- 1入行大数据学习路线分享 学习不迷路_数据分析学习路线
- 2新手上路!如何在idea中配置git_idea 配置 git bash 还 跳出 add gitlab
- 3AI “黏土画风”轻松拿捏,手把手带你云端部署 ComfyUI_comfyui部署
- 4基于linux部署mysql主从搭建教程_linux服务器mysql主从数据库怎么部署
- 5【数据结构与算法 经典例题】链表的回文结构(图文详解)_回文链表
- 6【SQL开发实战技巧】系列(十三):讨论一下常用聚集函数&通过执行计划看sum()over()对员工工资进行累加_sql中sum over讲解
- 7【全流程】从头在树莓派4B上部署自己训练的yolov5模型(配合NCS2加速)_树莓派加速yolo
- 810 个实用的 Python 自动化脚本!_《十大常用python自动化脚本》
- 9全网最最最详细centos7如何安装docker教程_docker安装centos7_centos7安装docker
- 10万亿赛道!向量数据库--AI 大模型技术底座解决方案深度分析 2024_大模型向量库
Android SElinux 权限_selinux 访问 proc
赞
踩
温馨提示
此文章参考[Android L]SEAndroid开放设备文件结点权限(读或写)方法(涵盖常用操作:sys/xxx、proc/xxx、SystemProperties)热门干货。有不对的地方请各位指出。
一,SElinux是什么,如何分析此类问题
- 定义:SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)开发的一种强制访问控制机制。它主要整合在 Linux 内核当中,是针对特定的进程与指定的文件资源进行权限控制的系统。主要是增强传统 Linux 操作系统的安全性,并解决传统 Linux 系统中自主访问控制(DAC)系统中的各种权限问题(如 root 权限过高等)。
- 分析此类问题:selinux三种状态 强制模式 宽容模式 关闭模式
Enforcing:强制模式。代表SELinux在运行中,且已经开始限制domain/type之间的验证关系
Permissive:宽容模式。代表SELinux在运行中,不过不会限制domain/type之间的验证关系,即使验证不正确,进程仍可以对文件进行操作。不过如果验证不正 确会发出警告。
Disabled:关闭模式。SELinux并没有实际运行
基本命令: setenforce 1/0 1 开启强制模式 setenforce 0 宽容模式 getenforce 获取当前selinux状态
如出现应用层等访问设备节点时出现无法打开时,使用指令setenforce 0 时,能够正常使用。可能出现此问题。
或者logcat 获取log时出现 : type=1400 audit(0.0:59): avc: denied { write } for name=“xxxx” dev=“proc” ino=4026532642 scontext=u:r:vendor_init:s0 tcontext=u:object_r:sysfs_proc:s0 tclass=file permissive=0 时,则为selinux权限问题。
二,添加selinux权限–基于高通平台演示
1,基于proc下出现selinux权限问题
第一步 在device/qcom/sepolicy/vendor/common/file.te 定义selinux type: proc_xxxx,如下:
type proc_xxxx, fs_type;
第二步 device/qcom/sepolicy/vendor/common/genfs_contexts,绑定proc_xxxx到对应的实际节点
genfscon proc /touchscreen/glove u:object_r:proc_xxxx:s0
第三步 device/qcom/sepolicy/vendor/common/system_app.te,申请权限system_app的权限
allow system_app proc_xxxx:file rw_file_perms;
2,基于sys下出现selinux权限问题
第一步 在device/qcom/sepolicy/vendor/common/file.te 定义selinux type: proc_xxxx,如下:
type sys_xxxx, fs_type;
第二步 device/qcom/sepolicy/vendor/common/file_contexts,绑定sys_到对应的实际节点。 sys/bus/i2c/devices/xxxx/xxx u:object_r:sys_xxxx:s0
第三步 device/qcom/sepolicy/vendor/common/system_app.te,申请权限system_app的权限
allow system_app sys_xxxx:file rw_file_perms;
注:绑定时,需要给予实际路径,可以去find 查找一下具体实际路径。
三,实际log分析
LOG: type=1400 audit(0.0:59): avc: denied { write } for name=“xxxx” dev=“proc” ino=4026532642 scontext=u:r:vendor_init:s0 tcontext=u:object_r:sysfs_proc:s0 tclass=file permissive=0
denied { write } :需要添加写权限。 name=“xxxx” 节点名称为xxxx dev=“proc” 属于proc文件系统
scontext=u:r:vendor_init 需要添加vendor_init文件内权限(对此文件下去添加权限)
tcontext=u:object_r:sysfs_proc:s0 file定义的名称为 sysfs_proc。 tclass=file 类型为file
按照上述log,去vendor_init 文件添加 allow vendor_init:file write
添加完成之后,权限权限已经添加。
