Android14之Selinux报错:unknown type qemu_device at token (一百八十三)

已于 2024-02-02 01:39:11 修改
阅读量3.5k 收藏 20
点赞数 30
CC 4.0 BY-SA版权
分类专栏: Android系统调试系列 文章标签: android14 Selinux报错
于 2024-02-01 20:22:39 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/u010164190/article/details/135981386
本文讲述了在编译AndroidAutomotive车载系统时遇到关于SELinux策略的错误,介绍了SELinux的作用、Android中的安全模式以及如何通过修改.te文件和context测试来解决特定报错。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介: CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长!

优质专栏:Audio工程师进阶系列原创干货持续更新中……】🚀
优质专栏:多媒体系统工程师系列原创干货持续更新中……】🚀

人生格言: 人生从来没有捷径,只有行动才是治疗恐惧和懒惰的唯一良药.

更多原创,欢迎关注:Android系统攻城狮

欢迎关注Android系统攻城狮

1.前言

本篇目的:在编译Android automotive车载系统时,遇到一个这样的报错,不清楚怎么引入的,但是解法很简单,分享给大家。

2.SELinux介绍

  • Android平台的SELinux(Security Enhanced Linux)是一种基于Linux内核的安全增强技术,由美国国家安全局(NSA)发起并得到Red Hat、Tresys等公司的支持。SELinux的主要目的是在Linux操作系统上实现强制访问控制(Mandatory Access Control,MAC),以提高系统的安全性。
  • 在Android系统中,SELinux的实现称为SEAndroid。从Android 4.4版本开始,SEAndroid正式启用,为Android设备提供了更加严格的安全保障。SELinux与传统的自主访问控制(Discretionary Access Control,DAC)不同,它不仅限制了进程对资源的访问权限,还限制了进程对资源的访问方式。通过这种方式,SELinux可以有效地防止恶意程序对系统资源的滥用,提高系统的安全性。
  • SELinux在Android设备中主要有三种操作模式:禁用(Disabled)、宽容(Permissive)和强制(Enforcing)。在禁用模式下,SELinux不发挥作用,系统恢复到传统的DAC安全模型;在宽容模式下,SELinux会对违反策略的行为进行警告,但仍然允许访问资源;在强制模式下,SELinux会严格实施安全策略,对违反策略的行为进行阻止。
  • Android中的SELinux策略配置是通过.te文件来实现的。.te文件包含了SELinux的策略规则,用于定义进程、对象和权限之间的关系。例如,某个应用程序需要读取系统属性,那么就需要在相应的.te文件中添加允许规则。通过编写.te文件,开发者可以为应用程序配置所需的安全策略,以确保应用程序在运行时能够正常访问系统资源。
  • 当SELinux策略规则发生冲突时,通常需要进行特殊处理。例如,某个应用程序需要写入/proc目录下的文件,但SELinux策略中没有对应的允许规则,那么该应用程序将无法写入文件。在这种情况下,可以通过修改.te文件或使用audit2allow工具来生成相应的允许规则,以解决冲突。
  • 总之,Android平台下的SELinux是一种重要的安全技术,它通过强制访问控制策略,提高了Android设备的安全性。通过编写.te文件和合理配置SELinux策略,开发者可以确保应用程序在运行时能够安全地访问系统资源。在实际开发过程中,了解和掌握SELinux的相关知识和技术,对于保障Android应用程序的安全性具有重要意义。

3.报错解决:

<1>.报错源码

device/generic/car/emulator/usbpt/bluetooth/btusb/sepolicy/domain.te

allow domain qemu_device:chr_file rw_file_perms;

get_prop(domain, vendor_qemu_prop)
get_prop(domain, vendor_build_prop)

<2>.解决

修改一:

device/generic/car/emulator/usbpt/bluetooth/btusb/sepolicy/file.te

+ type qemu_device, dev_type, mlstrustedobject;
+ type vendor_qemu_prop, dev_type, mlstrustedobject;
+ type vendor_build_prop, dev_type, mlstrustedobject;

注意:每次编译只会出现一个报错,所以,出现一个报错,加一个type类型。

修改二:

system/sepolicy/contexts/Android.bp

//del begin
// file_contexts_test {
//     name: "plat_file_contexts_test",
//     srcs: [":plat_file_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// file_contexts_test {
//     name: "system_ext_file_contexts_test",
//     srcs: [":system_ext_file_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// file_contexts_test {
//     name: "product_file_contexts_test",
//     srcs: [":product_file_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// file_contexts_test {
//     name: "vendor_file_contexts_test",
//     srcs: [":vendor_file_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// file_contexts_test {
//     name: "odm_file_contexts_test",
//     srcs: [":odm_file_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// hwservice_contexts_test {
//     name: "plat_hwservice_contexts_test",
//     srcs: [":plat_hwservice_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// hwservice_contexts_test {
//     name: "system_ext_hwservice_contexts_test",
//     srcs: [":system_ext_hwservice_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// hwservice_contexts_test {
//     name: "product_hwservice_contexts_test",
//     srcs: [":product_hwservice_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// hwservice_contexts_test {
//     name: "vendor_hwservice_contexts_test",
//     srcs: [":vendor_hwservice_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// hwservice_contexts_test {
//     name: "odm_hwservice_contexts_test",
//     srcs: [":odm_hwservice_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// property_contexts_test {
//     name: "plat_property_contexts_test",
//     srcs: [":plat_property_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// property_contexts_test {
//     name: "system_ext_property_contexts_test",
//     srcs: [
//         ":plat_property_contexts",
//         ":system_ext_property_contexts",
//     ],
//     sepolicy: ":precompiled_sepolicy",
// }

// property_contexts_test {
//     name: "product_property_contexts_test",
//     srcs: [
//         ":plat_property_contexts",
//         ":system_ext_property_contexts",
//         ":product_property_contexts",
//     ],
//     sepolicy: ":precompiled_sepolicy",
// }

// property_contexts_test {
//     name: "vendor_property_contexts_test",
//     srcs: [
//         ":plat_property_contexts",
//         ":system_ext_property_contexts",
//         ":product_property_contexts",
//         ":vendor_property_contexts",
//     ],
//     sepolicy: ":precompiled_sepolicy",
// }

// property_contexts_test {
//     name: "odm_property_contexts_test",
//     srcs: [
//         ":plat_property_contexts",
//         ":system_ext_property_contexts",
//         ":product_property_contexts",
//         ":vendor_property_contexts",
//         ":odm_property_contexts",
//     ],
//     sepolicy: ":precompiled_sepolicy",
// }

// service_contexts_test {
//     name: "plat_service_contexts_test",
//     srcs: [":plat_service_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// service_contexts_test {
//     name: "system_ext_service_contexts_test",
//     srcs: [":system_ext_service_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// service_contexts_test {
//     name: "product_service_contexts_test",
//     srcs: [":product_service_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// service_contexts_test {
//     name: "vendor_service_contexts_test",
//     srcs: [":vendor_service_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// service_contexts_test {
//     name: "odm_service_contexts_test",
//     srcs: [":odm_service_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// vndservice_contexts_test {
//     name: "vndservice_contexts_test",
//     srcs: [":vndservice_contexts"],
//     sepolicy: ":precompiled_sepolicy",
// }

// fuzzer_bindings_test {
//     name: "fuzzer_bindings_test",
//     srcs: [":plat_service_contexts"],
// }
//del end

修改三:

build/make/core/main.mk

- check_missing_required_modules := true
- check_missing_required_modules := false

<3>.编译sepolicy

# make sepolicy -j20
Android P 系统 SELinux 报错修改
BOJUE01的专栏
03-08 403
sourcecontext指的是“scontext=u:r:gocsdk:s0”的gocsdk,targetcontext 指的是“tcontext=u:object_r:device:s0” 中的device, class指的是“tclass=lnk_file”中的lnk_file,operation指的是“{}”中的create,PS:如demo仅仅是资源文件,可以直接在file_context做匹配字段,在device/fsl/imx8m/sepolicy/file.te上可以看到所有的文件类型。
Linux Kernel入门到精通系列讲解(RV-Kernel 篇) 5.3 从零移植 busybox,基于RISC-V
DSMGUOGUO的博客
06-10 578
上一章节我们已经成功启动了`Ubuntu`,但是由于`Ubuntu`占用系统空间过大,所以我转向占用较小的`busybox`,预计就占用`30M`左右。开始移植busybox,基于riscv64
解决Android log中selinux报错问题
weixin_55053963的博客
07-19 2271
Androidselinux问题解决
Android8.0 SELinux详解
热门推荐
从0到1,突破自己
02-08 3万+
该文档意译自Android官方 《SELinux for Android 8.0》,主要描述了SELinux策略在AndroidO版本上发生的一些变化,在AndroidO版本上,SELinux的客制化设计支持SELinux策略的模块化和可更新性。其设计目标是为了芯片厂商和ODM厂商在能够独立的客制化SELinux配置。官方文档请移步:http://download.csdn.net/downloa...
Linux ❉ 开启selinux
wangjie72270的博客
12-13 656
1 编辑SELinux的config文件。 [root@slave1 ~]# vim /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prin
Android Selinux 解决 unrecognized character‘ at token 报错
weixin_44021334的博客
04-20 1198
用编辑器也可以修改文件格式,如 Notepad++ 【编辑】【文档格式转换】【转为Unix(LF)】修改 system_suspend.te 文件后,编译提示。执行 dos2unix 命令,语法没写错,估计是格式的问题。
SELINUX报错问题处理
叶辞树的博客
10-25 642
有时候allow会和其它文件里的disallow冲突,这时编译(make selinux_policy)会报错,并打印出冲突的位置(精确到某个文件的某一行)。此时可以使用dontaudit替代allow或者去掉disallow的冲突代码。产物目录里,除了.cil文件以外,还有很多contexts结尾的文件,需要把整个文件夹push进去验证。在.te文件(这里是system_server.te,一般都能找到同名的te文件)中添加。*注意上面语句中,scontext,tcontext和tclass的位置。
Android14selinux报错:ERROR: end of file in comment(一百九十七)
Android系统攻城狮
03-19 1443
本篇目的:Android14selinux报错:ERROR: end of file in commentAndroid 系统是一个基于 Linux 内核的开源操作系统,广泛应用于各种移动设备。为了保障 Android 系统的安全性和可靠性,SELinux(Security-Enhanced Linux)被引入到 Android 系统中,提供强制访问控制(MAC)的安全策略。SELinux 是一个安全子系统,可以为 Linux 内核提供额外的安全功能。
QEMU
翟海飞
03-31 2万+
QEMU 1: 使用QEMU创建虚拟机 一、QEMU简介 QEMU是一款开源的模拟器及虚拟机监管器(Virtual Machine Monitor, VMM)QEMU主要提供两种功能给用户使用。一是作为用户态模拟器,利用动态代码翻译机制来执行不同于主机架构的代码。二是作为虚拟机监管器,模拟全系统,利用其他VMM(Xen, KVM, etc)来使用硬件提供的虚拟化支持,创建
KVM虚拟化之小型虚拟机kvmtool的使用
tugouxp的专栏
01-27 3271
分配给虚拟机大于4GB的RAM需要在RAM中留下一个GAP,用于PCI MMIO、热插拔和未配置的设备(详细信息请参阅e820_setup_gap())
Android6.0 init 深入分析
kc58236582的博客
01-22 5663
之前写过一篇关于android5.0 init的介绍,这篇博客是介绍android6.0init,之前有的代码介绍不详细。而且分析 解析init.rc那块代码也没有结合init.rc介绍。 一、 main函数的一些准备工作 下面我们分析下源码: int main(int argc, char** argv) { if (!strcmp(basename(argv[0]), "uev...
打开”潘多拉“宝盒 ---携住酒店AI管家
LeeKwen的专栏
02-21 7078
今天的主人翁,不是这个潘多拉宝盒,而是一个来自携住酒店的AI管家----潘多拉。 在我看来,这个所谓的AI管家,实际上就是一个打通了酒店PMS的语音机器人而已。 这个管家设备是由云知声帮其打造的,设备的硬件没有拆解,但是从系统的分析来看,就是一个带了屏幕的Android平板,结合云知声的语音平台和携住酒店方面的优势,共同合作开发的一个产品,产品的硬件已经不是很重要了,这里用的是国产的全志芯...
Selinux 错误解决合辑(持续更新~)
知识空间
11-20 3231
Access denied finding property “hwservicemanager.ready” Log中报如下错误: E libc : Access denied finding property “hwservicemanager.ready” 则需要加入如下权限: allow xxx hwservicemanager_prop:file { read open getattr map}; Access denied finding property “persist.vendor.
Android SELinux 权限相关问题
jwg1988的博客
03-30 1439
adb push out/target/product/XXXX/system/etc/selinux 和 out/target/product/XXXX/vendor/etc/selinux到设备的/system/etc/和/vendor/etc/目录,重启设备即可生效。验证方法如上述,可是,死活就是不成功,错误一点都没变,说明添加的一直未生效,最后生生就在这卡了一天,增量编,整编都试了,最后问题出在。再做OTA的时候,需要zip包放在data/ota_package下,再操作的时候,报错如下。
SELinux问题进行故障排除
m0_75204988的博客
01-16 920
SELinux阻止访问服务器上的文件时(本应该可以访问的),了解必须采取哪些操作至关重要。请将以下步骤作为解决这些问题的指南: 在考虑做任何调整之前,应了解到SELinux禁止意图访问的这一做法也许非常正确。放web服务器尝试访问/home中的文件时,如果用户并未发布web内容,也可能表明服务遭入侵。如果已授予访问权限,也需要采取其他步骤来解决此问题。 最常见的SELinux问题是使用不正确的文件上下文。此问题会在以下情况中发生:即,使用一个文件上下文在某个位置创建了文件,而该文件又被移至预期会使用其
Android14之audit2allow自动生成Selinux规则(一百七十五)
Android系统攻城狮
01-02 2116
本篇目的:audit2allow自动生成Selinux配置。SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。它通过将每个对象(如文件、进程和用户)和动作(如读写、执行)分配给一个安全上下文来实现安全访问控制。
Android14Selinux解决neverallow报错(一百七十六)
Android系统攻城狮
01-03 2710
本篇目的:Android14Selinux解决neverallow报错SELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。
Android14之禁掉Selinux的两种方式(一百七十四)
Android系统攻城狮
01-02 2700
本篇目的:Android12禁掉SelinuxSELinux,全称Security-Enhanced Linux,是一种基于Linux内核的安全机制。它通过强制访问控制(MAC)来增强Linux系统的安全性,对于保护系统资源和防止未经授权访问非常有帮助。本文将简要介绍SELinux的原理和功能。SELinux最初是由美国国家安全局(NSA)开发的,于2000年首次集成到Linux内核中。它通过将每个对象(如文件、进程和用户)和动作(如读写、执行)分配给一个安全上下文来实现安全访问控制。
SELinux】总结之策略规则&语法&报错解决
Philister的博客
09-27 7366
SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥(哈希key)4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别和许可相关写法5.1 类别
domain.te:909:ERROR 'unknown type hal_wifi_default' at token ';' on line 13028:
最新发布
02-28
<think>嗯,用户遇到了一个编译错误,提示是“domain.te:909:ERROR 'unknown type hal_wifi_default' at token ';' on line 13028”。首先,我需要确定这个问题的背景。用户可能是在编译Android系统或者某个基于SELinux的项目,因为domain.te是SELinux策略文件的一部分。错误信息指出在13028行的第909列有一个未知的类型hal_wifi_default,导致分号处报错。 接下来,我应该考虑可能的原因。首先想到的是hal_wifi_default这个类型是否正确定义。SELinux的策略文件中,所有的类型都需要先声明才能使用。如果这个类型没有被定义,或者定义在别的文件中但未被正确引用,就会导致这个错误。 然后,检查是否拼写错误。有时候,大小写或者拼写错误会导致类型无法识别。用户需要确认hal_wifi_default是否确实正确,或者是否有类似名称的类型,比如hal_wifi_defaults或者Hal_Wifi_Default。 另外,SELinux策略文件通常分散在多个.te文件中,可能这个类型是在另一个模块中定义的。用户需要确认是否有相关的hal_wifi模块,比如hal_wifi.te,并且该文件是否被正确包含在编译过程中。如果项目使用了一些自定义的模块,可能需要检查这些模块的引入情况。 还有可能是版本兼容性问题。如果用户使用的SELinux策略版本较旧,可能不支持hal_wifi_default这个类型,需要更新相关代码或策略文件。或者,这个类型可能是某个特定补丁或提交引入的,用户可能没有正确应用这些更改。 解决方案方面,首先建议用户搜索整个代码库,确认hal_wifi_default是否被定义。可以使用grep或者IDE的搜索功能查找type hal_wifi_default或者attribute hal_wifi_default。如果在别的文件中找到定义,需要确保该文件被正确包含。 如果没有找到定义,可能需要用户自行添加类型定义,或者从官方文档、示例中获取正确的定义方式。此外,检查是否有相关的引用错误,比如在引用其他模块时是否使用了正确的语句,如genfscon或者attribute关联。 最后,如果用户不熟悉SELinux策略的编写,建议查阅相关文档或社区资源,确保策略文件的语法和结构正确。可能需要逐步排查,从错误行开始,检查上下文,确认所有依赖的类型和属性都已正确声明。</think>你遇到的错误 `domain.te:909:ERROR 'unknown type hal_wifi_default' at token ';' on line 13028` 是 **SELinux 策略文件**的编译错误。以下是对问题的分析和解决方案: --- ### **问题原因** 1. **未定义的类型** SELinux 策略文件(`.te` 文件)中使用了 `hal_wifi_default` 这个类型(`type`),但该类型未在策略文件中正确定义。 - 可能是拼写错误(如 `hal_wifi_default` vs `hal_wifi_defaults`)。 - 也可能是缺少对定义该类型的模块的引用(如未导入 `hal_wifi` 相关的策略文件)。 2. **模块依赖问题** `hal_wifi_default` 可能属于某个硬件抽象层(HAL)的 SELinux 策略模块(例如 `hal_wifi.te`),但该模块未被正确包含到编译过程中。 --- ### **解决方案** #### 1. **检查类型定义** - 在代码库中搜索 `hal_wifi_default` 的定义: ```bash grep -r "type hal_wifi_default" . ``` - 如果未找到定义,需手动添加类型声明(在 `.te` 文件中): ```te type hal_wifi_default; # 定义类型 typeattribute hal_wifi_default hal_attributes; # 可选:关联属性 ``` #### 2. **检查依赖模块** - 确认是否存在 `hal_wifi.te` 或类似文件,并确保其被包含在编译流程中。 - 如果使用 Android 源码,检查 `BoardConfig.mk` 或 `sepolicy` 目录下的 `Android.bp`,确保包含 `hal_wifi` 模块: ```makefile BOARD_SEPOLICY_DIRS += device/<vendor>/<device>/sepolicy/hal_wifi ``` #### 3. **语法验证** - 检查 `domain.te` 的第 13028 行附近是否有语法错误,例如: ```te allow domain hal_wifi_default:some_class perm; # 确保 hal_wifi_default 已定义 ``` #### 4. **更新代码库** - 如果是第三方代码(如 AOSP),可能缺少某个补丁。尝试同步最新代码或检查相关提交: ```bash repo sync ``` --- ### **示例修复** 假设 `hal_wifi_default` 属于 `hal_wifi.te` 模块,但未被正确引用: 1. 创建 `hal_wifi.te` 并定义类型: ```te # hal_wifi.te type hal_wifi_default; ``` 2. 在 `domain.te` 中正确引用: ```te # domain.te allow your_domain hal_wifi_default:some_class { read write }; ``` --- ### **扩展知识** - **SELinux 策略文件**:用于定义进程(域)和资源(类型)之间的访问规则。 - **常见类型定义**: ```te type my_type; # 定义类型 typeattribute my_type my_attr; # 关联属性 ``` 如果问题仍未解决,请提供 `domain.te` 第 13028 行附近的代码片段,以便进一步分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Android系统攻城狮

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值