关于高通平台SELINUX权限问题

最新推荐文章于 2025-06-25 14:48:28 发布
原创 最新推荐文章于 2025-06-25 14:48:28 发布 · 837 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析SELinux中的一条典型拒绝写操作的日志记录,详细解释了avc、denied、write等关键字的含义,以及如何通过修改SELinux策略允许特定的写操作。涉及到SELinux的上下文、权限和策略文件路径。

举例:type=1400 audit(1358758415.820:7): avc: denied { write } for pid=1229 comm="sh" name="relay" dev="proc" ino=4026533065 scontext=u:r:shell:s0 tcontext=u:object_r:proc:s0 tclass=file permissive=0

语法:allow shell proc:file write;

如有多个:allow shell proc:file {open write};

若有neverallow:neverallow {appdomain -shell}

                                 proc:dir_file_class_set write;

路径:system/sepolicy/

          device/qcom/sepolicy/common/

Android SElinux 权限
m0_49786098的博客
10-22 1220
有关添加Android SElinux 权限------proc 文件系统 sys文件系统一,SElinux是什么,如何分析此类问题二,添加selinux权限--基于高通平台演示1,基于proc下出现selinux权限问题2,基于sys下出现selinux权限问题三,实际log分析 温馨提示 此文章参考[Android L]SEAndroid开放设备文件结点权限(读或写)方法(涵盖常用操作:sys/xxx、proc/xxx、SystemProperties)热门干货。有不对的地方请各位指出。 一,SEl
Android SELinux avc dennied权限问题解决方法
热门推荐
缥缈孤鸿影的专栏
05-25 9万+
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具
高通Selinux权限规则
郑敏
05-31 593
权限规则,另外不要忘记,/system/sepolicy/prebuilts/api/32.0/private/system_server.te也要添加同样信息,否则编译报错。切记一定要同步,包括添加位置要一模一样,报错信息日志 如下图所示(不知道avc权限控制是什么东西,请看这篇文章。4、翻译上面dmesg avc报错修改如下所示。参考第4点,报错信息如下所示。1、背景:原因是因为这张图。6、修改之后进行编译验证。
高通平台中为一个server添加SELinux权限
TNT的博客
04-03 1670
假设我们在Android平台中实现了一个server,编译生成的应用程序位于/vendor/bin/testfd.下面为这个应用程序添加selinx权限。 1.在devices/qcom/sepolicy/vendor/common/目录下新建一个testfd.te文件,这个文件将用来添加testfd这个应用程序的权限。 2.将testfd.te这个文件加入到devices/qcom/sepoli...
Android SELinux 权限问题及解决方法
最新发布
yishan34的博客
06-25 641
selinux 解决方法。
Android高通8.1 Selinux问题
郑敏
08-12 1004
然后请教了一下某aosp大佬,于是他们这个就是selinux权限问题,加上就ok,顺着这个思路我去system/sepolicy/private/目前去找 这个里面有很多te文件比如nfcte,initte,于是我看着上面日志也有init,然后。根据某个网友回答你可能要拿user debug去验证下 avc一些相关权限,其实我也描述不是很清楚,反正就是需要添加类似于android一样权限,比如像android 读写权限 等等,有需要了解可以自己百度去查下哈,这里不再赘述。7、 于是在adb 下面执行。
高通Android Q编译selinux,并push
wangjicong_215的博客
08-10 1584
修改在: 编译,通过./build.sh dist -j32 --target_only push adb push out/xxxx/vendor/etc/selinux /vendor/etc
SELinux for Android 8.0 中文版
05-04
Android4.4到Android7.0,SELinux策略的构建流程是将所有的策略(平台和非平台)合并在一起,最后将合并生成的文件统一放在root目录下(即boot.img)。但这种方式有悖于Android 8.0的预定设计目标;Android8.0设计的初衷是允许合作方可以独立的更新他们自有的策略,即在Android8.0之后Google允许合作方将自有的策略部分与系统原有的进行分离,如合作方可以将自有的部分解耦到vendor.img分区中,在需要更新的情况下只需更新vendor部分即可实现
详解Android Selinux 权限问题
08-28
Google原生的策略文件位于external/sepolicy,而厂家目录通常位于高通平台下的alps\device\mediatek目录中。在编译过程中,厂家的策略文件会合并到Google原生的策略文件中。 当SELinux策略阻止了某些操作时,通常...
[SDM660 Android9.0]selinux权限
但行前路 无问西东
05-20 623
1.apk控制gpio init.qcom.rc里给该io 666权限 也不能操控 操控报错 应用层 5244 5244 W ing.aliveDetect: type=1400 audit(0.0:183): avc: denied { write } for name="value" dev="sysfs" ino=50119 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:sysfs:s0 tclass=file perm
SELinux文件访问安全策略和app权限配置
lmpt90的专栏
06-13 2545
原文地址:https://www.zybuluo.com/guhuizaifeiyang/note/772144 基于android6.0版本的SELinux文件访问安全策略 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传...
【安卓SELinux权限SELinux走过的坑
qq_23542165的博客
06-04 1625
SELinux走过的坑 linux通过UID/GID机制对权限进行管理,将文件的权限划分为读、写和执行三种,分别用字母r、w和x表示。每一个文件有三组读、写和执行权限,分别是针对“文件的所有者”、“文件所有者所属的组”以及其它用户。 在linux系统中,我们想完全操作某个文件,只需要执行sudo chmod 777 filename 即可。这表示root用户拥有无限大的权限,可以操作系统中的任何文件。 所以在安卓系统中,引入了SELinux用以提升系统安全性。 一、常用命令 SELinux模式有三种,E
selinux [转发]
碧海湾
03-03 309
一,SElinux是什么,如何分析此类问题 定义:SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制机制。它主要整合在 Linux 内核当中,是针对特定的进程与指定的文件资源进行权限控制的系统。主要是增强传统 Linux 操作系统的安全性,并解决传统 Linux 系统中自主访问控制(DAC)系统中的各种权限问题(如 root 权限过高等)。 分析此类问题selinux三种状态 强制模式 宽容模式 关闭模式 Enforcing:强制模式。代表S
SElinux 基础配置 基础语法
03-11 7657
这个真的是网络好好多文章了, 我也很多都是四处转载总结的,然后就是自己再添加和修改了一些。 http://blog.csdn.net/myarrow/article/details/10105961 这个也就很详细KK Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: “avc: den
Android 5.x 权限问题解决方法
u013952558的专栏
03-16 1万+
Android 5.x 权限问题解决方法               一、  android 5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avc denied困扰。   本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。  遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺
Android Selinux详解[一]---整体介绍
weixin_41028555的博客
03-07 3323
Android 使用安全增强型 Linux (SELinux) 对所有进程强制执行强制访问控制 (MAC),甚至包括以 Root/超级用户权限运行的进程(Linux 功能)。借助 SELinux,Android 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。ELinux 按照默认拒绝的原则运行:任何未经明确允许的行为都会被拒绝。下面大概介绍一下工作中经常遇到的Selinux相关知识。
高通android裁剪城Linux,高通平台上新增一个分区
weixin_33586594的博客
05-15 509
客户有个需求,需要增加一个100m大小的分区,用来存放客户预置的资料,并且不能被恢复出厂设置删除。针对这个需求,客户的资料肯定不能放在原有的分区里面,新增的分区,也不能挂载到原有的分区目录下,否则恢复出厂设置时,一定会被清空。这么看来,就只能在系统根目录下,新建个文件夹,并将客户分区,挂载到这个根目录上才行。因为我们用的是android9.0,在这套代码上,会有很多的权限限制,如果没有配置对,会导...
基于Android13的系统启动流程分析(一)之SeLinux权限介绍
q1210249579的博客
01-11 5634
SeLinux,SeAndroid,init进程启动
高通SEPOLICY 增加Linux权限
06-10
### 高通 SEPOLICY 中增加 Linux 权限的具体步骤 在高通设备的 SEPOLICY 中增加 Linux 权限时,需要遵循以下专业方法和步骤来确保权限正确添加并验证其有效性。以下是详细说明: #### 1. 添加 SELinux 策略文件 将汇顶提供的 SELinux 文件集成到高通设备的策略路径中,具体路径为 `device/qcom/sepolicy/msm8996/`。确保使用 `audit2allow` 工具生成遗漏的策略,并将其添加到现有策略文件中。例如,添加如下策略以允许指纹模块访问固件和 ION 设备: ```plaintext # 允许访问固件 allow gx_fpd firmware_file:dir r_dir_perms; allow gx_fpd firmware_file:file r_file_perms; # 允许访问 ION 设备 allow gx_fpd ion_device:chr_file r_file_perms; ``` 这些规则定义了指纹模块(`gx_fpd`)对固件文件和 ION 设备的读取权限[^1]。 #### 2. 修改 init 脚本 如果需要在系统启动时运行特定服务(如 `copy_apps.sh`),需要修改 `init.target.rc` 文件。在路径 `device/qcom/msm8953_64/init.target.rc` 中添加以下内容: ```plaintext service copy_apps /system/bin/sh /system/bin/copy_apps.sh class core user root group root disable oneshot seclabel u:r:copy_apps:s0 # 在系统启动完成后启动该服务 on property:sys.boot_completed=1 start copy_apps ``` 此配置确保服务具有正确的 SELinux 标签(`u:r:copy_apps:s0`),并在系统启动完成后执行一次[^4]。 #### 3. 构建和测试 SEPOLICY 构建 SEPOLICY 并验证其是否符合要求。执行以下命令以完成构建和测试过程: ```bash source build/envsetup.sh lunch xxxx-userdebug make sepolicy make sepolicy-tests ``` 这些命令会重新生成 SEPOLICY 文件并运行测试以确保新增权限未导致冲突或错误[^2]。 #### 4. 启用 SSH 和调试模式 为了安全地访问主机设备并调试 SEPOLICY,必须在宽松模式下启用 SSH。按照《高通 Linux 构建指南》中的说明操作,确保能够通过 SSH 连接到设备并验证 TEE 和安全软件的启动状态[^3]。 #### 5. 验证权限有效性 在设备上运行相关服务或应用程序,检查日志输出以确认新增权限是否生效。如果仍有拒绝访问的日志记录,可以使用 `audit2allow` 工具生成额外的策略规则并重复上述步骤。 --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值