SELinux策略规则

时间：2022-08-17 13:03:00 来源：作者：怀揣梦想的自由开发者

Android4.4版本后，google 默认启用了SElinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中，对应的关键字是: "avc: denied" 或者"avc: denied"。

格式

avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0

scontext和tcontext都是安全上下文，分别称为主体和客体，主体一般都是进程，客体则是主体访问的资源。

例如：

audit: type=1400 audit(1113.763:288): avc: denied { write } for pid=328 comm="fastbootd" name="mmcblk0p29" dev="tmpfs" ino=7915 scontext=u:r:fastbootd:s0 tcontext=u:object_r:mmcblk_device:s0 tclass=blk_file permissive=1#fastbootd进程对mmcblk_device类型的blk_file缺少write权限。

处理方式

提取所有的avc LOG，可以使用adb shell "cat /proc/kmsg | grep avc" > avc.txt

根据日志缺失哪个进程访问哪个资源，需要哪些权限，当前进程是否已经创建了policy文件(一般是进程process.te)，如果没有且父进程无须访问时可以新建

文件主要在

./device/rockchip/common/sepolicy/system/sepolicy下。

如果是新文件,按下面格式添加后再添加策略。

type idmap, domAIn;type idmap_exec, exec_type, file_type;domain_auto_trans(zygote, idmap_exec, idmap);

增加策略

进程名: comm="fastbootd" fastbootd

缺少什么权限： { write }权限，

谁缺少权限： scontext=u:r:fastbootd:s0 fastbootd

对哪个资源缺少权限： tcontext=

u:object_r:mmcblk_device:s0 mmcblk_device

什么类型的资源： tclass=blk_file

解决方法：在fastbootd.te文件（若没有则添加）加入内容：

allow fastbootd mmcblk_device:blk_file { read write getattr open ioctl };

即允许fastbootd对mmcblk_device类型的blk_file进行read/write/ioctl等操作。

注：要确认对应的进程访问系统资源是否正常，是否必要。

头条号:怀揣梦想的自由开发者

公众号:风宇软件

B站:猫猫侠的正义

Tags：SELinux 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

你了解Android中的SELinux吗？

SELinux介绍SELinux（Security-Enhanced Linux）是一种安全增强的Linux操作系统，它通过强制访问控制（MAC）机制来提供更高级别的系统安全保护。相比于传统的Linux访问控制机制（DAC），SEL...【详细内容】

2023-11-09　　Search: SELinux 点击:(265)　　评论:(0)　　加入收藏

使用SELinux进行Linux系统安全加固

SELinux（Security-Enhanced Linux）是一种在Linux系统中实现强制访问控制（MAC）的安全机制，它能够对系统资源进行细粒度的访问控制，提高系统的安全性和防范能力。在进行Linux系统安...【详细内容】

2023-10-31　　Search: SELinux 点击:(339)　　评论:(0)　　加入收藏

一文带你看懂SELinux 是什么?

Linux系统作为一款开源、灵活且强大的操作系统，被广泛应用于各种场景。然而，随着网络攻击和恶意软件的不断增加，系统的安全性成为了至关重要的问题。SELinux就是Linux系统中一...【详细内容】

2023-08-15　　Search: SELinux 点击:(166)　　评论:(0)　　加入收藏

Linux安全之SELinux理解

安全增强式 Linux，即SELINUX(Security-Enhanced Linux)是一个 Linux 内核的安全模块，其提供了访问控制安全策略机制，包括了强制访问控制(Mandatory Access Control，MAC)。SELinu...【详细内容】

2022-09-30　　Search: SELinux 点击:(402)　　评论:(0)　　加入收藏

SELinux策略规则

Android4.4版本后，Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中，对应的关键字是: "avc: denied" 或者"avc: denied"。格式...【详细内容】

2022-08-17　　Search: SELinux 点击:(594)　　评论:(0)　　加入收藏

linux系统怎么关闭selinux？

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这...【详细内容】

2022-07-30　　Search: SELinux 点击:(381)　　评论:(0)　　加入收藏

理解Linux下的SELinux

长久以来，每当遇到授权问题或者新安装的主机，我的第一反应是通过setenforce 0命令禁用SELinux，来减少产生的权限问题，但是这并不是一个良好的习惯。这篇文章尝试对SELinux的基本...【详细内容】

2020-09-03　　Search: SELinux 点击:(373)　　评论:(0)　　加入收藏

如何临时或永久地禁用SELinux

1. 前言本文主要讲解如何临时或永久地禁用SELinux。如何临时或永久地禁用SELinuxLinux被认为是当今最安全的操作系统之一，这是因为它杰出的安全特性，如SELinux(安全增强的Linu...【详细内容】

2020-07-04　　Search: SELinux 点击:(443)　　评论:(0)　　加入收藏

修改apache网站默认路径和SElinux安全上下文，实现站点重新访问

请先掌握上面默认网站浏览访问及页面文件的修改方法，然后进行修改网页数据的主目录，实现自定义网站数据主目录的操作。1、网站数据主目录修改把默认网站主目录/var/www/html改...【详细内容】

2019-12-13　　Search: SELinux 点击:(451)　　评论:(0)　　加入收藏

运维的小伙伴应该知道的安全模块SELinux

SELinux介绍Security-Enhanced Linux ，是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的 Linux的一个强制访问控制的安全模...【详细内容】

2019-11-08　　Search: SELinux 点击:(704)　　评论:(0)　　加入收藏

▌简易百科推荐

Android Emulator黑屏怎么办 Android模拟器黑屏解决方法

Android Emulator黑屏问题困扰了非常多的玩家，Android Emulator作为一款安卓模拟器，可以让你在电脑上运行和浏览安卓应用程序，但是程序本身不是很稳定，很容易会出现黑屏，启动不了...【详细内容】

2024-03-04　　18183游戏网　　　　Tags:Android Emulator 　点击:(37)　　评论:(0)　　加入收藏

Android开发中常见的Hook技术有哪些？

Hook技术介绍Hook技术是一种在软件开发中常见的技术，它允许开发者在特定的事件发生时插入自定义的代码逻辑。常见的应用场景包括在函数调用前后执行特定的操作，或者在特定的事...【详细内容】

2023-12-25　　沐雨花飞蝶　　微信公众号　　Tags:Android 　点击:(86)　　评论:(0)　　加入收藏

在Android应用开发中使用NFC功能

NFC介绍NFC是指“近场通讯”（Near Field Communication），它是一种短距离无线通信技术，允许设备在非接触或极短距离内进行通信。NFC通常用于移动支付、门禁系统、智能标签和其他...【详细内容】

2023-12-22　　沐雨花飞蝶　　微信公众号　　Tags:Android 　点击:(102)　　评论:(0)　　加入收藏

关于Android图像Bitmap类，你要知道的一切

Bitmap介绍Bitmap是一种图像文件格式，它由像素阵列组成，每个像素都有自己的颜色信息。在计算机图形学中，Bitmap图像可以被描述为一个二维的矩阵，其中每个元素代表一个像素的颜色...【详细内容】

2023-12-19　　沐雨花飞蝶　　微信公众号　　Tags:Android 　点击:(99)　　评论:(0)　　加入收藏

Android开发中如何进行单元测试？

单元测试介绍单元测试是软件开发中的一种测试方法，用于验证代码中的最小可测试单元（通常是函数或方法）是否按预期工作。单元测试通常由开发人员编写，旨在隔离和测试代码的特定部...【详细内容】

2023-12-11　　沐雨花飞蝶　　微信公众号　　Tags:Android 　点击:(168)　　评论:(0)　　加入收藏

一篇聊聊Jetpack Room实现数据存储持久性

Room介绍Room 是 Android Jetpack 组件库中的一部分，它是用于在 Android 应用中进行本地数据库访问和管理的库。Room 提供了一个抽象层，使开发者能够更轻松地访问 SQLite 数据...【详细内容】

2023-12-08　　沐雨花飞蝶　　微信公众号　　Tags:Jetpack 　点击:(143)　　评论:(0)　　加入收藏

了解Android系统架构中的HAL硬件抽象层

在Android系统中，HAL的存在使得不同厂商的硬件可以统一被上层的应用程序调用，从而提高了系统的兼容性和可移植性。HAL还可以帮助开发者更方便地开发应用程序，因为他们不需要为...【详细内容】

2023-12-06　　沐雨花飞蝶　　微信公众号　　Tags:Android 　点击:(203)　　评论:(0)　　加入收藏

我们一起聊聊 IntentService 与 Service 的区别？

Service介绍Service组件是Android应用开发中的四大组件之一，用于在后台执行长时间运行的操作或处理远程请求。它可以在没有用户界面的情况下执行任务，并且可以与其他应用组件...【详细内容】

2023-12-06　　沐雨花飞蝶　　微信公众号　　Tags:IntentService 　点击:(171)　　评论:(0)　　加入收藏

Android数据对象序列化原理与应用

序列化与反序列化「序列化」是将对象转换为可以存储或传输的格式的过程。在计算机科学中，对象通常是指内存中的数据结构，如数组、列表、字典等。通过序列化，可以将这些对象转换...【详细内容】

2023-11-14　　沐雨花飞蝶　　微信公众号　　Tags:Android 　点击:(273)　　评论:(0)　　加入收藏

你了解Android中的SELinux吗？

2023-11-09　　沐雨花飞蝶　　微信公众号　　Tags:Android 　点击:(265)　　评论:(0)　　加入收藏

推荐资讯

向保险欺诈重拳出击！金	短剧备案新规出台风
陪诊师不再“三无”：上	今天为何依旧需要规培
大学选修课如何才能受	单瓶跌至2500！飞天茅台
数字求职机亮相杭州高	AI未来或超越“最聪明