dac_override denied android sepolicy问题处理

最新推荐文章于 2024-06-25 14:57:31 发布
最新推荐文章于 2024-06-25 14:57:31 发布
阅读量2.9k 收藏 5
点赞数 4
CC 4.0 BY-SA版权
分类专栏: android operating system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jbhand/article/details/109776691

0. Log:

11-17 20:56:59.504   687   687 W XXX_service: type=1400 audit(0.0:489): avc: denied { dac_override } for capability=1 scontext=u:r:XXX_service:s0 tcontext=u:r:XXX_service:s0 tclass=capability permissive=0

dac_override【自主访问控制(DAC,Discretionary Access Control)】

1. 遇到dac_override权限问题时,一般不会直接  allow XXX {dac_override} 这种形式来修复

2. 1先看下此进程storaged的所属user:

 $ ps -ef|grep XXX_service

root            833      1 0 04:41:23 ?     00:00:00 XXX_service

可以看到XXX_service在以root的身份运行

 

2.2 然后看下该进程访问的文件的所属user信息

$ ls -la /mnt/vendor/

drwxrwx--x  4 system system 4096 2010-01-01 01:00 persist

可以看到persist目录所属user为system

由于发生了跨用户访问发生了该权限问题

3.修改方法:

在XXX_service的rc文件中将其所属user和group改为:

user system
group system

即可

 

 

SELinux: capabilites{dac_override} 权限
黑山老妖
08-06 1万+
Linux支持Capability的主要目的是细化root的特权,使一个进程能够以“最小权限原则”去执行任务。比如拿ping程序来说,它需要使用原始套接字(raw_sockets),如果没有Capability,那么它就需要使用root特权才能运行;如果有了Capability机制,由于该程序只需要一个CAP_NET_RAW的Capability即可运行,那么根据最小权限原则,该程序运行时可以丢弃所
Android avc: denied 深入沟兑02(dac_read_search)
小猪六月的博客
04-09 2177
dac_read_search与规避neverallow The dac_override denial issue means that the offending process is trying to access a file with the wrong user/group permissions.The correct solution almost never grants dac_override policy, becasue if this process is not in "
selinux dac_override/dac_read_search问题处理思路
Step By Step
09-25 1万+
dac_overridedac_read_search是我们偶尔会遇到的一个selinux warning,不同于其他大部分denied可以直接加对应权限修正,这两个warning都是需要改code或者修改文件权限来处理,本文通过三个例子简单介绍这类selinux warning的处理方式,供debug参考。
基于DAC的文件管理系统的android实现
01-25
基于DAC的文件管理系统的android实现,就是一个app 模拟dac的实现原理
linux dac 的权限,Samba CAP_DAC_OVERRIDE文件权限绕过安全限制漏洞
weixin_39673303的博客
05-07 697
发布日期:2010-03-09更新日期:2010-03-11受影响系统:Samba Samba 3.5.0Samba Samba 3.4.6Samba Samba 3.3.11不受影响系统:Samba Samba 3.5.1Samba Samba 3.4.7Samba Samba 3.3.12描述:--------------------------------------------------...
Android 自主访问控制 (DAC)
最新发布
华南烹鱼宴
06-25 935
如需定义 OEM AID,请创建一个config.fs文件并设置 AID 值。例如,在中设置以下内容:创建文件后,设置变量并在中指向它。例如,在中设置以下内容:总的来说,现在系统已经可以在新 build 中使用自定义 AID 了。
Android P SElinux权限调试
Kian_G 的博客
04-21 7141
Android P SElinux权限调试 在Android P上要开发一个开机过程中运行bin程序,在Android O上权限问题还算比较好解决,而在 Android P上面由于谷歌收紧了 Android SElinux控制,增加了许多neverallow规则,导致调试权限十分不便 开发的bin程序由于要开机运行,因此需要通过init.rc去启动这个bin程序severe。而这个bin程序要去控...
Android系统上SELinux的攻与防
Android再出发
03-14 1526
SELinux是Linux系统一个访问控制策略,android中称之为SEAndroid,做系统开发大都会遇到SEAndroid权限问题,之前一直都有在解决相关问题,但是都没有形成文字记录。今天在帮同事调试程序的时候又遇到类似问题,借此机会做以记录,方便以后查询,也给受此问题困扰的朋友以指导。一、SELinux的攻andorid5.x后就引入了非常严格的selinux权限管理机制,我们经常会遇到“...
android 8.0 添加开机服务
csh86277516的博客
03-16 5133
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
Selinux 权限解决记录
storm_peng的专栏
11-01 2022
再ls -z /sys/devices/platform/soc/fe08c000.mmc/mmc_host/mmc0/mmc0:0001/life_time 名字就变过来了。setenforce 0 之后,操作正常的,就可以确认为selinux权限问题了,下面记录曾经遇到过的权限问题。wakelock 的owner 为radio, group 为wake_lock,而tvhalserver属于root 的。场景:客户的app 应用需要在他的APP 里,读取系统文件节点,但运行的时候,获取不到需要的值。
Android SELinux avc dennied权限问题解决方法
热门推荐
缥缈孤鸿影的专栏
05-25 9万+
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具
Android SELinux avc denied解决
wuzoujing的专栏
04-26 7670
参考:Android SELinux avc dennied权限问题解决方法 解决原则:缺什么权限补什么,直到没有avc denied为止。 解决方法:在对应的.te中增加allow语句。 格式一般如下: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 t...
selinux dac
xiaowang_lj的博客
10-09 730
通过ps命令,我们可以看到3685进程AAAA_Callback是kthreaddd产生的kernel线程,是root user,结合2)中权限管控,root属于others,因而出现dac_override问题,无法访问。文件对应的访问者是init.rc启动的一个服务,从1可以看出文件的drmrpc group有读写权限,因此我们可以通过给对应服务加权限组,即可使之正常访问文件,即如下group的配置中,添加drmpc权限组即可。因此,修正如上问题的解法就是让进程以正确的身份通过正确的权限访问文件。
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2868
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
android 11添加property遇到的selinux问题
weixin_32104133的博客
12-18 8830
android 11 项目中添加新的property启动sh脚本,遇到如下几个问题问题1 :coredomaim编译报错 The following domain(s) must be associated with the "coredomain" attribute because they are executed off of /system: addnewservice 此处log 提示 addnewservice必须是coredomain类型的,为此我们在system/seploicy/p
Android R selinux 解决实例
wangubuntu的专栏
10-21 1499
问题如下,新增一个 设备 /dev/video7, 在 应用访问时 log 中 报出 avc: denied, 是 selinux 问题, 初始的 log 如下: 06-17 20:23:09.244 19650 19650 I pool-4-thread-1: type=1400 audit(0.0:530): avc: denied { read } for name="video7" dev="tmpfs" ino=224395 scontext=u:r:untrusted_app_25:s0:c5
Linux的capability深入分析
ConceptCon
02-25 4027
                                  Linux的capability深入分析 from:https://www.cnblogs.com/iamfy/archive/2012/09/20/2694977.html 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念...
selinux-编写策略
vrix的专栏
09-01 4382
编写 SELinux 政策 Android 开放源代码项目 (AOSP) 针对所有 Android 设备中常用的应用和服务提供了一个可靠实用的基本政策。AOSP 的贡献者会定期完善该政策。该核心政策应占设备上最终政策的 90-95%,而剩下的 5-10% 则为设备专用自定义政策。本文重点介绍了这些设备专用自定义政策、如何编写设备专用政策,以及在编写此类政策时要避免的一些陷阱。 设备
selinux dac_override
10-18
SELinux是一种安全增强的Linux内核模块,它可以限制进程的访问权限,包括文件、网络、进程等。而dac_override是SELinux中的一个安全策略,它可以允许进程绕过文件权限检查,即使进程没有文件的读写权限,也可以读写该文件。这个安全策略通常只在特定的情况下使用,比如在进行系统调试或者进行特殊操作时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值