android SELinux权限适配

抓log方法,

  1. setenforce 0,

    如果不先将selinux设置为permission mode,会导致一个问题。

    程序运行的时候遇到权限策略限制(假设 sepolicy 1),程序运行失败。添加权限(sepolicy 1),然后编译,刷机,重新验证。这时候又遇到(sepolicy 2)的权限策略,又需要进行添加权限的设置。如果程序需要多个权限,就需要反复进行设置权限。影响效率。

    对于将selinux设置为permission mode,分二种方法:1,执行setenforce 0命令即可。2,修改init代码,在初始化的时候设置为permission mode,不同版本方式不一样。

  2. run your apk,
    运行相关的程序,尽可能将程序可能申请的权限相关的代码都执行,防止漏申请相关的权限。只能根据程序log来判断到底需要什么权限。无法申请所有的权限。需要验证user userdebug eng 等不同的版本。

  3. Capture error log,
    抓去完整的 kernel log和logcat,过滤其中的avc 关键字log

  4. analysis log.
    根据log中的信息,添加对应的sepolicy。对于大部分情况,可以使用如下的方法添加权限,注意对应位置(颜色已经标记)
    This error need this permission W/wpa_cli ( 1354): type=1400 audit(0.0:7): avc: denied { search } for name="wifi" dev="mmcblk0p32" ino=145742 scontext=u:r:mmi:s0 tcontext=u:object_r:wifi_data_file:s0 tclass=dir permissive=0
    allow mmi wifi_data_file:dir search;
    也可以使用命令方式,使用linux工具,自动生成权限语句,类似如下
    adb shell dmesg | grep avc | audit2allow

5.编译

编译和验证

make -j4 selinux_policy

adb push ./system/etc/selinux/* /system/etc/selinux/

adb push ./vendor/etc/selinux/* /vendor/etc/selinux/

6.编译遇到neverallow问题解决

遇到neverallow问题需要自定义权限域,如下是添加到vendor_sysfs_usb_supply权限域中

相关推荐
晨陌y9 小时前
深入剖析:仓颉语言的性能优化核心技术
android·性能优化·仓颉
xhbh6669 小时前
【实战总结】MySQL日期加减大全:日期计算、边界处理与性能优化详解
android
00后程序员张9 小时前
如何提高 IPA 安全性 多工具组合打造可复用的 iOS 加固与反编译防护体系(IPA 安全 iOS 加固 无源码混淆 Ipa Guard 实战)
android·安全·ios·小程序·uni-app·iphone·webview
张拭心9 小时前
“不卷 AI、不碰币、下班不收消息”——Android 知名技术大牛 Jake Wharton 的求职价值观
android·前端·aigc
某空m11 小时前
【Android】DrawerLayout实现侧边导航栏
android
stevenzqzq12 小时前
Android开发工作经历整理
android·简历
洞窝技术13 小时前
前端开发APP之跨平台开发(ReactNative0.74.5)
android·react native·ios
qq_7174100114 小时前
FAQ09934:相机prevew时候出现水印问题
android
望风的懒蜗牛14 小时前
android studio开发UniComponent<SurfaceView>组件
android·uni-app·android studio
奔跑吧 android15 小时前
【android bluetooth 协议分析 14】【HFP详解 2】【蓝牙电话绝对音量详解】
android·bluetooth·hfp·bt·ag