selinux权限neverallow解决

已于 2023-03-29 10:10:21 修改
阅读量2.6k 收藏 3
点赞数
CC 4.0 BY-SA版权
文章标签: android
于 2023-03-07 09:40:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36975610/article/details/129334704
文章讲述了在处理日志中出现的SELinux错误时,如何在update_engine.te策略文件中添加适当的AVC权限,以允许update_engine访问mmcblk0p17设备。通过定义新的设备类型block_mmcblk0p17,在device.te和file_contexts中更新规则,并在update_engine.te中设置权限,然后进行编译验证以解决问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题:日志报错update_engine: type=1400 audit(0.0:371): avc: denied { read } for name="mmcblk0p17" dev="tmpfs" ino=17516 scontext=u:r:update_engine:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

根据日志在update_engine.te中添加avc权限:

allow update_engine block_device:blk_file { read write open ioctl getattr };

整编报错:

neverallow { domain -kernel -init -recovery } block_device:blk_file { open read write };

分析:selinux权限为了防止文件节点权限范围被随便使用,使用neverallow约束,下面就通过上面日志的错误提示来解决。

u:object_r:block_device:s0中对应的文件路径

/dev/block(/.*)?    u:object_r:block_device:s0

adb shell查看后mmcblk0p17文件存在/dev/block/mmcblk0p17,所以上面avc错误中block_device标签实际使用的是name="mmcblk0p17",下面给/dev/block/mmcblk0p17文件添加selinux权限,根据block_device进行配置:

路径aosp/device/mediatek/sepolicy/basic/non_plat

device.te:

type block_device, dev_type, bdev_type;

type block_mmcblk0p17, dev_type, bdev_type;

file_contexts:

/dev/block(/.*)?    u:object_r:block_device:s0

/dev/block/mmcblk0p17    u:object_r:block_mmcblk0p17:s0

update_engine.te:

allow update_engine block_mmcblk0p17:blk_file { read write open ioctl getattr };

编译验证

qq_36975610
关注
Android SELinux——neverallow问题处理(十六)
小旭的专栏
10-22 1844
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统对 SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反了 neverallow 规则,编译时候会报 neverallow 相关的错误。
rk3568 HAL3--Camera seLinux权限
weixin_35723192的博客
12-26 1236
rk3568 Android11 在特定场景发现 camera HAL3 的 RGA 无法正常调用,查看内核日志会发现某些服务缺少相关 seLinux 权限致使调用失败,按照正常情况则需要补齐就好。某些场景则需要增加新权限才能匹配相应功能;如果在 HAL 增加系统属性读取,就需要增加专属的 seLinux 权限申请。
selinux解决sysfs neverallow问题
Rainman博的专栏
07-05 1074
执行 restorcon -R /devices/platform/aaa/bbb/ccc 来重新加载selinux上下文,发现已经变成。system/etc/selinux下的所以文件push到设备相应目录下, 具体看修改的selinux编译在哪里。将vendor/etc/selinux下的所以文件push到设备相应目录下,或者将。在aosp源码/system/policy/下grep system_app就会发发现。system app需要访问/sys下设备节点信息。my_sysfs了。
selinux报avc denied权限和编译报neverallow 解决方案
最新发布
u010823818的博客
06-06 892
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/app.te,找到和我们添加的部分,搜索“apk_data_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
selinux常见neverallow解决方法与常用命令
k663514387的博客
08-13 3万+
1. dac_override egbin: type=1400 audit(0.0:879): avc: denied { dac_override } for capability=1 s:egbin:s0 tclass=capability permissive=1 ​ 需要给egbin dac_override权限,但是该权限Android P的neverallow规则中的,不能被添加。dac_override权限意思是容许进程旁路的所有DAC权限:uid,gid,ACL 等等,即有这个权限
Android14之Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 2686
本篇目的:Android14之Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 4144
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 1196
翻译是不允许除coredomain之外的域访问除vendor_file_type和vendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_type和vendor_init的init_exec,白话的意思是vendor_file_type和init_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
Android P系统编译报错SELinux违反Neverallow
qwe6872400的博客
08-16 5524
在文章《Android P关于串口访问权限的问题》讲到了关于SELinux权限问题。SeLinux的*.te文件路径:其中为了给串口增加权限,修改了一些*.te的权限配置文件,修改完之后系统编译报错。错误分析:system/sepolicy/private/domain.te和system/sepolicy/public/app.te违反了neverallows规则解决办法:绝对不允许app对sysfs:file进行文件读写操作,改为:可以允许app对sysfs:file进行文件读写操作。...
SELinux neverallow
02-20
### SELinux Neverallow 规则详解 #### 定义与作用 Neverallow规则用于定义绝对不允许的操作。即使其他地方存在允许这些操作的规则neverallow也会覆盖并阻止它们的发生[^1]。 #### 配置方法 在编写SELinux策略...
selinux权限配置指南.pdf
01-21
本文档《selinux权限配置指南.pdf》将重点讲解SELinux的基本概念、运行模式、语法格式以及权限配置的各个方面,特别是结合Android平台的SELinux(sepolicy)进行讲解,旨在帮助开发者更好地理解和配置SELinux,以...
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 3146
Android系统编译 报neverallow 错误的解决方法。
android selinux报avc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 1665
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
Android O selinux违反Neverallow解决办法
热门推荐
yxw0609131056的博客
04-02 3万+
因工作需要移植fastmmi到Android O,其中会涉及selinux权限配置,现将自己的理解总结如下:1、Android O selinux相关配置文件所在路径      system/sepolicy/*                      AOSP device和APPS相关selinux配置      device/qcom/sepolicy/*            平台和板卡...
增加SELinux,编译报错neverallow check failed
万般皆下品,唯有读书高~
01-27 1361
Android, SELinux配置
android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules**
Uses_Permission的博客
11-26 4099
[DESCRIPTION]若有自行修改Sepolicy导致违反Google的Neverallow rule,CTS 将fail。比如:android.cts.security.SELinuxNeverallowRulesTest#testNeverallowRules110 FAIL junit.framework.AssertionFailedError: The following errors
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 2272
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值