SELinux权限问题

原创 已于 2026-04-02 09:35:00 修改 · 1.1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#android
于 2019-11-28 15:10:14 首次发布

1、property权限问题

开发时遇到一个问题,在系统代码中调用获取prop,获取不到,报出如下权限问题

Line 3864: 11-28 10:41:45.085   819   819 W Binder:819_5: type=1400 audit(0.0:41): avc: denied { read } for name="u:object_r:vendor_hwversion_prop:s0" dev="tmpfs" ino=12664 scontext=u:r:system_server:s0 tcontext=u:object_r:vendor_hwversion_prop:s0 tclass=file permissive=0

修改如下

device\qcom\sepolicy\vendor\msm8937\system_server.te

添加获取prop权限

get_prop(system_server, vendor_hwversion_prop)

2、自定义property

Android 14以后,Android规范了property相关定义,系统默认属性分为了

system_internal_prop,system_restricted_prop,system_public_prop

vendor_internal_prop,vendor_restricted_prop,vendor_public_prop

例如:如果在vendor定义相关属性,需要在system分区使用

2.1、vendor分区

需在Vendor分区中property_contexts中添加申明

/LA.UM.9.14.1.r1/device/qcom/sepolicy_vndr/generic/vendor/common/property_contexts

比如声明my.oem.conf.开头的property

my.oem.conf.               u:object_r:my_oem_prop:s0

/LA.UM.9.14.1.r1/device/qcom/sepolicy_vndr/generic/vendor/common/property.te

vendor_public_prop(my_oem_prop);

2.2、System分区

    不需在System分区中property_contexts中再次申明,否则会出现打包报错,但是需要在property.te修改申明vendor_public_prop(my_oem_prop);

LA.QSSI.14.0.r1/system/sepolicy/public/property.te

vendor_public_prop(my_oem_prop);

3、SELINUX报错

[  148.290891] init: Command 'start vendor_diag' action=persist.ucloud.diag.enabled=1 (/vendor/etc/init/hw/init.qcom.rc:763) took 1ms and failed: Could not start service: File /system/vendor/bin/diag_socket_log(labeled "u:object_r:vendor_diag_exec:s0") has incorrect label or no domain transition from u:r:init:s0 to another SELinux domain defined. Have you configured your service correctly? https://source.android.com/security/selinux/device-policy#label_new_services_and_address_denials. Note: this error shows up even in permissive mode in order to make auditing denials possible.

检查相关自动转化

domain_auto_trans(init, vendor_diag_exec, diagtest) 

selinuxselinux加prop,hal层读取
qq_38091632的博客
02-18 6653
1 需求 工厂测试app需要新增一个属性,app可以设置这个prop,hal层进行读取,用于切换snd_device 2 prop文件路径 代码中有三个sepolicy文件夹,对应不同平台创建的。 目前我的需求是用于工厂测试,所以在oem目录下。 3 创建prop 文件路径:android\vendor\oem\sepolicy\property_contexts vendor.audio.dualmic.factorytest u:object_r:exported_system_prop:s
Android系统10 RK3399 init进程启动(三十八) 属性Selinux实战编程
ldswfun的专栏
09-07 2325
一般在pemissive模式下, 修改属性时, 权限问题不是很突出, 但是一旦在enfocing模式,权限配置就非常重要, 甚至有些时候非常麻烦, 所以希望大家通过这几次实战selinux编程, 对selinux的规则有深刻理解。
AndroidSElinux(Security-Enhanced Linux)
weixin_41028159的博客
11-25 3537
作为安卓安全模型的一部分,安卓使用安全增强型Linux(SELinux)对所有进程实施强制性访问控制(MAC),甚至是以root/超级用户权限(Linux能力)运行的进程。许多公司和组织都为安卓的SELinux实现做出了贡献。有了SELinux,安卓可以更好地保护和限制系统服务,控制对应用程序数据和系统日志的访问,减少恶意软件的影响,并保护用户免受移动设备上代码的潜在缺陷。SELinux根据默认拒绝的原则运作。任何没有明确允许的东西都会被拒绝。SELinux可以在两种全局模式下运行。
Selinux 权限解决记录
storm_peng的专栏
11-01 2399
再ls -z /sys/devices/platform/soc/fe08c000.mmc/mmc_host/mmc0/mmc0:0001/life_time 名字就变过来了。setenforce 0 之后,操作正常的,就可以确认为selinux权限问题了,下面记录曾经遇到过的权限问题。wakelock 的owner 为radio, group 为wake_lock,而tvhalserver属于root 的。场景:客户的app 应用需要在他的APP 里,读取系统文件节点,但运行的时候,获取不到需要的值。
Android MTK Selinux机制学习
Android驱动开发
09-06 2223
https://blog.csdn.net/m0_52481422/article/details/109812319 如何选择Selinux目录 Google Original: alps/system/sepolicy MTK Plaform: alps/device/mediatek/common/sepolicy/bsp alps/device/mediatek/common/sepolicy/basic alps/device/xxx/ProjectConfig.mk 查看版本定义的MTK_
Selinux权限问题处理指导文档分享
最新发布
吉吉的博客
05-18 1508
Selinux权限问题处理指导文档 概述 SELinux概述 Selinux即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation (SCC) 和 MITRE直接参与开发,以及很多研究机构(如犹他大学)一起参与的强制性安全审查机制,该系统最初是作为一款通用访问软件,发布于2000年12月(代码采用 GPL 许可发布)。并在Linux Kernel 2.6 版本后,有直接整合进入SELinux, 搭建在Linux Sec
添加Selinux 权限/常见的Selinux 权限问题
一只攻城的柿子
07-07 1万+
1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。 2. 调试确认SELinux问题 为了澄清是否因为SELinux导致的问题,临时禁用selinux ,重启失效,可先执行: C:\Users\A
Android SeLinux权限问题和解决方法
热门推荐
DonnyCoy
07-28 3万+
1. 确认 seLinux导致权限问题 1.1 标志性log 格式: avc: denied  { 操作权限 }  for pid=7201 comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类别  permissive=0 1.2 举例: Kenel log: avc: denied
Android SELinux 权限问题处理
it_rensheng的博客
11-30 3913
前言 ​ SELinux 是 Google 从android 5.0 开始,强制引入的一种非常严格的管理机制,主要用于增强系统的安全性。SELinux有以下两种模式: enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 1 确定 SELinux 问题 ​ 在调试过程中遇到权限问题时,可以通过如下方法,确定是不是由于 SELinux 导致的问题: 方法一: 通过串口或者adb使用如下命令,先将 selinux权限切换到审查模式: setenforce 0 (
SELinux权限问题解决
aylr2015的博客
06-27 1393
SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。借助 SELinuxAndroid 可以更好地保护和限制系统服务、控制对应用数据和系统日志的访问、降低恶意软件的影响,并保护用户免遭移动设备上的代码可能存在的缺陷的影响。然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题
SELinux】总结之策略规则&语法&报错解决
Philister的博客
09-27 7848
SELinux Policy Language 文章目录SELinux Policy Language一、SELinux语法1. 类型2. 属性 - Attribute2.1 属性是什么2.2 属性的作用2.3 属性的语法与格式2.4 类型与属性的关联操作3. 别名 - Alias二、SELinux策略的规则1. AV规则的分类2. 通用AV规则的语法3. AV规则的秘钥(哈希key)4. 在AV规则中使用属性4.1 特殊类型self4.2 " - " 类型否定5. AV规则中类别和许可相关写法5.1 类别
SELinux 爬坑:default_prop(IAM 20680 IMU Sensor库导入)
qq_33862477的博客
03-29 1399
这些propert_get的属性值如果不去定义,对应的SELinux权限为default_prop.AVC 的审计log会打印转换成的SE语句为这时就会报错。
添加 android 系统属性
Me-Space的博客
04-12 2264
添加 selinux 权限时,系统属性一定要遵循 android 标准,即 persist.vendor.xxx、vendor.xxx、ro.vendor.xxx 等前缀。这里定义了两个属性,ro.product.name 是一个只读属性,用于标识设备的名称;// 用于存储属性值的缓冲区。// 属性读取失败,打印默认值或者错误信息。// 调用property_get函数读取属性值。// 使用此方法,不需要在 device.mk 中进行设置。// 设置自定义系统属性值。系统版本:android13。
Android SELinux权限
weixin_75102992的博客
09-27 1514
在mk中增加Prop,通过SystemProperties去获取时发现出现Access denied finding property "ro.vendor.firmware.version"问题。对于vendor下property权限,类似file权限attributes.te定义type:在property.te 中添加:在property_contexts中添加:system_app.te添加权限
android vendor下的属性值
zkz19872009的专栏
05-10 1400
PRODUCT_DEFAULT_PROPERTY_OVERRIDES:PRODUCT_DEFAULT_PROPERTY_OVERRIDES变量的值通过build/core/Makefile文件中下面这段代码写到image镜像中/default.prop文件中。 PRODUCT_PROPERTY_OVERRIDES:PRODUCT_PROPERTY_OVERRIDES和PRODUCT_DEFAULT_PROPERTY_OVERRIDES变量类似,不过它最终在被放到image镜像中的/system/build.
Android O 自定义prop的问题小总结
qq_18906227的博客
06-12 4158
Android O 自定义prop的问题汇总~前言自定义prop自定义字段到system/build.prop总结 前言 忘记是Android M N O 哪个版本开始prop字段开始分放在system/build.prop . vendor/build.prop system/odm/default.prop …这种花里胡哨的地方了,然后有时候需要自定义一些prop可能有时候会放错位置,或者自定义的不可以被应用读写,最近看了看相关的东西,也查找了相关资料,觉得有丢丢资料不够的感觉,决定用blog给记录下来
Android A13 CTS 测试问题部分总结
wed110的专栏
09-12 2246
CTS
Android R(11)HIDL服务的sepolicy(五)
flagstaff's blogs
01-03 2724
  在Android安全组件中,除了使用传统DAC(Discretionary Access Control)的方式来保护系统文件。但在版本4.4及以后还引入并开启了MAC(Mandatory Access Control)安全框架,使用DAC+MAC组合的方式来保护系统文件及可执行程序的安全。其中被Android所采用的MAC保护框架为SELinux(Security-Enhanced Linux)。 1.Security-Enhanced Linux in Android   开启了MAC框架后,即使是
22-08-05 Android 在device mk里PRODUCT_PROPERTY_OVERRIDES 定义一个自定义的prop 属性失败的问题SELinux permission权限问题
海月汐辰
08-05 5041
一、我现在device 里面mk文件加入一个persist.deepsleep.closewifi prop属性 二、但是用getprop 获取不到该属性的值。 三、查看log,提示init: Do not have permissions to set 'persist.deepsleep.closewifi' to 'true' in property file '/vendor/build.prop': SELinux permission check failed,是权限问题。 三、原因是syst
system.prop添加自己的字段 SystemProperties.get权限问题
qq_25815655的博客
12-29 8104
要添加的字段的文件device/mediateksample/g1860ph_v2_c_yg_q6203_o/system.prop 先说adb查看  adb shell getprop |grep coolpad  查看自己就添加的字段 在使用SystemProperties.get的时候提示get不了,权限问题   1、在AndroidManifest.xml中,在manifest加入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值