selinux权限问题【转】

本文转载自:https://blog.csdn.net/u011386173/article/details/83339770

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011386173/article/details/83339770
adb修改selinux

    Enforcing(表示已打开),Permissive(表示已关闭)
    getenforce; //获取当前selinux状态
    setenforce 1; //打开selinux
    setenforce 0; //关闭selinux

从kernel中彻底关闭

修改/linux/android/kernel/arch/arm64/configs/xxx_defconfig文件(xxx一般为产品名),去掉CONFIG_SECURITY_SELINUX = y的设置项

sepolicy中添加权限

    修改依据,通过指令cat /proc/kmsg | grep denied,或Kernel 的log中定位到的标志性log
    修改步骤
        找相应的源类型.te文件,此文件可能存放的路径:
            linux/android/external/sepolicy
            linux/android/device/qcom/sepolicy/common
            device/xxx/sepolicy(与device相关)
        标志性log

avc: denied  { 操作权限  }  for pid=7201  comm=“进程名”  scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0  tclass=访问类型 permissive=0

 ·在相应源类型.te文件,添加如下格式的一行语句(结尾有分号)

格式:allow  源类型 目标类型:访问类型 {操作权限};

实例

kernel log:

avc: denied {getattr read} for pid=7201 comm="xxx.xxx" scontext=u:r:system_app:s0 tcontext=u:r:shell_data_file:s0 tclass=dir permissive=0

修改方案:

    在system_app.te文件中,添加下面语句:
    allow system_app shell_data_file:dir{getattr read};

修改Sepolicy后出现“Error While Expanding policy”

在系统添加某个*.te或在te文件中添加某个selinux权限后,build会出现如下error:

    genfscon proc /driver/thermal u:object_r:proc_thermal:s0
    libsepol.report_failure: neverallow on line 429 of system/sepolicy/private/app.te (or line 21317 of policy.conf) violated by allow system_app system_file:file { write };
    libsepol.report_failure: neverallow on line 406 of system/sepolicy/public/domain.te (or line 8484 of policy.conf) violated by allow system_app system_file:file { write };
    libsepol.check_assertions: 2 neverallow failures occurred
    Error while expanding policy

这是因为在/system/sepolicy/private/app.te和system/sepolicy/public/domain.te文件中添加了一些neverallow rules,导致编译检查的时候出现错误。

neverallow appdomain system_file:dir_file_class_set {create write setattr relabelfrom relabelto append unlink link rename};

只需要在上面的规则中去掉添加的allow xx system_file:file { write };中的xx,具体方式是在nerverallow中用{}里用-xx排除某个,即不需要有此规则:

neverallow {appdomain -system_app} system_file:dir_file_class_set {create write setattr relabelfrom relabelto append unlink link rename};


posted @ 2018-12-14 20:49  请给我倒杯茶  阅读(6660)  评论(0编辑  收藏  举报