 完整开发流程参考 [SELinux for Android](https://source.android.com/security/selinux)[^4]。 --- ### 相关问题 1. 如何为 Android 新增设备节点添加 SELinux 权限? 2. `init_daemon_domain()` 宏的具体工作原理是什么? 3. 如何调试 SELinux 权限拒绝(avc: denied)问题? 4. 普通文件与设备节点在策略定义上有何区别? 5. 如何自定义进程的 SELinux 安全域?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值