关于高通平台SELINUX权限问题

SELinux权限详解
最新推荐文章于 2025-10-26 11:22:09 发布
原创 最新推荐文章于 2025-10-26 11:22:09 发布 · 863 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析SELinux中的一条典型拒绝写操作的日志记录,详细解释了avc、denied、write等关键字的含义,以及如何通过修改SELinux策略允许特定的写操作。涉及到SELinux的上下文、权限和策略文件路径。

举例:type=1400 audit(1358758415.820:7): avc: denied { write } for pid=1229 comm="sh" name="relay" dev="proc" ino=4026533065 scontext=u:r:shell:s0 tcontext=u:object_r:proc:s0 tclass=file permissive=0

语法:allow shell proc:file write;

如有多个:allow shell proc:file {open write};

若有neverallow:neverallow {appdomain -shell}

                                 proc:dir_file_class_set write;

路径:system/sepolicy/

          device/qcom/sepolicy/common/

[SDM660 Android9.0]selinux权限
但行前路 无问西东
05-20 646
1.apk控制gpio init.qcom.rc里给该io 666权限 也不能操控 操控报错 应用层 5244 5244 W ing.aliveDetect: type=1400 audit(0.0:183): avc: denied { write } for name="value" dev="sysfs" ino=50119 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:sysfs:s0 tclass=file perm
高通Linux安全指南(六)
weixin_38498942的博客
08-29 1581
当启用SELinux时,所有系统对象,包括文件、目录、进程、套接字、驱动程序等,都被标记有一个安全上下文。安全上下文由用户、角色、类型标识符和可选的敏感度组成,用冒号分隔。例如:user:role:type:sensitivity注意,用户与Linux用户无关,类型与对象的种类无关。以下步骤解释了如何启用SELinux和更改SELinux模式。
高通Selinux权限规则
郑敏
05-31 641
权限规则,另外不要忘记,/system/sepolicy/prebuilts/api/32.0/private/system_server.te也要添加同样信息,否则编译报错。切记一定要同步,包括添加位置要一模一样,报错信息日志 如下图所示(不知道avc权限控制是什么东西,请看这篇文章。4、翻译上面dmesg avc报错修改如下所示。参考第4点,报错信息如下所示。1、背景:原因是因为这张图。6、修改之后进行编译验证。
【Android】【底层原理】深入解析SELinux模块
沐怡旸的专栏
10-26 769
遏制漏洞:即使一个应用通过漏洞获得了root权限SELinux策略也会将其限制在其域内,防止其对系统其他部分进行横向攻击。 最小权限原则:每个进程只能拥有完成其本职工作所必需的最少权限,别无其他。 防御纵深:SELinux与Linux DAC、Capabilities、App Sandbox等共同构成了Android的纵深防御体系。 审计能力:详细的AVC日志为安全审计和问题排查提供了宝贵信息。
SELinux for Android 8.0 中文版
05-04
Android4.4到Android7.0,SELinux策略的构建流程是将所有的策略(平台和非平台)合并在一起,最后将合并生成的文件统一放在root目录下(即boot.img)。但这种方式有悖于Android 8.0的预定设计目标;Android8.0设计的初衷是允许合作方可以独立的更新他们自有的策略,即在Android8.0之后Google允许合作方将自有的策略部分与系统原有的进行分离,如合作方可以将自有的部分解耦到vendor.img分区中,在需要更新的情况下只需更新vendor部分即可实现
高通平台中为一个server添加SELinux权限
TNT的博客
04-03 1712
假设我们在Android平台中实现了一个server,编译生成的应用程序位于/vendor/bin/testfd.下面为这个应用程序添加selinx权限。 1.在devices/qcom/sepolicy/vendor/common/目录下新建一个testfd.te文件,这个文件将用来添加testfd这个应用程序的权限。 2.将testfd.te这个文件加入到devices/qcom/sepoli...
Android高通8.1 Selinux问题
郑敏
08-12 1038
然后请教了一下某aosp大佬,于是他们这个就是selinux权限问题,加上就ok,顺着这个思路我去system/sepolicy/private/目前去找 这个里面有很多te文件比如nfcte,initte,于是我看着上面日志也有init,然后。根据某个网友回答你可能要拿user debug去验证下 avc一些相关权限,其实我也描述不是很清楚,反正就是需要添加类似于android一样权限,比如像android 读写权限 等等,有需要了解可以自己百度去查下哈,这里不再赘述。7、 于是在adb 下面执行。
高通Android Q编译selinux,并push
wangjicong_215的博客
08-10 1622
修改在: 编译,通过./build.sh dist -j32 --target_only push adb push out/xxxx/vendor/etc/selinux /vendor/etc
SELinux文件访问安全策略和app权限配置
lmpt90的专栏
06-13 2603
原文地址:https://www.zybuluo.com/guhuizaifeiyang/note/772144 基于android6.0版本的SELinux文件访问安全策略 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传...
详解Android Selinux 权限问题
08-28
Google原生的策略文件位于external/sepolicy,而厂家目录通常位于高通平台下的alps\device\mediatek目录中。在编译过程中,厂家的策略文件会合并到Google原生的策略文件中。 当SELinux策略阻止了某些操作时,通常...
一文了解Android SELinux
执剑人
11-04 1940
SELinux在Android系统中起到了重要的安全防护作用。通过强制访问控制,SELinux能够有效限制应用的权限,防止未经授权的访问。开发者可以通过配置策略文件和调试日志,精确地管理应用的权限和访问范围,从而确保系统的整体安全性。
Android13 永久关闭SELinux 权限
Harrison_zhu的专栏
06-21 612
Android13 关闭SELinux方法 在高通6115平台上有效
【安卓SELinux权限SELinux走过的坑
qq_23542165的博客
06-04 1731
SELinux走过的坑 linux通过UID/GID机制对权限进行管理,将文件的权限划分为读、写和执行三种,分别用字母r、w和x表示。每一个文件有三组读、写和执行权限,分别是针对“文件的所有者”、“文件所有者所属的组”以及其它用户。 在linux系统中,我们想完全操作某个文件,只需要执行sudo chmod 777 filename 即可。这表示root用户拥有无限大的权限,可以操作系统中的任何文件。 所以在安卓系统中,引入了SELinux用以提升系统安全性。 一、常用命令 SELinux模式有三种,E
selinux [转发]
碧海湾
03-03 354
一,SElinux是什么,如何分析此类问题 定义:SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制机制。它主要整合在 Linux 内核当中,是针对特定的进程与指定的文件资源进行权限控制的系统。主要是增强传统 Linux 操作系统的安全性,并解决传统 Linux 系统中自主访问控制(DAC)系统中的各种权限问题(如 root 权限过高等)。 分析此类问题selinux三种状态 强制模式 宽容模式 关闭模式 Enforcing:强制模式。代表S
SElinux 基础配置 基础语法
03-11 7714
这个真的是网络好好多文章了, 我也很多都是四处转载总结的,然后就是自己再添加和修改了一些。 http://blog.youkuaiyun.com/myarrow/article/details/10105961 这个也就很详细KK Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: “avc: den
Android 5.x 权限问题解决方法
热门推荐
u013952558的专栏
03-16 1万+
Android 5.x 权限问题解决方法               一、  android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。   本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。  遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 1万+
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
android设置selinux权限
LXJSWD的博客
02-08 2032
selinux权限配置
Android P 中selinux
cassie_huang的博客
09-19 7230
说在前面,文章大部分参考https://source.android.com/security/selinux/。 1.一些基本概念 SELinux 运行的原则是:所有没有明确指定为allow的操作都会被拒绝。 两种模式: Permissive mode, 会有denials的log,但是不会强制执行。在前期porting的时候可以使用这种mode。 Enforcing mode, 会有...
高通平台 android11权限白名单配置文件在哪
最新发布
11-14
高通平台 Android 11 系统中,并没有公开统一且标准的权限白名单配置文件位置。不过从相关开发经验和 Android 系统的特性来看,不同类型的权限白名单配置可能分布在不同的目录。 对于系统级别的权限配置,部分文件可能存放在 `/system/etc/permissions` 目录下,像在 android_N 项目(高通平台)中,`PRODUCT_COPY_FILES` 会将 `frameworks/native/data/etc/android.hardware.opengles.aep.xml` 复制到 `system/etc/permissions/android.hardware.opengles.aep.xml`,说明该目录可能存在权限相关的配置文件[^3]。 若要实现定制 APP 无需权限即可使用 WiFi 功能的 “白名单机制”,是以 WiFi 服务核心权限工具类 `WifiPermissionsUtil.java` 为切入点,但未提及具体配置文件的位置[^1]。 如果设备是 `userdebug/eng` 类型或者已经 root,可通过调整策略或权限后访问部分配置文件,如使用 `setenforce 0`、修改目录权限、或为应用添加 SELinux allow 规则等操作,但量产 `user` 设备不可行[^2]。 ### 相关代码示例 以下是一个简单的 Java 代码示例,用于尝试访问 `/system/etc/permissions` 目录下的文件: ```java import java.io.File; public class PermissionFileAccess { public static void main(String[] args) { File permissionsDir = new File("/system/etc/permissions"); if (permissionsDir.exists() && permissionsDir.isDirectory()) { File[] files = permissionsDir.listFiles(); if (files != null) { for (File file : files) { System.out.println(file.getName()); } } } } } ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值