MyException - 我的异常网
当前位置:我的异常网» Linux/Unix » SELinux policy有关问题解决思路总结

SELinux policy有关问题解决思路总结

www.MyException.Cn  网友分享于:2013-03-06  浏览:0次
SELinux policy问题解决思路总结
本文转自 http://www.th7.cn/system/lin/201512/147098.shtml
SELinux policy问题解决思路总结
一、了解SELinux基本概念,这个网上资料很多,参考下(http://jingpin.jikexueyuan.com/article/55398.html)

http://blog.csdn.net/innost/article/details/19299937/

http://blog.csdn.net/luoshengyang/article/details/37613135

http://www.2cto.com/kf/201504/390742.html

二、确认是否安全问题

可以通过手动关闭selinux,确认问题是否是权限引起的,具体方法:

查看SELinux状态:

1、/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态

SELinux status:                 enabled

2、getenforce                 ##也可以用这个命令检查

关闭SELinux:

1、临时关闭(不用重启机器):

setenforce 0                  ##设置SELinux 成为permissive模式

                              ##setenforce 1 设置SELinux 成为enforcing模式



三、抓dmesg log,转换出系统缺少的policy

dmesg log:

dmesg | grep rpcServer

[ 8.132704] init: Starting service 'rpcServer'...

[ 12.936186] type=1400 audit(1449623772.120:13): avc: denied { read } for pid=174 comm="rpcServer" name="mmcblk0p1" dev="tmpfs" ino=8105 scontext=u:r:rpcServer:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

比如上面这个log,你需要能清楚这句话的意思:原进程(scontext)需要目标(tcontext)进程tclass属性的read权限 。

我们可以通过ls -Z、ps -Z、ls -l等查看具体设备文件相关属性

三、如何添需要的权限(这个可以分3类来处理)

1.第一类比较简单,通过audit2allow等工具转换出对应模块缺少的policy(.te文件)

添加到sepolicy/rpcServer.te:

allowrpcServer block_device:blk_file read ;  分别对应上面的allow scontext tcontext:tclass   read


2.第二类,有一些policy加进来,编译的时候系统会报错,原因是我们上面转换的policy一般都是某个进程对所以的的设备文件具有相关权限,这个权限过大,会和google的安全策略(external/sepolicy下neverallow)想冲突。这种情况下,我们需要找出原进程究竟需要哪个具体的设备文件的相关权限,就可以解决

添加:

先在sepolicy/file_contexts定义mmcblk0p1 设备节点:/dev/block/mmcblk0p1 u:object_r:rpc_block_device:s0

在sepolicy/rpcServer.te添加该设备节点的权限:allow rpcServer rpc_block_device:blk_file read;

3.第三类,原进程的属性(root、radio、system等)与目标设备文件的属性不匹配,这种情况下我们映射会不起作用。这样的话,需要在init.rc 和ueventd.rc里面修改相应的属性:

我这边例子是查下来问题原因:

vmodem driver is not able openthe NVM partitions so default NVM values are expected. Issue is with permissionmis-match:
vmodem driver context is “radio”and block device nodes are “root”
由于mmcblk0p1是modem使用的Nvm Calculate Static,rpcServer无权限挂载,先将rpcServer和设备mmcblk0p1都设置设置成一样的radio属性:

ueventd.rc文件中:

/dev/block/mmcblk0p1 0660 radio radio

/dev/vmodem 0660 radio radio

init.rc和init.ptest.rc文件中,system/bin/rpcServer 的user、group的root属性改成radio:

chown radio radio /sys/class/misc/vmodem/modem_state

service rpcServer /system/bin/rpcServer

socket msmSock stream 660 system radio

class core

user radio

group radio

然后添加kernel和rpcServer对mmcblk0p1 设备的权限:

在sepolicy/file_contexts定义mmcblk0p1 设备节点:/dev/block/mmcblk0p1
u:object_r:rpc_block_device:s0

在sepolicy/kernel.te:allowkernel rpc_block_device:blk_file
read;

在sepolicy/rpcServer.te:allow
rpcServer rpc_block_device:blk_file read;

其中上面两种情况解决套路是一样的,而第三种,需要根据不同的平台,对应的设备和进程属性来具体分析。

文章评论

60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
程序员的鄙视链
程序员的鄙视链
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
一个程序员的时间管理
一个程序员的时间管理
程序员和编码员之间的区别
程序员和编码员之间的区别
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
为什么程序员都是夜猫子
为什么程序员都是夜猫子
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
总结2014中国互联网十大段子
总结2014中国互联网十大段子
10个调试和排错的小建议
10个调试和排错的小建议
漫画:程序员的工作
漫画:程序员的工作
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
 程序员的样子
程序员的样子
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
鲜为人知的编程真相
鲜为人知的编程真相
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
我的丈夫是个程序员
我的丈夫是个程序员
每天工作4小时的程序员
每天工作4小时的程序员
我是如何打败拖延症的
我是如何打败拖延症的
如何成为一名黑客
如何成为一名黑客
那些争议最大的编程观点
那些争议最大的编程观点
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
Java程序员必看电影
Java程序员必看电影
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
编程语言是女人
编程语言是女人
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
中美印日四国程序员比较
中美印日四国程序员比较
程序员应该关注的一些事儿
程序员应该关注的一些事儿
老程序员的下场
老程序员的下场
程序员必看的十大电影
程序员必看的十大电影
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有