访问文件的SELinux权限添加shellqq34211365的博客- | ImapBox

访问文件的SELinux权限添加shellqq34211365的博客-

12 五月
星期二, 12 五月 2020 08:05 Last Updated on 星期二, 12 五月 2020 08:05 0 Comments

最近做了一个功能:设备首次驻网时,在设备指定目录创建文件,并在此文件中写入当前的时间,然后通过暗码可以读取这个时间

这个功能挺简单的,唯一比较麻烦的是添加SELinux权限时的一些问题,在此记录一下。

首先通过rc文件创建一个目录

init.rc

mkdir /data/vendor/time_code 0771 radio radio

然后设备首次驻网时在此目录下创建txt文件,”/data/vendor/time_code/time_code.txt”,此时SELinux权限问题就来了,如下所示:
访问文件的SELinux权限添加shellqq34211365的博客-
ps:如何确认是 SELinux 问题?可以关闭 SELinux(adb shell setenforce 0),确认相关功能是否 ok,如果 ok 是 SELinux 问题,如果nok,说明本身程序有问题

上述的SELinux报的权限并不全,通常SELinux打开时不会一次性打印出所有缺少权限,可以先将SELinux关闭,在通过adb logcat或者adb shell dmesg打印全部缺少权限

SELinux报错的标准格式是:

  avc: denied  { 操作权限  } for pid=26382  comm=“进程名”    scontext=u:r:源类型:s0  tcontext=u:r:目标类型:s0     tclass=访问类型 permissive=0

添加规则是,在源类型.te文件中添加 :

allow  源类型 目标类型:访问类型 {操作权限};

例如上图报出的log:
05-11 16:39:13.249 1950 1950 W SharedPreferenc: type=1400 audit(0.0:99): avc: denied { read } for name=“time_code.txt” dev=“mmcblk0p65” ino=27156 scontext=u:r: radio:s0 tcontext=u:object_r:vendor_data_file:s0 tclass=file permissive=0

我们就应该在radio.te中添加:allow radio vendor_data_file:file { read };

添加SELinux权限的一个原则就是报出来什么,添加什么,上述log中缺少权限并没有报全,最终添加全部缺少权限如下:

allow radio vendor_data_file:dir rw_dir_perms; allow radio vendor_data_file:file { open write read create rw_file_perms setattr}; allow radio vendor_data_file:file rename; allow radio vendor_data_file:file unlink;

添加好了之后进行编译,mmma system/sepolicy/,此时发现编不过,
访问文件的SELinux权限添加shellqq34211365的博客-
这是因为我们添加的SELinux权限违反了google的neverallow规则,google不允许名为radio源类型访问标签名为vendor_data_file的目标类型,

解决方案是修改我们要访问的文件的标签名vendor_data_file,如何修改呢?我们要访问的目录是/data/vendor/time_code/,先看一下这个目录的信息
访问文件的SELinux权限添加shellqq34211365的博客-
需要修改的标签属于文件类型,另外还有属性类型和程序类型,对于文件类型标签的修改就是自定义一个新的标签,在file.te中定义,在file_contexts中使用,
file.te中添加如下语句:

type tct_time_data_file, file_type, data_file_type, mlstrustedobject;

file_contexts中添加如下语句:

/data/vendor/time_code(/.*)?       u:object_r:tct_time_data_file:s0

标签就被修改为了tct_time_data_file,然后再修改radio.te中的目标类型

allow radio tct_time_data_file:dir rw_dir_perms; allow radio tct_time_data_file:file { open write read create rw_file_perms setattr}; allow radio tct_time_data_file:file rename; allow radio tct_time_data_file:file unlink;

再进行编译,mmma system/sepolicy/
访问文件的SELinux权限添加shellqq34211365的博客-
编译成功后push进手机验证,
adb push out/target/product/dubaivzw/vendor/etc/selinux/ /vendor/etc/

首先ls -Z看看/data/vendor/time_code/的信息,可以看到,标签名已经被修改
访问文件的SELinux权限添加shellqq34211365的博客-
并且log中没有再报SELinux权限的问题,/data/vendor/time_code/time_code.txt文件也成功创建了,此文件中也成功写入了当前驻网时间:
访问文件的SELinux权限添加shellqq34211365的博客-

原创文章 53获赞 87访问量 2万+

  • 访问文件的SELinux权限添加shellqq34211365的博客- 访问文件的SELinux权限添加shellqq34211365的博客- 1
  • 访问文件的SELinux权限添加shellqq34211365的博客- 评论
  • 访问文件的SELinux权限添加shellqq34211365的博客-
    x

    海报

    扫一扫,海报

  • 访问文件的SELinux权限添加shellqq34211365的博客- 访问文件的SELinux权限添加shellqq34211365的博客-
  • 访问文件的SELinux权限添加shellqq34211365的博客- 手机看

    到微信朋友圈

    x

    扫一扫,手机阅读

  • 访问文件的SELinux权限添加shellqq34211365的博客-打赏

    打赏

    访问文件的SELinux权限添加shellqq34211365的博客-

    DJLZPP

    “你的鼓励将是我创作的最大动力”

    5C币 10C币 20C币 50C币 100C币 200C币

  • 访问文件的SELinux权限添加shellqq34211365的博客-

访问文件的SELinux权限添加shellqq34211365的博客-



 
 
 
 


本页所有内容来自官方网站 https://www.imapbox.com 新闻来源:互联网搜索引擎和新闻站

本网页所有图片由 ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,下载并得到。

ImageBox 图片批量下载器 工具地址: 网页图片批量下载工具-最新版本下载

非凡下载站地址:https://www.crsky.com/soft/35838.html

本网页所有视频内容由 imoviebox边看边下-网页视频下载, iurlBox网页地址收藏管理器 下载并得到。

ImovieBox网页视频下载器 下载地址: ImovieBox网页视频下载器-最新版本下载

本文章由: imapbox邮箱云存储,邮箱网盘,ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,imoviebox网页视频批量下载器,下载视频内容,为您提供.




文章目录

  • 全球报导 (16311)
  • 全球云计算 (29506)
  • 程序员专区 (1974)
  • Imap 全球通用标准协议 (7)
  • 全球邮局列表 (17)
  • Imapbox 系列软件 (3)
  • 产品一览 (6)
  • 事业方向 (7)
  • 联系我们 (2)

官方链接

imapbox邮箱网盘 imapbox 海外官网 iMapBox百度百科

登录