当前位置: 首页 > news >正文

使用 audit2allow 工具添加SELinux权限的方法

news 2025/7/9 19:14:52

1. audit2allow工具的使用

audit2allow 命令的作用是分析日志,并提供允许的建议规则或拒绝的建议规则。

1.1 audit2allow的安装

sudo apt-get install policycoreutilssudo apt install policycoreutils-python-utils

1.2 auditallow的命令

命令含义用法
-v--version显示程序的版本号并退出
-h--help显示此帮助消息并退出
-b--boot自最近启动的audit的审计消息,与-i冲突
-a--all从审计的log中读取输入,与-i冲突
-i<输入文件>--input从输入文件中读取输入

1.3 audit2allow的使用

第一步:从android log中获取对应的avc log文件

直接抓取avc log命令如下:

adb logcat –b all | grep avc >avc_log.txt

也可以从抓取到的android log中,筛选导出avc log

一般avc_log.txt内容如下:

06-25 04:39:15.811 4534 4534 I auditd : type=1400 audit(0.0:122): avc: denied { execute } for comm="gripper-backgro" path="/data/user/10/tv.danmaku.bilibilihd/lib-main/libijkffmpeg.so" dev="dm-39" ino=37776 scontext=u:r:platform_app:s0:c522,c768 tcontext=u:object_r:app_data_file:s0:c522,c768 tclass=file permissive=0

第二步:处理log文件

此时需要将生成的log文件最后一行未打全的log进行删除

第三步:使用audit2allow工具生成te文件

在ubuntu终端下使用audit2allow工具,直接分析log生成对应的te文件

audit2allow –i avc_log.txt >avc_log.te

生成的avc_log.te对应的内容例如下:

#============= platform_app ==============allow platform_app app_data_file:file execute;

第四步:根据抓取的生成的te文件确定需要添加的文件名

此时========platform_app.te========

表示需要在platform_app.te这个文件下添加提示的te语句

allow platform_app app_data_file:file execute;

第五步:编译打包

重新对Android源代码进行编译打包生成img文件

第六步:将ubuntu下编译的镜像刷写进入机器中

android侧常用刷写指令

fastboot devices:列出所有已经进入fastboot模式的设备

fastboot erase system 擦除设备指定的分区

fastboot flash system system.img 将指定的image文件刷入设备的指定分区

fastboot reboot:重启设备

第七步:验证

开机启动后,找到之前报avc错platform_app对应的进程名:tv.danmaku.bilibilihd

ps -A|grep tv.danmaku.bilibilihd

然后抓取avclog,自己添加的te语句对应的avc log是否出现,若未出现,则修改成功。

logcat -b all --pid=3584|grep avc

或者直接看对应的程序有没有正常运行,若正常运行,则修改成功

2.audit2allow无法使用的问题

2.1 问题

在使用audit2allow工具自动生成avc语句时,可能会出现此问题

$ audit2allow -i avc_audit.txt > avc_audit.te
ValueError: You must specify the -p option with the path to the policy file.The above exception was the direct cause of the following exception:Traceback (most recent call last):File "/usr/bin/audit2allow", line 381, in <module>app.main()File "/usr/bin/audit2allow", line 365, in mainaudit2why.init()
SystemError: <built-in function init> returned a result with an error set

2.2 解决方案

对/usr/bin/audit2allow文件进行修改,具体修改方案如下:

$ cd /usr/bin/
$ sudo gedit audit2allow//把文件的第362行到365行注销掉,保存即可

2.3 验证

重新执行audit2allow –i avc_denied.txt >avc_deniedte.te语句,若正常生成te,则修改成功

http://www.lryc.cn/news/384089.html

相关文章:

  • 一文弄懂FPGA
  • Rust 中使用 :: 这种语法的几种情况
  • Ruby langchainrb gem and custom configuration for the model setup
  • 高校新生如何选择最优手机流量卡?
  • QT QML 生成二维码
  • IDEA中Maven--下载安装自己适配的版本---理解
  • 【osgEarth】Ubuntu 22.04 源码编译osgEarth 3.5
  • ASP.NET Core 6.0 使用 资源过滤器和行为过滤器
  • 电脑屏幕花屏怎么办?5个方法解决问题!
  • git 初基本使用-----------笔记
  • Redis-数据类型-Bit的基本操作-getbit-setbit-Bitmap
  • 统信UOS上鼠标右键菜单中添加自定义内容
  • 学习入门 chatgpt原理 一
  • 生命在于学习——Python人工智能原理(4.7)
  • 经典游戏案例:仿植物大战僵尸
  • [Day 18] 區塊鏈與人工智能的聯動應用:理論、技術與實踐
  • 【Mac】DMG Canvas for mac(DMG镜像制作工具)软件介绍
  • RAG分块方法 从固定大小到自然语言处理分块——深入研究文本分块技术
  • FFmpeg 系列
  • 240626_昇思学习打卡-Day8-稀疏矩阵
  • Docker: 使用容器化数据库
  • Oracle对用户敏感数据进行编码处理
  • VXLAN详解:概念、架构、原理、搭建过程、常用命令与实战案例
  • Redis-数据类型-Hash
  • 基于redisson实现tomcat集群session共享
  • postgres数据库的流复制
  • Dxf库中的DL_Extrusion类
  • “ONLYOFFICE 8.1版本评测:功能更强大,用户体验更佳”
  • 搜维尔科技:【研究】触觉手套比控制器更能带来身临其境、更安全、更高效的虚拟体验
  • 【小学期】实体类设计——以学生管理系统为例