Selinux 权限解决记录

原创 已于 2023-11-01 19:58:19 修改 · 2k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2023-11-01 19:24:42 首次发布
本文详细描述了解决Linux中SELinux权限问题的过程,涉及sysfs目录权限、wakelock权限调整以及针对特定属性如vendor_default_prop和sysfs_devices_block的权限设置,包括使用dac_override、修改scontext和tcontext以及genfs_contexts的调整。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在日常工作中曾经遇到过添加各种各种读取属性,文件节点无权限。setenforce 0 之后,操作正常的,就可以确认为selinux权限问题了,下面记录曾经遇到过的权限问题

1. 最简单的一类就是按照万能公式缺什么,加什么权限。加完权限,编译也没报错,替换后也解决问题的

type=1400 audit(1698809417.118:102): avc: denied { read write } for comm="HwBinder:245_1" name="wake_lock" dev="sysfs" ino=4980 scontext=u:r:tvhalserver:s0 tcontext=u:object_r:sysfs_wake_lock:s0 tclass=file permissive=1
type=1400 audit(1698809417.118:103): avc: denied { open } for comm="HwBinder:245_1" path="/sys/power/wake_lock" dev="sysfs" ino=4980 scontext=u:r:tvhalserver:s0 tcontext=u:object_r:sysfs_wake_lock:s0 tclass=file permissive=1
 

语法:rule_name source_type target_type : class perm_set**
万能公式:
缺少什么权限:{ read write open}权限
谁缺少权限:scontext=u:r:tvhalserver:s0
对谁缺少权限:tcontext=u:object_r:sysfs_wake_lock:s0
什么类型:tclass=file 

+++ b/sepolicy/tvhalserver.te
@@ -183,4 +183,9 @@ allow tvhalserver hal_tv_earc_default:binder  { call };
 allow tvhalserver hal_tv_earc_default:file { getattr };
 allow tvhalserver userdata_file:dir { search read open getattr remove_name };
 allow tvhalserver userdata_file:file { write ioctl lock };
+allow tvhalserver sysfs_wake_lock:file { open read write };

2.1 dac_override 添加权限后,编译出现never allow 的。比如下面这个

type=1400 audit(1698809417.118:101): avc: denied { dac_override } for comm="HwBinder:245_1" capability=1 scontext=u:r:tvhalserver:s0 tcontext=u:r:tvhalserver:s0 tclass=capability permissive=1

+++ b/sepolicy/tvhalserver.te
@@ -190,4 +190,6 @@ allow tvhalserver powerctl_prop:property_service { set };
 allow tvhalserver hal_power_default:dir { search };
+allow tvhalserver tvhalserver:capability { dac_override };

编译的时候会出现nerverallow 报错:

libsepol.report_failure: neverallow on line 342 of system/sepolicy/private/domain.te (or line 40681 of policy.conf) violated by allow tvhal

最低0.47元/天 解锁文章

200万优质内容无限畅学
storm_peng
关注
SELinux: capabilites{dac_override} 权限
黑山老妖
08-06 1万+
Linux支持Capability的主要目的是细化root的特权,使一个进程能够以“最小权限原则”去执行任务。比如拿ping程序来说,它需要使用原始套接字(raw_sockets),如果没有Capability,那么它就需要使用root特权才能运行;如果有了Capability机制,由于该程序只需要一个CAP_NET_RAW的Capability即可运行,那么根据最小权限原则,该程序运行时可以丢弃所
SElinux解决方案
weixin_45629723的博客
11-14 529
selinux:内核级加强型防火墙 selinux( 安全增强型 Linux ) 是可以保护系统安全性的额外机制。 seliunx开关 更改selinux状态的配置文件 vim /etc/sysconfig/selinux 三种级别控制 SELINUX=enforcing ##强制级别 SELINUX=permissive ##警告级别 SELINUX=disabl...
selinux权限配置指南.pdf
01-21
根据Android selinux官方文档,结合实践,总结梳理切合实际开发的sepolicy配置文档
Linux系统中selinux详解
最新发布
xujiangyan_的博客
06-16 952
例:找对象时,男人看作主体,女人就是目标,男人是否可以追到女人(主体是否可以访问目标),主要看两人的性格是否合适(主体和目标的安全上下文是否匹配),但两个人的性格是否合适,是需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断的((dhcpd,httpd,named,nscd,ntpd,portmap,snmpd,squid,以及 syslogd),对本机系统的限制极少。(Mandatory Access Control),可以针对特定的进程与特定的文件资源来进行权限的控制,
SElinux解决方案
weixin_45305540的博客
11-13 481
1.SElinux的概念 1)SElinux为内核级加强型防火墙。SElinux是强制访问控制安区系统,是linux历史上最杰出的新安全系统。对linux安全模块来讲,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。 2)SElinux的三个模式 ENforcing----强制模式----selinux策略强制执行,基于selinux策略规则授予或拒绝主体对目标的访问...
selinux权限
weixin_43899302的博客
08-19 2010
selinux
SeLinux问题解决方法
a785722173的博客
03-29 6528
SeLinux问题解决方法 1、确认SeLinux导致的权限问题 1.1 SeLinux的三种状态 SeLinux有三种状态,分别如下: 1、Enforcing:强制模式,表示SeLinux运作当中,所有违反其规则的操作都会被阻止执行; 2、Permissive:宽容模式, 表示SeLinux运作当中,但不会限制违反其规则的操作,只会给出警告信息; 3、Disable:关闭,SeLinux并没有实...
如何在 Android 上增加 SELinux 权限
柴三少_
11-09 2721
SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,它为 Android 系统提供了额外的安全层。通过 SELinux,系统管理员可以定义细粒度的安全策略,限制进程对文件、网络和其他资源的访问。本文将详细介绍如何在 Android 上增加 SELinux 权限
SELinux SELinux SELinux
09-14
SELinux的工作原理是基于策略,策略定义了系统上各个进程和文件的权限,以及这些权限如何被实施。 在Android系统中,SELinux扮演着关键角色,因为它提供了额外的安全层,有助于保护设备免受恶意软件和攻击。在...
安全机制解析:深入SELinux权限管理
Interview_TC的博客
11-16 1044
Linux内核作为一个高自由度和优秀性能的操作系统核心,基于安全需求提供了完善的安全机制。内核安全机制不仅限于保护个人数据,还包括对运行环境和系统体系的线程化操作。本文将全方位分析Linux内核安全机制,以SELinux为主要代表,选取其他关键模块,进行概念解释和实际上的深层分析。
SELinux权限
03-23
好的,我现在需要处理用户关于SELinux权限配置和常见问题解决方案的查询。首先,用户提到了参考内容中的关闭SELinux权限的方法,但他们的需求更广泛,包括配置和常见问题解决。我需要确保回答结构清晰,分步骤说明,...
访问文件的SELinux权限添加
01-20
最近做了一个功能:设备首次驻网时,在设备指定目录创建文件,并在此文件中写入当前的时间,然后通过暗码可以读取这个时间 这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。 首先通过rc文件创建一个目录 init.rc mkdir /data/vendor/time_code 0771 radio radio 然后设备首次驻网时在此目录下创建txt文件,”/data/vendor/time_code/time_code.txt”,此时SELinux权限问题就来了,如下所示: 原创文章 53获赞 87访问量 2万+
SELinux 权限问题
Jothangan的专栏
04-28 2564
如何使用adb修改SELinux权限,如何通过日志获悉缺失的SELinux权限并自定义安全策略文件
selinux权限问题
weixin_34119545的博客
10-11 162
SELinux 权限设置 2010-10-05 17:24:17|分类: 信息技术 |字号订阅 一、SELinux简介 SELinux 全称是Security Enhanced Li...
SElinux权限问题
weixin_50268209的博客
05-23 168
selinux权限问题的log,从logcat中搜关键字 “ avc ”查看缺了什么权限,缺啥补啥。
SeLinux权限问题分析(未完)
zyfzhangyafei的专栏
07-29 689
查看当前目录下的文件或目录的权限:ps -Zu:object_r:system_data_file:s0 system adb shell 之后执行setenforce 0可以暂时去除sepolicy权限 (不用重启机器,而且重启之后权限又恢复成原来的了)usage: setenforce [ Enforcing | Permissive | 1 | 0 ]setenforce 0 设
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 2247
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
SELinux 权限设置
老瓦的笔记本
05-28 871
作者:neatchenheng 转自:http://www.iteye.com/topic/677014 一、SELinux简介 SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,
Android Q上的SeLinux权限管理与问题解决
在遇到权限问题时,可以通过查看系统日志(如使用`adb shell logcat | grep avc`命令)中的avclog,以确定是否是SeLinux权限问题。例如,一条典型的avclog消息展示了pid、进程名称、试图访问的资源、当前的安全上...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值