SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决

已于 2024-03-14 11:41:00 修改
阅读量2.2k 收藏 23
点赞数 8
CC 4.0 BY-SA版权
文章标签: android linux
于 2024-03-14 11:32:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45494251/article/details/136702862
博客围绕Android Qcom平台展开,介绍了权限修改方法,如根据avc: denied提示在相应.te文件添加权限公式。还提及项目增加权限时编译出现Neverallow和Differ问题的解决办法,以及优化开机时间、解决开机时avc: denied问题的权限修复方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一,

avc: denied { read } for name=“present” dev=“sysfs” ino=42693 scontext=u:r:hal_health_default:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=1
denied {xxx}: 表示缺少什么权限
scontext:表示谁缺少权限
tcontext:表示对那些文件缺少权限:
tclass:表示什么文件类型缺少权限
修改公式如下:
通常需要在${scontext}.te添加 allow scontext tcontext:tclass denied
带入内容:修改hal_health_default.te
allow hal_health_default sysfs:fie { read };
allow hal_health_default sysfs:fie { open};

二,

本项目Qcom平台因项目需要增加权限:

在system_app.te增加权限:allow system_app vendor_file:file r_file_perms;

在device/qcom/sepolicy/...目录下增加权限:allow system_app adsprpcd_file:dir r_dir_perms; 

编译sepolicy,出现Neverallow问题:

在system_app.te 增加:allow system_app vendor_file:file r_file_perms;

编译出现Neverallow问题,则要在domain.te文件中修改:

full_treble_only(`
  # Do not allow system components access to /vendor files except for the
  # ones whitelisted here.
  neverallow {
    coredomain
  +  -appdomain
    # TODO(b/37168747): clean up fwk access to /vendor
    -crash_dump
    -init # starts vendor executables
    -kernel # loads /vendor/firmware
    userdebug_or_eng(`-perfprofd')
    userdebug_or_eng(`-heapprofd')
    -shell
    -system_executes_vendor_violators
    -ueventd # reads /vendor/ueventd.rc
    -cust_diag
    -deviceinfod
  } {
    vendor_file_type
    -same_process_hal_file
    -vendor_app_file
    -vendor_configs_file
    -vendor_framework_file
    -vendor_idc_file
    -vendor_keychars_file
    -vendor_keylayout_file
    -vendor_overlay_file
    -vendor_public_lib_file
    -vendor_task_profiles_file
    -vndk_sp_file
  }:file *;
')

编译出现类似如下Differ问题:

build out/target/product/qcs605/obj/etc/sepolicy_freeze_test_intermediates/sepolicy_freeze_test
FAILED: out/target/product/qcs605/obj/etc/sepolicy_freeze_test_intermediates/sepolicy_freeze_test 
/bin/bash -c "(diff -rq system/sepolicy/prebuilts/api/29.0/public system/sepolicy/public ) && (diff -rq system/sepolicy/prebuilts/api/29.0/private system/sepolicy/private ) && (touch out/target/product/qcs605/obj/etc/sepolicy_freeze_test_intermediates/sepolicy_freeze_test )"
Files system/sepolicy/prebuilts/api/29.0/public/app.te and system/sepolicy/public/app.te differ

意思是

system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致

另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件

三,

本项目Qcom平台,优化开机时间加快,可疑解决开机时的avc: denied:

avc: denied { getattr } for comm="init" name="/" dev="mmcblk0p24" ino=1 scontext=u:r:init:s0 tcontext=u:object_r:firmware_file:s0 tclass=filesystem permissive=0
avc: denied { getattr } for comm="init" name="/" dev="mmcblk0p24" ino=1 scontext=u:r:init:s0 tcontext=u:object_r:firmware_file:s0 tclass=filesystem permissive=0
avc: denied { getattr } for comm="init" name="/" dev="mmcblk0p42" ino=1 scontext=u:r:init:s0 tcontext=u:object_r:bt_firmware_file:s0 tclass=filesystem permissive=0
avc: denied { getattr } for comm="init" name="/" dev="mmcblk0p42" ino=1 scontext=u:r:init:s0 tcontext=u:object_r:bt_firmware_file:s0 tclass=filesystem permissive=0
avc: denied { create } for comm="init" name="ipa" scontext=u:r:vendor_init:s0 tcontext=u:object_r:ipa_dev:s0 tclass=file permissive=0
avc: denied { create } for comm="init" name="ipa" scontext=u:r:vendor_init:s0 tcontext=u:object_r:ipa_dev:s0 tclass=file permissive=0
avc: denied { write } for comm="init" name="read_ahead_kb" dev="sysfs" ino=61946 scontext=u:r:init:s0 tcontext=u:object_r:sysfs_mmc_host:s0 tclass=file permissive=0
avc: denied { write } for comm="init" name="read_ahead_kb" dev="sysfs" ino=61946 scontext=u:r:init:s0 tcontext=u:object_r:sysfs_mmc_host:s0 tclass=file permissive=0
avc: denied { read } for comm="android.hardwar" name="u:object_r:sensors_prop:s0" dev="tmpfs" ino=19850 scontext=u:r:hal_sensors_default:s0 tcontext=u:object_r:sensors_prop:s0 tclass=file permissive=0 duplicate messages suppressed
avc: denied { read } for comm="system_server" name="hctosys" dev="sysfs" ino=49065 scontext=u:r:system_server:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
avc: denied { read } for comm="system_server" name="hctosys" dev="sysfs" ino=49065 scontext=u:r:system_server:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
avc: denied { read } for comm="system_server" name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=19881 scontext=u:r:system_server:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0
avc: denied { read } for comm="system_server" name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=19881 scontext=u:r:system_server:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0
avc: denied { read execute } for comm="webview_zygote" path="/system/bin/app_process64" dev="dm-0" ino=494 scontext=u:r:webview_zygote:s0 tcontext=u:object_r:zygote_exec:s0 tclass=file permissive=0
avc: denied { read execute } for comm="webview_zygote" path="/system/bin/app_process64" dev="dm-0" ino=494 scontext=u:r:webview_zygote:s0 tcontext=u:object_r:zygote_exec:s0 tclass=file permissive=0
avc: denied { read } for comm="ndroid.systemui" name="u:object_r:vendor_display_notch_prop:s0" dev="tmpfs" ino=19882 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:vendor_display_notch_prop:s0 tclass=file permissive=0 app=com.android.systemui
avc: denied { read } for comm="ndroid.systemui" name="u:object_r:vendor_display_notch_prop:s0" dev="tmpfs" ino=19882 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:vendor_display_notch_prop:s0 tclass=file permissive=0 app=com.android.systemui duplicate messages suppressed
avc: denied { read } for comm="sensors@2.0-ser" name="u:object_r:sensors_prop:s0" dev="tmpfs" ino=19850 scontext=u:r:hal_sensors_default:s0 tcontext=u:object_r:sensors_prop:s0 tclass=file permissive=0
avc: denied { search } for comm="perf@2.1-servic" name="proc" dev="sysfs" ino=43800 scontext=u:r:hal_perf_default:s0 tcontext=u:object_r:sysfs_kgsl_proc:s0 tclass=dir permissive=0
avc: denied { read } for comm="WLCServiceHandl" name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=19881 scontext=u:r:system_app:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0
avc: denied { read } for comm="WLCServiceHandl" name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=19881 scontext=u:r:system_app:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0 duplicate messages suppressed
avc: denied { syslog_read } for comm="dmesg" scontext=u:r:shell:s0 tcontext=u:r:kernel:s0 tclass=system permissive=0
avc: denied { syslog_read } for comm="dmesg" scontext=u:r:shell:s0 tcontext=u:r:kernel:s0 tclass=system permissive=0
avc: denied { read } for comm="WLCServiceHandl" name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=19881 scontext=u:r:system_app:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0
avc: denied { read } for comm="WLCServiceHandl" name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=19881 scontext=u:r:system_app:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0 duplicate messages suppressed
avc: denied { syslog_read } for comm="dmesg" scontext=u:r:shell:s0 tcontext=u:r:kernel:s0 tclass=system permissive=0
avc: denied { syslog_read } for comm="dmesg" scontext=u:r:shell:s0 tcontext=u:r:kernel:s0 tclass=system permissive=0
avc: denied { read } for comm="WLCServiceHandl" name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=19881 scontext=u:r:system_app:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0

修复,增加权限:

allow init firmware_file:filesystem { getattr };
allow init bt_firmware_file:filesystem { getattr };
allow init sysfs_mmc_host:file { write };
allow vendor_init ipa_dev:file { create };
allow system_server sysfs:file { read };
allow system_server vendor_default_prop:file { read };
allow system_app vendor_default_prop:file { read };
allow platform_app vendor_display_notch_prop:file { read };
allow webview_zygote zygote_exec:file { read execute };
allow shell kernel:system { syslog_read };
在device/qcom/sepolicy/....增加:
allow hal_sensors_default sensors_prop:file { read };
allow hal_perf_default sysfs_kgsl_proc:dir { search };

Android SELinux——neverallow问题处理(十六)
小旭的专栏
10-22 1896
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统对 SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反neverallow 规则,编译时候会报 neverallow 相关的错误。
SELinux解决avc denied
m0_46211029的博客
03-28 5399
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是 Linux 的一个安全子系统。SELinux 主要作用是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。对资源的访问控制分为两类: DACMAC SELinux工作模式 SELinux 有三种工作模式,分别为: enforcing: 强制模式, 执行SELinux规则, 违反的行为会被阻...
selinuxavc denied权限编译neverallow 解决方案
最新发布
u010823818的博客
06-06 944
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/app.te,找到我们添加的部分,搜索“apk_data_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
android selinuxavc denied权限编译neverallow解决方案
Venus 的博客
07-06 1684
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
Venus 的博客
03-11 1215
翻译是不允许除coredomain之外的域访问除vendor_file_typevendor_init的init_exec之外的任何内容的入口点,也就是说coredomain之外的域只能访问vendor_file_typevendor_init的init_exec,白话的意思是vendor_file_typeinit_exec不受规则影响。再说一嘴,网上的文章真是千篇一律,感觉都是一个版本抄袭出来,例子都一摸一样的,不知道有没有验证就发出来,希望大家都能把博客写好,给人以便利,给自己以价值。
SElinux avc dennied权限问题解决方法
Y在想什麽的博客
09-26 1551
SElinux avc权限不足问题:1.编译debug版本.2.抓log:adb shell --> dmesg | grep avc3.补充相对应的.te文件;.te文件也可以自己写,要先去system/sepolicy/file_contexts文件下声明;总体原则就是缺什么权限就补什么权限!!!
增加SELinux编译报错neverallow check failed
万般皆下品,唯有读书高~
01-27 1389
Android, SELinux配置
设置SELinux 策略规则 ? 在Kernel Log 中出现"avc: denied" 要如何处理?
sky_brian的专栏
11-15 7741
正所谓软件出错不可怕,出错不报错就可怕了。只要看到日志中有报错信息都是有迹可循的。 继android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc:  denied" 或者"avc: denied" 1.问题现象:
SELinux 权限问题
Jothangan的专栏
04-28 2570
如何使用adb修改SELinux权限,如何通过日志获悉缺失的SELinux权限并自定义安全策略文件
selinux权限问题
weixin_34119545的博客
10-11 164
SELinux 权限设置 2010-10-05 17:24:17|分类: 信息技术 |字号订阅 一、SELinux简介 SELinux 全称是Security Enhanced Li...
SElinux权限问题
weixin_50268209的博客
05-23 169
selinux权限问题log,从logcat中搜关键字 “ avc ”查看缺了什么权限,缺啥补啥。
Android SElinux权限添加,NeverAllow,未生效等全解(超详细)
zhhxlj的博客
01-30 4228
我以我自己的方式来理解SELinuxSELinux有如下四个重要参数:操作权限想要使用改操作的对象类型操作的原始拥有者操作要操作的文件类型首先我们需要确定当前我们所操作的文件的类型。比如我们需要操作的是/sys/class/leds/brightness文件。我们可以到当前目录下运行“ls -Z”结果如下:我们可以去system/sepolicy/ 或者device/*/sepolicy 目录下检索关键字“u:object_r:device:s0”
SELinux 权限问题调试
marshal_zsx的博客
12-28 3230
1.概述  SELinux全称是Security Enhanced Linux,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,可防御未知攻击2.问题定位  通过指令cat /proc/kmsg | grep denied,或者kernelLog中定位到标志性log(如:logcat |grep avc),出错信息如下所示:avc: denied { cr
SELinux】总结之策略规则&语法&报错解决
Philister的博客
09-27 7368
SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥(哈希key)4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别许可相关写法5.1 类别
Android11 SELinux 添加权限后不生效
kevin's cache的专栏
04-12 861
发现需要确实是Android 11 platform_app 缺少mlstrustedobject。Android 11上需要对一个节点进行写操作,但是添加了Selinux以后还是报错。但是因为要过cts,不能直接修改platform_app的type。修改yft_temperature_file即可。软件平台:Android11。硬件平台:QCS6125。加了权限还是一直报avc
SeLinux权限问题分析(未完)
zyfzhangyafei的专栏
07-29 697
查看当前目录下的文件或目录的权限:ps -Zu:object_r:system_data_file:s0 system adb shell 之后执行setenforce 0可以暂时去除sepolicy权限 (不用重启机器,而且重启之后权限又恢复成原来的了)usage: setenforce [ Enforcing | Permissive | 1 | 0 ]setenforce 0 设
selinux权限
weixin_43899302的博客
08-19 2023
selinux
安卓报错type=1400 audit(0.0:725): avc: denied i ioctl fr path="socket: 173962)" dey="sockfs" ino=173962 ioctlcmd=fsconttype=1400 audit(0.0:726): ac: denied { nlmsg_write ) for scontext=u:r:system-app:s0 tcontext=u:r:system -app:sitclass=ntype=1400 audit(0.0:727): avc: denied { create } for scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tccan
06-13
这个错误是 Android 系统的安全机制(SELinux)拒绝了某些应用程序的操作。具体来说,应用程序尝试执行一些需要特殊权限的操作,但被 SELinux 拒绝了。解决方法可以尝试关闭 SELinux 或者提供相应的权限。但是具体的解决方法需要根据具体情况进行分析。建议您提供更详细的错误信息,例如应用程序的名称、操作系统版本等,以便更好地解决问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值