Selinux 快速上手
2021/9/29 7:11:16
本文主要是介绍Selinux 快速上手,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
快速入手必看:
- 如何确认是否是selinux问题:
可以通过运行 cat /proc/kmsg 或者 cat /sys/fs/pstore/console-ramoops 来获取上次启动时的事件日志。SELinux 日志消息中包含“avc:”字样,因此可使用 grep 轻松找到。
一般如下:
[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
可以看到permissive=0 代表访问被拒绝,permissive=1代表拥有访问权限。
- 如何生成selinux rule
只需三步,
第一步,把手机里面的policy文件拉到本地。
第二步,复现问题。
第三步,把log喂给audit2allow命令来帮助我们生成selinux rule。
假如有提示本地环境找不到audit2allow,可以手动根据提示安装或者在Android 目录下寻找。
adb pull /sys/fs/selinux/policy adb shell dmesg | audit2allow -p policy
这里比较灵活,我们可以直接把dmesg喂给audit2allow也可以直接把logcat喂给audit2allow(adb logcat -b all -d | audit2allow -p policy) ,甚至可以直接cat 或者echo文件给它。比如:
echo "[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0 " | audit2allow -p policy cat logfile | audit2allow -p policy
最后生成的文件如下:
#============= system_app ============== allow system_app sysfs:file read;
- 修复问题:
最后根据生成的文件,在源码目录找到或者新建system_app.te 把“allow system_app sysfs:file read;” 写入到该文件即可。
原理说明(快速入手可跳过)
我们 仍以下面的例子说明,
[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" comm="com.miui.cit" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
其规则可以表述如下
avc: denied { connectto } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
该输出的解读:
上方的 { connectto } 表示执行的操作。根据它和末尾的 tclass (file),您可以大致了解是对什么对象执行什么操作。在此例中,是操作方正在试图读取文件。
scontext (u:r:system_app:s0) 表示发起相应操作的环境,在此例中是 system_app 中运行的某个程序。
tcontext (u:object_r:sysfs:s0) 表示操作目标的环境,在此例中是归 sysfs 所有的某个file。
顶部的 comm="com.miui.cit" 可帮助您了解拒绝事件发生时正在运行的程序。在此示例中,表示小米的cit测试程序。
所以整体来看,这句avc的log就是属于 system_app的“com.miui.cit”(comm="com.miui.cit")需要read属于sysfs的panel_info(comm="com.miui.cit"),但是因为没有权限读取失败。
资料来源:
https://source.android.com/security/selinux/validate
这篇关于Selinux 快速上手的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-11-12如何创建可引导的 ESXi USB 安装介质 (macOS, Linux, Windows)
- 2024-11-08linux的 vi编辑器中搜索关键字有哪些常用的命令和技巧?-icode9专业技术文章分享
- 2024-11-08在 Linux 的 vi 或 vim 编辑器中什么命令可以直接跳到文件的结尾?-icode9专业技术文章分享
- 2024-10-22原生鸿蒙操作系统HarmonyOS NEXT(HarmonyOS 5)正式发布
- 2024-10-18操作系统入门教程:新手必看的基本操作指南
- 2024-10-18初学者必看:操作系统入门全攻略
- 2024-10-17操作系统入门教程:轻松掌握操作系统基础知识
- 2024-09-11Linux部署Scrapy学习:入门级指南
- 2024-09-11Linux部署Scrapy:入门级指南
- 2024-08-21【Linux】分区向左扩容的方法