Android SELinux访问向量规则

原创 于 2023-09-07 14:37:30 发布 · 976 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

博客主要介绍了Android系统中权限规则的修改。当系统文件出现avc权限问题,可在对应te中添加allow规则,若编译不过可能是与neverallow规则冲突。还介绍了allow、neverallow、dontaudit、auditallow四个访问向量的含义,并通过读取/proc/stat节点的例子说明权限添加和规则修改的方法。

一般如果系统某个文件无法访问,log中出现 avc 权限问题,我们只需要在对应 te 中添加 allow 规则就行。如下,只需要在 init.te 中为 vendor_sysfs_graphics:lnk_file 增加 read 权限即可。

init    : type=1400 audit(0.0:14): avc: denied { read } for name="device" dev="sysfs" ino=51107 scontext=u:r:init:s0 tcontext=u:object_r:vendor_sysfs_graphics:s0 tclass=lnk_file permissive=0

但有时候会出现添加 allow 规则后编译不过情况。这种情况一般是由于源码 system 目录下 neverallow 规则冲突导致,需要针对修改 neverallow (system目录下这个修改大概率会导致GMS测试不过)。

上面就是我们最常见的修改。这里涉及到两个访问向量: allowneverallow。除此之外,还有两个不常修改的两个:dontauditauditallow

  • allow              表示允许主体对客体执行后面的操作

  • neverallow    表示不允许主体对客体执行后面的操作

  • dontaudit       表示检查策略信息,但是不记录违反规则的信息

  • auditallow      

最低0.47元/天 解锁文章
虫师魁拔
关注
Android SELinux——Sepolicy基础语法(四)
小旭的专栏
10-11 1511
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
Android SELinux——基础介绍(一)
最新发布
小旭的专栏
10-09 1501
SELinux(Security-Enhanced Linux)是一种基于强制访问控制 MAC 的安全增强模块,最初由美国国家安全局(NSA)开发,用于提高 Linux 操作系统的安全性。它基于 FLASK(Flux Advanced Security Kernel)模型,这是一个由美国国防部门开发的安全内核模型。SELinux 通过 LSM 接口集成到 Linux 内核中,提供了比传统的自主访问控制 DAC 更强的安全性和灵活性。
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 4834
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
2017.10.9 android AVC的问题
yhy08090的博客
10-09 939
2017.10.9android  AVC的问题adb log打印出来,经常会出现,现象就是应该开的灯没开,应该打开的硬件没打开,如果是以下问题,可以参考解决,基于高通平台8937进行的修改avc: denied { open } for path="/sys/devices/soc/78b6000.i2c/i2c-2/2-0045/leds/blue/brightness" dev="sysfs...
Android中的SELinux
麦芽的博客
01-16 2224
SELinux (Security Enhanced Linux)是由美国NSA(国安局)和 SCC 开发的 Linux 的一个扩张强制访问控制安全模块,目的是最大限度减少系统中服务进程可访问的资源。Google 在 Android 4.4 上正式添加以 SELinux 为基础的系统安全机制,命名为SEAndroid。SEAndroid 在架构和机制上与 SELinux 完全一样,基于移动设备的特点,SEAndroid 的只是所以移植 SELinux 的一个子集。
SELinux app权限配置 android6.0 新特性
lqxandroid2012的专栏
11-08 7381
1.SEAndroid app分类 SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型): 1)untrusted_app  第三方app,没有Android平台签名,没有system权限 2)platform_app    有android平台签名,没有system权限 3)system_app      有android平台签
Android11 添加开机启动后固件升级逻辑
kevin's cache的专栏
04-27 644
对于qcom平台,做如上修改后,可在android跟目录执行完env之后,mmm system/sepolicy就可以生成,会在out/target/product/trinket目录(lunch的产品)生成到两个路径下:system/etc/selinux和vendor/etc/selinux,分别将这两个目录push到target就可以验证生效;如果需要升级,则设置背景图,并且设置不可点击,防止不必要的anr出现。1、添加资源文件,即升级情况的全屏UI提示背景图;至此,需求开发完成。
简述AndroidSELinux的TE
08-27
这个规则集是由访问向量规则(AV,Access Vector)来描述的。内核向外部暴露允许访问的资源权限,由TE来描述主体拥有什么样的访问权。 SELinux定义了30个不同的客体类别,每个客体类别都定义了操作许可。例如针对...
Android权限 - avc权限问题
hanhan1016的专栏
05-05 5404
1.一般来说,如何确认是Selinux权限引起的问题? 通过命令adb shell getenforce,查看Selinux状态 adb shell getenforce Enforcing //1 Permissive //0 如果为Enforcing,则使用命令adb shell setenforce 0,设置成Permissive mode,如果设置成Permissive mode后没有问...
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 9238
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android车载系列】第11章 系统服务-SystemServer自定义服务
Yvan
05-03 1230
system/sepolicy/prebuilts/api/32.0/private/ 与 system/sepolicy/private/目录下,分别修改以下三个文件#配置自定义服务selinux角色用户:角色:类型:安全级别#配置自定义服务类型的权限#允许所有app使用自定义服务一般只是用来调试自己的服务功能是否正常} } // 使用 YvanManager yvanManager =(YvanManager) getSystemService("yvan");
SEAndroid策略分析(三):类型强制和角色声明
苞谷猿的技术bug
12-09 2117
类型强制 TE规则语法: 规则名称源类型目标类型:客体类别许可 规则名称    allow,dontaudit,auditallow和neverallow。 源类型      授予访问的类型,通常是进程尝试访问的域类型。 目标类型    客体的类型,它被授权可以访问源类型。 客体类别    客体的类别。 许可        表示主体对客体访问时允许的操作类型(也叫做访问向量)。  
SELinux权限学习笔记
javac_jj的博客
04-19 2635
转载:SELinux权限学习笔记 - Hello-World3 - 博客园 1. 权限修改 方法1: adb在线修改seLinux $ getenforce; //获取当前seLinux状态,Enforcing(表示已打开),Permissive(表示已关闭) $ setenforce 1; //打开seLinux $ setenforce 0; //关闭seLinux 方法2: 从kernel中彻底关闭 修改LINUX/android/kernel/arch/arm64/con
Android Service Call /dev/xxx SELinux
我其实什么都不会
07-16 1120
avc: denied { read write } for name="spi_encrypt" dev="tmpfs" ino=12025 scontext=u:r:system_server:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=1 avc: denied { open } for path="/dev/__properties__/u:object_r:vendor_default_prop:s0" dev="t.
Android P SeLinux语法规则及原理
FeiPeng_的博客
10-18 6961
关于网上有好多类似的文章,然后就是自己再添加和修改了一些,给自己做个笔记。 参考这边文章:http://blog.youkuaiyun.com/myarrow/article/details/10105961 概述 KK版本Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: “avc: denied...
Android App Selinux seapp权限详解
求变,从思想开始
05-07 1万+
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
深入理解SELinux SEAndroid(第一部分)
热门推荐
Innost的专栏
02-16 13万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
androidSELINUX规则分析和语法简介
爱技术的蓝胖子
12-11 6022
目录:SELINUX简介查看SELINUX权限1. 进程2. 文件如何配置selinux1.基本语法A. 上下文描述文件B. 策略文件te2.举例:生成规则文件的方法 SELINUX简介 SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统,我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,...
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 1万+
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值