Android 在 SElinux机制下添加内核节点的访问权限方法

最新推荐文章于 2025-04-02 11:45:46 发布
最新推荐文章于 2025-04-02 11:45:46 发布
阅读量1.3k 收藏 6
点赞数
分类专栏: android系统 selinux权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42334410/article/details/104972158
版权

Android 在 SElinux机制下添加内核节点的访问权限方法

SElinux机制说明

Android 5.0及其以上版本,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。那么就需要添加节点或者APP所需要的权限。

需要什么权限

既然我们要给节点赋予权限,那么前提就是要知道赋予它什么权限:
1. 分解log:
type=1400 audit(171725.225:28): avc: denied { read } for pid=3592 comm=“jw.ComAssistant” name="/" dev=“tmpfs” ino=14757 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:device:s0 tclass=dir permissive=0
————————————————
avc: denied { 操作权限 } for pid=3592 comm=“进程名” scontext=u:r:源类型:s0
tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0
意思是: 在pid为3592的进程名为untrusted_app_25的类型为device的类dir缺少read权限

2. 添加对应的权限:
打开文件AndroidL/android/device/qcom/msm8953/sepolicy/file_contexts 仿照这个文件里的写法,为你的节点定义一个你想要的名字(ttyHSL1是自定义):

/dev/tegra.* u:object_r:video_device:s0
/dev/tf_driver u:object_r:tee_device:s0
/dev/tty u:object_r:owntty_device:s0
/dev/tty[0-9]* u:object_r:tty_device:s0

Ex: /dev/ttyHSL1 u:object_r:device:s0

打开文件AndroidL/android/device/qcom/msm8953/device.te 仿照这个文件里的写法,将刚刚第二步写的ttyHSL1声明为dev_type

type device, dev_type, fs_type;
type alarm_device, dev_type, mlstrustedobject;
type adb_device, dev_type;
type ashmem_device, dev_type, mlstrustedobject;
type audio_device, dev_type;
type binder_device, dev_type, mlstrustedobject;
type block_device, dev_type;
// We add here
type device, dev_type;

AndroidL/android/device/qcom/msm8953/sepolicy/目录下很多.te文件都是以进程名来结尾的,比如有针对surfaceflinger进程的surfaceflinger,有针对untrusted_app_25进程的untrusted_app_25.te
刚刚从第一步得到,这个节点是由untrusted_app_25 进程来访问,所以,我们找到untrusted_app_25 .te打开,加入允许这个进程对devices的读写权限
allow untrusted_app_25 qtaguid_proc:file rw_file_perms;
allow untrusted_app_25 qtaguid_device:chr_file rw_file_perms;

// chr_file表示字符设备文件,如果是普通文件用file,目录请用dir
// rw_file_perms代表读写权限
allow <scontext> <tcontext>:<tclass> rw_file_perms
allow untrusted_app_25 device:dir rw_file_perms; // 允许untrusted_app_25 进程拥有对device的这个字符设备的读写权限;

3. 编译验证权限;
make installclean;make -j16编译image来验证权限是否获取成功。
mmm external/sepolicy
make -j24 ramdisk-nodeps
make -j24 bootimage-nodeps

4. 查看权限;
ls -Z 节点
可以用命令来查看selinux的状态 getenforce 这个命令可以查看到selinux的状态,当前可以看到是关闭状态的。 还有一个命令也可以查看出selinux的状态。 sestatus -v 还有一个setenforce 命令可以设置selinux的状态

5.若验证结果依旧没有权限
这种情况下就在type ttyHSL1, dev_type; 中增加 mlstrustedobject。
type device, dev_type,mlstrustedobject;

Android Selinux 应用读写设备节点
人生只是一种体验,不必用来演绎完美。
01-22 4114
写入设备节点 final String FILE_PATH = "/sys/dev"; private void writeSysFile(){ final File file = new File(PATH_REPORT) ; String cmd = "1"; FileOutputStream fos = null; try{ fos = new FileOutputStream(file);
添加文件的SELinux权限
李予浙的博客
01-30 492
allow 源类型 目标类型:访问类型 {操作权限};
Android 赋予自定义节点权限
Jeffries_C的博客
10-24 441
avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。重新编译验证,修改生效,已成功赋予自定义节点权限。Android 赋予自定义节点权限。
Android SELinux 权限配置
最新发布
qq_44844314的博客
04-02 294
例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法
android读取内核节点,AndroidSElinux下 如何获得对一个内核节点访问权限【转】...
weixin_39641231的博客
05-31 388
Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点访问权限。第一步:找到需要访问内核节点的进程(process),笔者自己这个节点由system_server进程来访问第二步:打开文件An...
linux内核设备节点增加,/dev下添加设备节点方法步骤
weixin_42380646的博客
04-30 591
将自己开发的内核代码加入到Linux内核中,需要3个步骤:1、确定把自己开发代码放入到内核合适的位置将demo_chardev.c文件拷贝到.../drivers/char/目录下。demo_chardev.c#include #include #include /*结构体file_operations定义的头文件*/#include /*声明copy_to/from_user函数的头文件*/#i...
SELinux用audio2allow生成添加权限的格式及neverallow解决方法
qq_25815655的博客
05-20 4879
首先我们都知道,添加SELinux方法都是按这种格式来添加的语句格式为:allow scontex tcontex:class action,但是类型比较多,有时间添加到那个文件还是不够清晰啊,能不能有工具来告诉我们 把avc报错生成对应的权限格式添加到对应的文件呢?这里还真有,有了这个工具,我们再遇到AVC报错就不用愁了,废话不多说 (一)我们还是先介绍下确定是否是SELinux的原因导致的问题,虽然网上很多,当你怀疑是SELinux原因导致的问题,用userdebug版本或者eng版...
selinux security level引起的denied u:r:untrusted_app:s0:c512,c768问题
nuanhua209的专栏
02-22 9489
最近selinux遇到问题:avc: denied { sigkill } for pid=12755 comm="sh" scontext=u:r:AAAA:s0 tcontext=u:r:untrusted_app:s0:c512,c768 tclass=process permissive=0 发现即使加了 allow AAAA untrusted_app:process sigkill
详解Android Selinux 权限及问题
08-28
Android 5.0及之后的版本中,SELinux已经被完全集成到系统安全中,即使设备拥有root权限或者文件权限为chmod 777,仍然无法访问JNI(Java Native Interface)以上的内核节点Android 4.4中也有限制性地启用了这一...
AndroidSElinux下 如何获得对一个内核节点访问权限
04-21 301
Android 5.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。 本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点访问权限。 第一步:找到需要访问...
Android 5.x SEAndroidSElinux内核节点的读写权限
11-09
即使应用程序获得了root权限或对特定内核节点设置了777权限,由于SEAndroid/SELinux的安全机制,应用程序依然可能无法在JNI(Java Native Interface)层面访问这些内核节点。 本文将通过具体实例,详细介绍如何为...
selinux 权限设置
lin20080410的专栏
11-14 2674
针对一些platform_app应用无法访问data目录,提示是权限问题,比如: W/droid.gallery3d(3922): type=1400 audit(0.0:116): avc: denied { execute} for path="/data/data/com.android.gallery3d/code_cache/com.android.renderscript.cache
2022-07-20 Android 11 SELinux avc 修改sys目录下面某个节点的权限
海月汐辰
07-20 2126
1、在file.te中,加入一个域的别名,如在该例中,我们原本需要访问的是sysfs域中的一个文件,所以我们在file.te中定义一个新的域,名字可以随便取,定义一个叫做sysfs_powerenable的域(domain),该域具有fs_type和sysfs_type属性(attribute)如。5、编译的时候可能会有提示不允许untrustedapps写sysfs下面的节点,按下面的修改策略。3、在我们新建的powerenable.te策略文件中,把之前的sysfs替换为我们新定义的域,即。......
[Android app] Linux串口驱动配置,可执行程序测试,App串口通信程序
John_chaos的博客
11-08 4185
本文背景: 是真的不喜欢脑子记这些引脚,串口节点,动不动忘记了。 1.首先记录一下硬件引脚----tty节点对应关系 2.找一组/dev/ttyHSL1,先测试一下自环,然后写个app,从app里面读写这个节点 3.后续,通过串口和单片机通信,和esp8266通信,实现一个android app控制单片机 硬件平台配置: 平台:msm8909 默认log串口:Board_KERNEL_CMDLINE.
模组uart调试总结
卤煮小鱼的博客
05-16 866
软件回环测试通过之后,查看uart gpio是否ok:tx高电平(uart空闲时tx传输二进制1)、rfr为低电平,rx,cts为输入。如果有复用,需要在设备树配置中取消复用功能的选项,然后选中串口功能,高通平台设备树路径为:kernel\msm-xxx\arch\arm\boot\dts\qcom或者kernel\msm-xxx\arch\arm64\boot\dts\qcom,这个路径视arm的位数而定。2.1 如果成功产生了UART设备节点,可通过软件回环测试确认UART驱动程序功能是否正常。
linux 切换界面tty2,Linux 中不适用功能键切换TTY
weixin_31107269的博客
05-06 5499
本简要指南介绍了在类 Unix 操作系统中如何在不使用功能键的情况下切换 TTY。在进一步讨论之前,我们将了解 TTY 是什么。正如在 AskUbuntu 论坛的一个答案[1]中所提到的,TTY这个词来自 TeleTYpewriter(电传打字机)。在 Unix 的早期,连接到计算机的用户终端就是机电的电传机或电传打字机(简称 tty)。从那时起,TTY 这个名称继续用于纯文本控制台。如今,所有文...
关闭Android12系统的SELinux权限
Do my best!
11-29 1835
Android 12上关闭SELinux权限,你可以通过修改/selinux.cpp文件来实现。具体来说,你需要找到SelinuxInitialize()方法,在那里初始化selinux权限。如果由于权限问题导致应用层无法访问设备节点,可以先临时或永久关闭selinux。若要永久关闭,需要对/selinux.cpp文件进行编程修改,直接在IsEnforcing()方法中返回false即可。此外,你还可以在system.prop文件中定义ro.boot.selinux=disable以禁用selinux
linux创建进程 权限,SELinux为已有进程添加权限
weixin_42512276的博客
04-30 1185
产品,其te文件在\external\sepolicy路径下面。从这里面的te文件中,常看到的权限,对于dir与file,主要有下面这些: dir:create_dir_perms、search、r_dir_perms、rw_dir_perms、ra_dir_permsfile:create_file_perms、r_file_perms、rx_file_perms、x_file_perms、rw...
记一次selinux权限添加
chen_yuyunfox的专栏
11-09 3791
selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发中临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。 需求开发需要在system_server进程中调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不适配selinux权限的话会报错导致开不了机。 添加selinux权限的步骤: 1. 查看设备根目录的vendor_property_context.
Android framework访问内核的/sys/class/gpio/gpio8/value节点,如何加权限
05-20
Android framework 中,可以通过修改设备树文件来配置 GPIO,然后在应用程序中使用 Java Native Interface (JNI) 调用内核驱动程序来访问 GPIO。 要加权限,可以使用 AndroidSELinux 权限机制。首先,需要在设备树中为 GPIO 节点添加一个新的属性,例如“gpio-permission”。然后,在 Android 的 sepolicy 文件中为这个属性添加一个新的规则,以授权访问节点。 以下是一个示例: 1. 修改设备树文件,在 GPIO 节点添加新的属性: ``` gpio8 { ... gpio-permission = "myapp"; }; ``` 2. 在 sepolicy 文件中添加规则: ``` # Allow myapp to access the gpio8/value node allow myapp gpio_device:file { read write }; ``` 这将授权名为“myapp”的应用程序访问 GPIO 8 的值节点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值