selinux avc权限设置

最新推荐文章于 2025-06-06 15:33:23 发布

小浩09

最新推荐文章于 2025-06-06 15:33:23 发布

阅读量2.1k

点赞数

CC 4.0 BY-SA版权

分类专栏： MTK驱动

本文链接：https://blog.youkuaiyun.com/xhao1985/article/details/81480168

MTK驱动专栏收录该内容

17 篇文章

订阅专栏

本文介绍了解决Android系统中进程权限不足的方法，通过分析avc:denied错误信息确定缺失权限，并在特定的.te文件中添加相应的权限条目。同时提供了处理全局权限定义的指导。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

解决原则是：缺什么权限补什么，一步一步补到没有avc denied为止。

解决权限问题需要修改的权限文件如下位置，以.te结尾

A：Android/device/mediatek/common/sepolicy/*.te

B：Android/external/sepolicy/*.te

其中，A是对B的overlay（覆盖），能在A修改的尽量在A修改，尽量避免修改B。

avc: denied { read } for pid=1213 comm=".app.homescreen" name="/" dev="mmcblk0p13" ino=2 scontext=u:r:system_app:s0 tcontext=u:object_r:unlabeled:s0 tclass=dir permissive=1

分析过程：

缺少什么权限： { read }权限，

谁缺少权限： scontext=u:r:system_app:s0

对哪个文件缺少权限：tcontext=u:object_r:unlabeled

什么类型的文件： tclass=dir

完整的意思：system_app进程对unlabeled类型的dir缺少read权限。

解决方法：

在common/sepolicy/system_app.te中添加：

allow system_app unlabeled:dir { read };

其他的avc: denied 问题同理。

2，

一些权限定义在 external/sepolicy/global_macros中。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

小浩09

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

SELinux之解决avc denied

m0_46211029的博客

03-28

5395

安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。对资源的访问控制分为两类: DAC和MAC SELinux工作模式 SELinux 有三种工作模式，分别为: enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻...

linux创建设备文件指定权限,AOSP 8.1 新增/dev设备节点 Selinux的权限设置

weixin_33321637的博客

04-29

1298

在开发驱动程序提供上层应用使用过程，设置到kernel层和user层之间权限的问题，例如：framework层自定义服务jni通过Hal硬件程序层访问/dev/xxx设备驱动节点；此过程会涉及到system_server去访问kernel层；说明：我们使用nexus 6p 8.1源码进行调试第一步：添加DAC权限设备文件是在内核驱动里面通过device_create创建的，而device_crea...

参与评论您还未登录，请先登录后发表或查看评论

准确添加AVC权限

mihuayishi的博客

02-05

2466

在开发过程中，准确的添加所需要的权限是必须要掌握的基本功能

selinux报avc denied权限和编译报neverallow 解决方案

最新发布

u010823818的博客

06-06

907

直接打开编译报错中那个domain.te，路径：system/sepolicy/public/app.te，找到和我们添加的部分，搜索“apk_data_file”，可以找到如下内容了，看一下就明白了，不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查，除保持对ioctl的审查/授权之外，对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限，主要是判断一下是申请的属性还是device节点访问权限等。

Android/SELinux 添加 AVC 权限

daisy.skye的博客

04-18

1407

avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0。在文件路径下增加了如下代码用于gc02m1的兼容倒置前置摄像头成像配置。编译烧录后，使用adb shell getprop 找到该配置的属性。Android/SELinux 添加 AVC 权限。SELinux的权限不足。

android selinux报avc denied权限和编译报neverallow解决方案

Venus 的博客

07-06

1673

直接打开编译报错中那个domain.te，路径：system/sepolicy/public/domain.te，找到和我们添加的部分，搜索“device:chr_file”，可以找到如下内容了，看一下就明白了，不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查，除保持对ioctl的审查/授权之外，对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限，主要是判断一下是申请的属性还是device节点访问权限等。

SElinux avc dennied权限问题解决方法

Y在想什麽的博客

09-26

1532

SElinux avc权限不足问题：1.编译debug版本.2.抓log：adb shell --> dmesg | grep avc3.补充相对应的.te文件；.te文件也可以自己写，要先去system/sepolicy/file_contexts文件下声明；总体原则就是缺什么权限就补什么权限！！！

Andorid SELinux策略、te语法、avc权限总结

繁鑫..的博客

02-16

4725

浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置前言好久没更新了，去年忙到年底，终于闲下来了，现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的，只不过是默认关闭

Android SELinux avc dennied权限问题解决方法

热门推荐

缥缈孤鸿影的专栏

05-25

9万+

这篇文字本人原创于2015年，并作为原厂发布文档release，当时并未上传博客，估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始，强制引入的一套非常严格的权限管理机制，主要用于增强系统的安全性。然而，在开发中，我们经常会遇到由于SELinux造成的各种权限不足，即使拥有“万能的root权限”，也不能获取全部的权限。本文旨在结合具

Selinux权限问题处理指导文档分享

吉吉的博客

05-18

1279

Selinux权限问题处理指导文档概述 SELinux概述 Selinux即Security-Enhanced Linux，由美国国家安全局(NSA)发起，Secure Computing Corporation (SCC) 和 MITRE直接参与开发，以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制，该系统最初是作为一款通用访问软件，发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后，有直接整合进入SELinux，搭建在Linux Sec

详解Android Selinux 权限及问题

08-28

为了修改SELinux的权限设置，有三种方式：adb在线修改、修改源代码的.te文件以及新建节点。前两种方法通常只用于测试目的，而推荐的正式处理方式是通过修改.te文件来添加权限。要获取当前SELinux的状态可以使用`...

SELinux 入门详解

01-09

回到 Kernel 2.6 时代，那时候引入了一个新的安全系统，用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux)，它是由美国国家安全局（NSA）贡献的，它为 Linux 内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux，这篇文章就是专门为你写的：这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍，它能够限制权限，甚至消除程序或守护进程的脆弱性而造成破坏的可能性。在我开始之前，你应该已经了解的

SElinux avc 打印及关闭

Y在想什麽的博客

08-23

1068

某些场景下并不需要打开SELinux,也就是SELinux设为Permissive，但如果程序设计不符合SELinux sepolicy，日志会频繁打印如下类似avc：denied 的 log。

SELinux avc权限--audit2allow

u012944254的博客

11-15

5703

SELinux avc 权限, audit2allow 使用若在log出现“ avc：”则按照调试添加权限。使用avc关键词查找权限相关log adb logcat -b all | grep "avc:" 进行操作复现问题，抓取最新日志，eg： 05-28 11:41:34.264 7393 7393 I auditd : type=1400 audit(0.0:383): avc: ...

SeLinux 的avc log解读

心上枫叶红的博客

01-25

3428

avc log分析： SeLinux的AVC log的详细分析 eg: type=AVC msg=audit(1395177286.929:1638): avc: denied { read } for pid=6591 comm="httpd" name="webpages" dev="0:37" ino=2112 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:nfs_t:s0 tclass=dir 整体翻译：SE

（MTK）java文件添加简单接口并配置相应的SELinux avc 权限笔记

weixin_48495360的博客

08-06

1153

android 中常见的关于selinux权限添加的相关案例步骤，比较详细，仅供大家参考

selinux avc 打标签

sunfanup的博客

12-07

732

avc

avc: denied SELinux权限问题解决

Haomione的博客

03-31

7592

avc: denied SELinux权限问题解决

SElinux内核态的实现-avc、avd的设计篇

m0_37923396的博客

06-22

1385

本文描述了AVD如何缓存查询结果，深入了解了AVC缓存机制如何支撑这种高效权限检查，包括AVC的初始化、插入、查找和回收的整个生命周期管理。

SElinux root权限

04-23

### SElinux Root权限配置及问题解决 #### 1. SElinux基础概念 SElinux是一种基于Linux的安全模块，它提供了更细粒度的访问控制机制。即使拥有root权限，也无法绕过SElinux的限制[^1]。 #### 2. 常见Root权限相关问题在Android开发过程中，可能会遇到由于SElinux导致的各种权限不足问题。例如，在某些场景下，尽管进程具有root权限，但由于SElinux策略的限制，仍然无法完成特定操作[^2]。 #### 3. 解决方案概述以下是针对SElinux中与root权限相关问题的具体解决方案： ##### （1）调试确认SELinux问题当怀疑某个问题是由于SElinux引起的时，可以通过以下步骤进行排查： - **检查DAC权限**：使用`ls -l`命令检查目标文件或目录的属主和权限。如果DAC（Discretionary Access Control）允许该操作，则可能是SElinux策略显式拒绝了当前操作[^3]。 ##### （2）临时禁用SElinux强制模式为了进一步确认问题是否由SElinux引起，可以将设备切换至Permissive模式： ```bash setenforce 0 ``` 此命令会暂时关闭SElinux的强制访问控制功能。如果在此状态下操作成功，则说明问题确实是由SElinux策略引发的[^3]。 ##### （3）捕获并分析AVC日志通过抓取系统的AVC（Access Vector Cache）日志，可以获得关于被拒绝的操作的详细信息。常用的方法包括： - 执行以下命令导出日志： ```bash adb shell dmesg | grep avc > avc_log.txt ``` - 或者直接从Logcat中提取相关信息： ```bash adb logcat | grep avc ``` 通过对这些日志的解析，能够定位具体的权限缺失项[^3]。 ##### （4）生成并应用新的策略规则利用工具`audit2allow`可以根据捕捉到的日志自动生成所需的策略规则。例如： ```bash adb shell dmesg | grep avc | audit2allow ``` 得到的结果可以直接嵌入到现有的SElinux政策文件中[^5]。 ##### （5）调整策略文件路径对于Android系统而言，其默认的SElinux策略存储位置通常位于`system/sepolicy`目录下。如果有新增加或者修改过的策略需求，可以在项目的`BoardConfig.mk`文件里指定额外的策略目录： ```makefile BOARD_SEPOLICY_DIRS += \ <root>/device/manufacturer/device-name/sepolicy ``` 同时，还可以通过内核参数设定启动时加载的状态为Permissive而非Enforcing状态，以便于测试阶段减少干扰因素的影响： ```makefile BOARD_KERNEL_CMDLINE := androidboot.selinux=permissive ``` 这一步骤有助于开发者更加便捷地发现潜在的问题所在[^4]。 #### 4. 实际案例分享假设某应用程序需要读写WiFi数据文件夹内的内容，但在实际运行期间却遭遇到了“denied”的错误提示。经过初步调查后得知是因为缺乏必要的搜索(`search`)权限所致。此时可根据报错消息手动添加相应条目至policy文件之中，亦或是借助自动化脚本来简化流程处理过程[^5]。 --- ###