- 1“一秒”宕机一个半小时!这个让程序员抓狂的续一秒,今年无了!
- 2【华为OD机试真题】92、免单统计 | 机试真题+思路参考+代码解析(C++、Java、Py)_免单统计python华为od
- 3java数据结构(1):集合框架,时间,空间复杂度,初识泛型
- 4Oracle基础【3-Oracle数据库的创建和管理】_oracle创建数据库
- 5递归是如何用栈来实现的?_递归 栈
- 6mac上安装并配置maven_mac上如何安装配置maven
- 7大数据优化方向_大数据优化有哪些类别
- 8SpringCloud学习——Eureka集群搭建_euraka集群搭建在哪个大服务器上
- 9Franka机械臂代码学习——generate_joint_position_motion.cpp例程_position joint interface
- 10超实用的日志分析工具——Flightplot,你不会还没用过吧
Android7.1 Selinux使用_手机selinux在哪
赞
踩
讲Selinux的原理的文章太多了,讲实际使用也是有一些,但是都不够完整,这里举一个在Android7.1下的服务的例子。
服务第一步,我们会在init.rc下增加服务。
因为我的设备是freesale sabresd 所以路径是:
device/fsl/sabresd_6dq/init.rc
- service crondd /system/bin/crondd
- class late_start
- user root
- 1
- 2
- 3
- 4
接着我把重新编译过boot.img镜像烧录进设备,我使用命令
start crondd 毫无疑问系统提示
init: Service crondd does not have a SELinux domain defined.
接着我们需要给我们的crondd 增加一下domain:
这里我的增加的目录为:
device/fsl/imx6/sepolicy/crondd.te
或者这里也行:
system/sepolicy/
通用的目录是,另外包含的路径可以参考一下system/sepolicy/Android.mk
具体什么意思就不解释了。
- type crondd, domain, domain_deprecated;
- type crondd_exec, exec_type, file_type;
- type crondd_device, dev_type;
- type crondd_data_file, file_type, data_file_type;
- init_daemon_domain(crondd)
- allow crondd crondd_data_file:dir rw_dir_perms;
- allow crondd crondd_data_file:file create_file_perms;
- 1
- 2
- 3
- 4
- 5
- 6
- 7
然后重新编译boot.img 我们再将服务启动起来,这时候我们能看到一些selinux打印出来的信息。
现在我们关闭掉selinux:
setenforce 0
然后把所有的selinux收集起来:
dmesg | grep avc > /data/avc_log.txt
这些信息我们可以用工具翻译出来,如果一句句自己翻译估计要崩溃了。
ubuntu下:
sudo apt install policycoreutils
然后:
audit2allow -i avc_log.txt
- #============= crondd ==============
- allow crondd busybox_exec:file { read getattr open execute execute_no_trans };
- allow crondd dex2oat:dir { getattr search };
- allow crondd dex2oat:file { read open };
- allow crondd platform_app:dir { getattr search };
- allow crondd platform_app:file read;
- allow crondd priv_app:dir { getattr search };
- allow crondd priv_app:file read;
- allow crondd untrusted_app:dir { getattr search };
- allow crondd untrusted_app:file read;
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
很简单,把这些全部拷贝进去就可以了。
这个工作很有可能重复很多次,因为有些命令是因为selinux 或者权限的问题执行失败,要一步一步的加。
其中有一种情况,用selinux的工具似乎是没法生成,这个只好自己了解一下生成的规则自己凑一下了。
allow surfaceflinger system_prop:property_service set;
还有一种:
type=1400 audit(1420226774.850:4466): avc: denied { read } for pid=3978 comm=”busybox”
scontext=u:r:logdumpd:s0 tcontext=u:r:platform_app:s0:c512,c768 tclass=file permissive=0
需要把.te的第一行修改成:mlstrustedsubject。
type logdumpd , domain,mlstrustedsubject
关于规则和一些说明可以参考如下网址:
http://blog.csdn.net/Innost/article/details/19299937
http://blog.csdn.net/xbalien29/article/details/19505575
