android R的一些selinux配置经验分享

最新推荐文章于 2025-03-11 15:22:06 发布
最新推荐文章于 2025-03-11 15:22:06 发布
阅读量2.8k 收藏 8
点赞数 2
文章标签: 嵌入式硬件 android 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27629673/article/details/125172078
版权

1、编译报:

violated by allow avm3d_service avm3d_service_exec:file { read getattr map execute open entrypoint };

定位:没有写任何一条配置,发现不对,检查发现可能跟下面条有关

init_daemon_domain(avm3d_service)

检查发现还真是,这条报错是因为我删除了type的coredomain,看来所有需要init_daemon_domain的都需要加上coredomain

2、编译报:

libsepol.report_failure: neverallow on line 6 of system/sepolicy/public/hal_vehicle.te (or line 20021 of policy.conf) violated by allow avm3d_service hal_vehicle_hwservice:hwservice_manager { find };

居然出现了neverallow,hal_vehicle是android原生的车载服务标签,查看对应的te,发现没有限制。跑去对比其他te发现是需要添加:

hal_client_domain(avm3d_service, hal_vehicle)

即需要跟hal_vehicle进行client绑定

3、编译报:

libsepol.report_failure: neverallow on line 4 of system/sepolicy/public/hal_graphics_allocator.te (or line 17784 of policy.conf) violated by allow avm3d_service hal_graphics_allocator_h

最低0.47元/天 解锁文章
Android SELinux:保护您的移动设备安全的关键
虎哥LoveDroid
02-01 1415
移动设备在我们的生活中扮演着越来越重要的角色,我们几乎把所有重要的信息都存储在这些设备上。然而,随着移动应用程序的数量不断增加,安全性也变得越来越关键。这就是为什么安卓系统引入了SELinux(Security-Enhanced Linux)的原因。
android加载efi分区,玩转Android-x86(安装启动、个性定制、高级运用)-8.5更新2楼分区挂载代码支持多硬盘...
weixin_39971132的博客
05-25 2700
玩转Android-x86(安装启动、个性定制、高级运用)安装篇本文并不是一篇高大上的教程,只是本人多年来的玩机经验总结,以及在不同系统、不同机型遇到的问题解决备忘录,本着“团结、互助、分享”的精神,现把我的经验贴出来,旨在与机友交流,或起到抛砖引玉的作用。PC安装Android-x86虽然不象实体手机(平板)那样有刷机ROOT变砖的风险,但仍然存在操作不当可能破坏原来的系统,导致重要的资料丢失或...
Android进阶-SELinux
王涛的博客
06-28 5119
前一篇文章已经介绍了SELinux相关知识, https://blog.youkuaiyun.com/qq_33750826/article/details/80743035 基于 Android 4.3(宽容模式)和 Android 4.4(部分强制模式)的 Android 5.0 版本,开始全面强制执行 SELinux。 一、政策格式 政策规则采用以下形式: allow domain...
HwServiceManager篇-Android10.0 HwBinder通信原理(五)
转载和创作优秀的博客
01-06 3646
1.概述 HwServiceManager是HAL服务管理中心,负责管理系统中的所有HAL服务,由init进程启动。 HwServiceManager 的主要工作就是收集各个硬件服务,当有进程需要服务时由HwServiceManager 提供特定的硬件服务。 2.HwBinder架构 HwBinder通信原理: 3.hwservicemanager的启动 在init.rc中,当init进程启动后,会去启动servicemanager、hwservicemanager、vn...
Android SELinux
最新发布
weixin_45754428的博客
03-11 1117
MAC 权限由系统策略强制管理,即使 Root 进程也需遵守规则。,其核心目标是通过细粒度的权限策略限制进程和资源访问,即使进程拥有 Root 权限也无法绕过规则。• MAC 场景:即使恶意应用有 Root 权限,若 SELinux 策略禁止其访问。:掌握安全上下文、策略语言(TE)、调试工具链(audit2allow)。• DAC 场景:某恶意应用获取 Root 权限后,可任意删除系统文件。:多级安全(MLS)策略中的安全级别(Android 默认未启用)。,决定进程域与资源类型的访问权限。
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 4606
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
rk3568 android11 hidl的学习
heroismzhu的专栏
11-14 901
rk3568 权限设置 客户机 服务器 添加权限
android12】 添加自定义系统服务,AIDL实现HAL Service层
我不是程序员的博客
06-15 2385
系统路径:frameworks/base/core/java/android/app/IHelloWorldManager.aidl 2.添加AIDL接口实现类 系统路径:frameworks/base/core/java/android/app/HelloWorldManagerService.java 3.添加接口管理类HelloWorldManager.java 系统路径:frameworks/base/core/java/android/app/HelloWorldManager.java 4.在C
SELinux管理与配置Android校招面试经验汇总
m0_66685251的博客
03-02 226
user_u-:   普通用户登录系统后预设; system_u-:开机过程中系统进程的预设; root-:    root登录后预设; 在targeted policy中users不是很重要; 在strict policy中比较重要,的有预设的selinuxusers都以 "_u"结尾,root除外。 2.role 文件与目录的role,通常是object_r; 程序的role,通常是system_r; 用户的role,targeted
【安全最佳实践】:Android安全专家分享禁止第三方APK安装的黄金法则
随后,本文分析了安装权限与系统权限的关系,以及如何通过定制安全配置文件和实施应用沙箱机制来隔离和保护应用。在实践操作方面,本文提供了禁止第三方APK安装的方法,并讨论了使用安全应用商店和自定义ROM来增强...
如何在Init里添加一个自启动程序,Server
求变,从思想开始
10-25 1475
一. 添加一个系统服务的权限声明 情景:定义一个init启动的service,demo_service,对应的执行文件是/system/bin/demo. (1) 创建一个demo.te在/device/mediatke/common/sepolicy 目录下       如果是Android4.4的源码,在/device/mediatke/common/BoardConfig.mk 的BOA...
由于SELinux造成的权限问题分析与解决
yikunbai5708的博客
03-19 8465
1 背景 基于Android10,在进行sd卡读取权限配置时候,发现只配置AndroidManifest.xml不能解决权限问题,经过多方查找发现当前版本的Android还需要配置SELinux,废话不多说,请看下面的分析。 2 Android的权限问题 AndroidManifest.xml是Android应用的入口文件,它描述了package中暴露的组件(activities,servi...
Android 8.0 添加开机启动服务
cigogo的专栏
01-22 7964
 Android 8.0 添加开机启动服务,主要涉及两个部分,一个是服务的添加,另一个是Sepolicy规则的添加。 服务的添加: 1.这边添加一脚本做为服务,定时读取芯片温控节点,获取在不同运行情况芯片的温度情况: monitor.sh #!/vendor/bin/sh j=1 jmax=800000000 while [ $j -lt $jmax ]; do cpu0=`cat ...
SeLinux 常见的宏
littleyards的博客
04-01 1003
意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限。
Android 用户组权限,SELinux心得总结
Mis_wenwen的博客
11-09 9093
这里要分两个部分来说,一个是Linux权限组的设定,一个是SELinux。 我们先不考虑SELinux。先单独来说Linux权限组。 因为要想对某个文件进行操作(read,write,execute等),必须先满足Linux权限组的规则,然后再满足SeLinux的allow条件,才能成功操作。 我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
AndroidAutomotive模块介绍(四)VehicleHal介绍
Yang_Mao_Shan的博客
04-12 4409
本篇文档将对 Andorid Automotive 框架中 VehicleHal 层展开介绍。VehicleHal 即为车辆硬件抽象层的定义。可以理解为 Android Automotive OS 中的硬件抽象层接口,包括车辆属性和方法;各厂商制造商会根据定义的 Hal 接口,实现定制化的模块服务。
Selinux机制介绍与添加流程
hjlgs的博客
08-09 3228
Selinux机制介绍与添加流程 一.Selinux机制介绍 二.Selinux问题分析步骤 三.Selinux添加步骤; 3.1 添加/dev/ttyHSL1 串口字符设备selinux权限; 3.2 添加/sys/class 虚拟设备文件selinux权限; 3.3 添加proc/class 文件selinux权限; 3.4 添加开机脚本的selinux权限; 四.Selinux编译及验证; ...
SELinux简介
weixin_42082222的博客
12-24 722
2018.04.09 16:03* 字数 4079 阅读 1009评论 1喜欢 5 一、概述 1.1 SELinux由来 SEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国家安全局)和一些公司(如 RedHat)设计的一个针对Linux的安全加强系统。 NSA最初设计的安全模型叫FLASK...
Android O环境下SELinux策略配置与实现指南
标题和描述中提到的文档列表涉及到了关于SELinuxAndroid O(Android 8.0 Oreo)上的应用和配置SELinux(Security-Enhanced Linux)是一个内核安全模块,旨在提供对Linux系统访问控制的强制访问控制(MAC)安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

橘子与柑子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值