由于SELinux造成的权限问题分析与解决

最新推荐文章于 2025-11-06 09:38:09 发布
原创 最新推荐文章于 2025-11-06 09:38:09 发布 · 8.7k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #selinux

本文详细解析了在Android10中配置SD卡读写权限的方法,不仅需要在AndroidManifest.xml中添加权限,还需调整SELinux设置,包括修改system_app.te和app.te文件,确保正确授予进程对sysfs的读权限。

1 背景

基于Android10,在进行sd卡读取权限配置时候,发现只配置AndroidManifest.xml不能解决权限问题,经过多方查找发现当前版本的Android还需要配置SELinux,废话不多说,请看下面的分析。

2 Android的权限问题

AndroidManifest.xmlAndroid应用的入口文件,它描述了package中暴露的组件(activitiesservices,等等),他们各自的实现类,各种能被处理的数据和启动位置。除了能声明程序中的ActivitiesContentProvidersServicesIntent Receivers,还能指定permissionsinstrumentation(安全控制和测试)。

比如需要加入SD卡的读取权限,则需要添加:

1.	<uses-permission android:name="android.permission.INTERNET"/>  
2.	<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>  
3.	<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>

注意:6.0后的版本即使添加了权限还是会报错,但是权限声明是必须要加的

Android10中除了要注意在AndroidManifest.xml中添加权限,还需要关注SELinux的问题。SELinuxGoogleandroid 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。

SELinux出现之前,Linux上的安全模型叫DAC,全称是Discretionary Access Control,翻译为自主访问控制。DAC的核心思想:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。

显然,DAC太过宽松了,应用获得的权限过多容易造成安全问题。SELinuxDAC之外,设计了一个新的安全模型,叫MACMandatory Access Control),翻译为强制访问控制。MAC的核心思想:即任何进程想在SELinux

最低0.47元/天 解锁文章
android 10.0 selinux权限冲突解决
安卓兼职framework和app工程师的博客
07-01 2528
1 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce (得到结果为Permissive) 如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。 遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破: cat /proc/kms.
Android R SELinux avc dennied权限问题解决方法
wangubuntu的专栏
10-21 1210
1.概述 在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,讲解如何根据log来快速解决90%的SELinux权限问题。 2.调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0(临时禁用掉SELinux) getenforce (得到结果为Permissive) 如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。 遇到权限问题,在logcat或...
selinux 问题集锦
chenpuo的博客
05-06 3443
out/target/product/xxx/obj/ETC/sepolicy_tests_intermediates/sepolicy_tests )" The following types on /system/ must be associated with the "system_file_type" attribute: verifyusb_exec 解决: type verifyusb, domain; type verifyusb_exec, system_file_typ...
android R的一些selinux配置经验分享
qq_27629673的博客
06-07 3165
android R的selinux配置
AI智能棋盘通过UNISOC UMS512协同基带处理器工作
最新发布
weixin_32251525的博客
11-06 910
紫光展锐UMS512通过集成4G通信本地AI推理能力,实现无需Wi-Fi的智能棋盘,支持低延迟对弈蜂窝联网,推动AIoT终端向自主智能演进。
android 解决AVC问题
点滴的岁月
11-01 2619
Android 解决avc
android property属性property_set()&& property_get() selinux权限问题
鲸小鱼的优快云私人博客
09-23 180
首先得知道,android property属性,在selinux权限下我们不管是property_set还是property_get,相关服务都是需要权限去操作的,特别是property_set, 这里就我遇到的问题为例说明下(Android 8.0): 1.开始我就设置好需要的属性名(property_set("sys.dualcamera.cali.cit", "cit");) 2.我去p...
SELinux权限问题解决方法
热门推荐
weixin_43835637的博客
01-16 1万+
前言 之前做系统应用操作设备节点的时候,出现SELinux权限问题,即SELinux Policy Exception,查看log可以看到诸如此类的提示 avc: denied { read } for name=&quot;u:object_r:serialno_prop:s0&quot; dev=&quot;tmpfs&quot; ino=11725 scontext=u:r:untrusted_app:s0:c512,c768 ...
Android O/P/Q SELinux avc dennied权限问题分析解决
weixin_39280491的博客
04-16 2385
Android O/P/Q SELinux avc dennied权限问题分析解决1.概述2.确认SELinux问题3.案例分析案例1案例2案例3案例44.万能公式5.归纳6.第三方进程改新增全新的te文件并赋予权限6.1新设备节点增加访问权限6.2新文件/目录增加访问权限 1.概述 Android SELinux是Google从android L 开始,强制引入的一套非常严格的权限管理机制,主...
Android 9.0 SELinux avc dennied权限问题解决方法
wq892373445的博客
09-15 1982
概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,可先执行: setenforce 0 (临时禁用掉SELinux) getenforce (得到结果为.
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 9192
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
Linux文件权限chmod命令使用说明
一颗开花的术
11-02 474
chmod用于修改文件权限 命令格式:chmod 权限 文件 如:chmod 777 /home/user/aaa/test 常用的linux文件权限: 444 r–r--r– 600 rw------- 644 rw-r–r-- 666 rw-rw-rw- 700 rwx------ 744 rwxr–r-- 755 rwxr-xr-x 777 rwxrwxrwx 从左至右,1-3位代表文件所有...
解决Android SeLinux权限问题
qq_40896477的博客
08-17 1400
解决Android SeLinux权限问题1. 确认 seLinux导致权限问题1.1 标志性log 格式:1.2 举例:1.3 方法1:adb在线修改1.4 方法2: 从kernel中彻底关闭 (用于开机初始化时的seLinux权限问题,要重编bootimage)2. 在sepolicy中添加相应权限2.1 修改依据:2.2 修改步骤:2.3 按如下格式在该文件中添加:2.4 举例3. 添加权限后的neverallowed冲突3.1 编译报错:3.2 原因:3.3 解决方法:3.4 举例 转自:https
selinux权限问题
明朗晨光的专栏
10-24 6818
adb修改selinux Enforcing(表示已打开),Permissive(表示已关闭) getenforce; //获取当前selinux状态 setenforce 1; //打开selinux setenforce 0; //关闭selinux 从kernel中彻底关闭 修改/linux/android/kernel/arch/arm64/configs/xxx_defconf...
Android 11 添加Service服务SELinux问题
我其实什么都不会
06-29 9130
d
RK android11违反了neverallow如何避开
m0_71008721的博客
07-05 701
其他的就是 和prebuilts/api/30.0/private/system_app.te不同类似的,直接copy复制就好。添加allow system_app serialno_prop:file read 违反了neverallow。目录system/sepolicy。
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题解决
weixin_45494251的博客
03-14 2545
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
android 9 SELiunx权限添加
qq_34694875的博客
05-07 1384
SELiunx的Liunx系统的安全策略,具体内容这里就不讲解了,网上资料很多。 android系统项目开发中需要对设备节点文件读写操作,遇到如下错误 根据log可以看出源类型system_server,目标类型sysfs,访问类别file,缺少权限write,然后就在源码对应位置添加相应权限android 9 的SELiunx的源码目录在system/sepolicy,根据源目录s...
修改sepolicy后编译出现‘Error while expanding policy’
Do Better Every Day
07-21 9204
在系统中添加某个“*.te”后,可能会出现下面的错误: libsepol.report_failure: neverallow on line 263 of system/sepolicy/domain.te (or line 9133 of policy.conf) violated by allow xx device:chr_file { read write open }; libsep
深入解析SELinux:源码分析安全机制
强制访问控制则解决了这个问题,它限制了程序的权限,使其只能执行特定的任务,即使被攻击,造成的损害也是有限的。SELinux就是这样的一个系统,它在Linux内核中实施MAC,同时引入了RBAC的元素,使得权限分配更加...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值