Android开发过程中遇到的SELINUX权限问题
1、selinux权限一般问题
问题详情
log输出如下所示:
01-01 00:00:12.210 1 1 I auditd : type=1107 audit(0.0:33): uid=0 auid=4294967295 ses=4294967295 subj=u:r:init:s0 msg=‘avc: denied{ set } for property=persist.sys.locale pid=476 uid=1000 gid=1000 scontext=u:r:hal_test_noch:s0 tcontext=u:object_r:exported_system_prop:s0 tclass=property_service permissive=0’
01-01 00:00:12.210 1 1 W /system/bin/init: type=1107 audit(0.0:33): uid=0 auid=4294967295 ses=4294967295 subj=u:r:init:s0 msg=‘avc: denied { set } for property=persist.sys.locale pid=476 uid=1000 gid=1000 scontext=u:r:hal_test_ztt:s0 tcontext=u:object_r:exported_system_prop:s0 tclass=property_service permissive=0’
01-01 00:00:12.214 476 662 W libc : Unable to set property “persist.sys.locale” to “zh-CN”: error code: 0x18
01-01 00:00:12.215 476 662 I test: PropertySet set property persist.sys.locale value is
01-01 00:00:12.226 1 1 I auditd : type=1107 audit(0.0:35): uid=0 auid=4294967295 ses=4294967295 subj=u:r:init:s0 msg=‘avc: denied{ set } for property=persist.sys.locale pid=476 uid=1000 gid=1000 scontext=u:r:hal_test_ztt:s0 tcontext=u:object_r:exported_system_prop:s0 tclass=property_service permissive=0’
01-01 00:00:12.226 1 1 W /system/bin/init: type=1107 audit(0.0:35): uid=0 auid=4294967295 ses=4294967295 subj=u:r:init:s0 msg=‘avc: denied { set } for property=persist.sys.locale pid=476 uid=1000 gid=1000 scontext=u:r:hal_test_ztt:s0 tcontext=u:object_r:exported_system_prop:s0 tclass=property_service permissive=0’
01-01 00:00:12.236 476 662 W libc : Unable to set property “persist.sys.locale” to “zh-CN”: error code: 0x18
01-01 00:00:12.236 476 662 I test: PropertySet set property persist.sys.locale value is
01-01 00:00:12.286 1 1 I auditd : type=1107 audit(0.0:47): uid=0 auid=4294967295 ses=4294967295 subj=u:r:init:s0 msg=‘avc: denied{ set } for property=persist.sys.locale pid=476 uid=1000 gid=1000 scontext=u:r:hal_test_noch:s0 tcontext=u:object_r:exported_system_prop:s0 tclass=property_service permissive=0’
01-01 00:00:12.286 1 1 W /system/bin/init: type=1107 audit(0.0:47): uid=0 auid=4294967295 ses=4294967295 subj=u:r:init:s0 msg=‘avc: denied { set } for property=persist.sys.locale pid=476 uid=1000 gid=1000 scontext=u:r:hal_test_noch:s0 tcontext=u:object_r:exported_system_prop:s0 tclass=property_service permissive=0’
01-01 00:00:12.290 476 662 W libc : Unable to set property “persist.sys.locale” to “zh-CN”: error code: 0x18
01-01 00:00:12.290 476 662 I test: PropertySet set property persist.sys.locale value is
一个以用户 ID 为 1000 的进程(可能是一个应用程序或服务)试图设置系统属性 persist.sys.locale,但由于 SELinux 的安全策略,该操作被拒绝。触发该审计的总体进程是 init(PID 476),且该请求没有有效的用户(无效的AUID和会话ID)。SELinux 在此情况下以强制模式工作,因此拒绝了这项操作。
翻译下就是表明test模块在调用set property设置系统属性persist.sys.locale时没有exported_system_prop的set权限和获取权限
解决方法
修改hal_test_ztt.te文件,添加“exported_system_prop”的设置、获取权限。
set_prop(hal_test_ztt, exported_system_prop)
get_prop(hal_test_ztt, exported_system_prop)
然后make selinux_policy,将生成的selinux权限文件push到对应的位置,
一般是android的/system/etc/selinux/ 或者/vendor/etc/selinux/
push成功之后记得重启Android设备以应用新的selinux策略。
2、neverallow问题
问题详情
log:
04-03 14:30:51.659 527 527 W test: type=1400 audit(0.0:39): avc: denied { read } for name=“u:object_r:default_prop:s0” dev=“tmpfs” ino=13409 scontext=u:r:hal_test_ztt:s0 tcontext=u:object_r:default_prop:s0 tclass=file permissive=0
04-03 14:30:51.659 527 527 W test: type=1400 audit(0.0:39): avc: denied { read } for name=“u:object_r:default_prop:s0” dev=“tmpfs” ino=13409 scontext=u:r:hal_test_ztt:s0 tcontext=u:object_r:default_prop:s0 tclass=file permissive=0
04-03 14:30:51.673 527 664 W libc : Unable to set property “persist.version” to “20”: error code: 0x18
04-03 14:30:51.673 527 664 E libc : Access denied finding property “persist.version”
04-03 14:30:51.674 527 664 I test: get persist.gwm.hud.version []
正在运行的名为 hal_test_ztt 的进程试图获取和设置系统属性persist.version时,但由于 SELinux 的安全策略,该操作被拒绝。
翻译下就是表明test模块在获取/设置系统属性persist.version时没有default_prop的set权限和get权限.
解决方法
如果是直接添加default_prop的设置权限,会报neverallow问题。
直接在hal_test_ztt .te文件夹添加:
set_prop(hal_test_ztt , default_prop)
get_prop(hal_test_ztt , default_prop)
执行make selinux_policy之后提示:
libsepol.report_failure: neverallow on line 200 of system/sepolicy/public/domain.te (or line 10674 of policy.conf) violated by allow hal_test_ztt default_prop:property_service { set };
libsepol.check_assertions: 1 neverallow failures occurred
查看对应的domain.te的200行,如下所示:
neverallow { domain -init } default_prop:property_service set;
上面的语句表示:在除了 init 以外的所有域中,禁止它们对 default_prop 类型的属性执行设置操作。
怎么解决呢?
答:有两种方法。
方法1:neverallow添加自己模块的例外,然后再自己对应的te里面配置权限。
比如自己的模块te里面写的域叫testdomain,那么直接在domain.te添加例外。注意编译遇到什么问题解决就行
neverallow { domain -init -testdomain } default_prop:property_service set;
然后再在hal_test_ztt .te文件夹添加:
set_prop(hal_test_ztt , default_prop)
get_prop(hal_test_ztt , default_prop)
方法2:
在property_contexts文件中添加一个别名定义,这里是定义成:test_prop,然后在hal_test_ztt .te里面添加权限:
property_contexts:
persist.version u:object_r:test_prop:s0
hal_test_ztt .te:
set_prop(hal_test_ztt , test_prop)
get_prop(hal_test_ztt , test_prop)
一般的,采用第二种方法。
相关文章:
Android开发过程中遇到的SELINUX权限问题
1、selinux权限一般问题 问题详情 log输出如下所示: 01-01 00:00:12.210 1 1 I auditd : type1107 audit(0.0:33): uid0 auid4294967295 ses4294967295 subju:r:init:s0 msg‘avc: denied{ set } for propertypersist.sys.locale pid476 uid1000 gid1000 scontext…...
[Java实战经验]链式编程与Builder模式
目录 链式编程Builder模式 链式编程 链式编程(Fluent AP)是一种编程风格,它通过在同一个对象上连续调用多个方法来执行一系列操作(让方法返回对象本身(return this))。这种风格的编程使代码更加…...
Windows系统docker desktop安装(学习记录)
目前在学习docker,在网上扒了很多老师的教程,终于装好了,于是决定再装一遍做个记录,省的以后再这么麻烦 一:什么是docker Docker 是一个开源的应用容器引擎,它可以让开发者打包他们的应用以及依赖包到一个…...
MIP-Splatting:全流程配置与自制数据集测试【ubuntu20.04】【2025最新版】
一、引言 在计算机视觉和神经渲染领域,3D场景重建与渲染一直是热门研究方向。近期,3D高斯散射(3D Gaussian Splatting)因其高效的渲染速度和优秀的视觉质量而受到广泛关注。然而,当处理大型复杂场景时,这种…...
怎样完成本地模型知识库检索问答RAG
怎样完成本地模型知识库检索问答RAG 目录 怎样完成本地模型知识库检索问答RAG使用密集检索器和系数检索器混合方式完成知识库相似检索1. 导入必要的库2. 加载文档3. 文本分割4. 初始化嵌入模型5. 创建向量数据库6. 初始化大语言模型7. 构建问答链8. 提出问题并检索相关文档9. 合…...
XCTF-web(三)
xff_referer 拦截数据包添加:X-Forwarded-For: 123.123.123.123 添加:Referer: https://www.google.com baby_web 提示:想想初始页面是哪个 查看/index.php simple_js 尝试万能密码,没有成功,在源码中找到如下…...
使用Python+xml+shutil修改目标检测图片和对应xml标注文件
使用Pythonxmlshutil修改目标检测图片文件名和对应xml标注文件: import os import glob import xml.etree.ElementTree as et import shutildef change_labels(source_dir):name_id 18001file_list glob.glob(os.path.join(source_dir, "*.xml"))print…...
How AI could empower any business - Andrew Ng
How AI could empower any business - Andrew Ng References 人工智能如何为任何业务提供支持 empower /ɪmˈpaʊə(r)/ vt. 授权;给 (某人) ...的权力;使控制局势;增加 (某人的) 自主权When I think about the rise of AI, I’m reminded …...
地理人工智能中位置编码的综述:方法与应用
以下是对论文 《A Review of Location Encoding for GeoAI: Methods and Applications》 的大纲和摘要整理: A Review of Location Encoding for GeoAI: Methods and Applications 摘要(Summary) 本文系统综述了地理人工智能(G…...
Verilog的整数除法
1、可变系数除法实现----利用除法的本质 timescale 1ns / 1ps // // Company: // Engineer: // // Create Date: 2025/04/15 13:45:39 // Design Name: // Module Name: divide_1 // Project Name: // Target Devices: // Tool Versions: // Description: // // Depe…...
C++ | STL之list详解:双向链表的灵活操作与高效实践
引言 std::list 是C STL中基于双向链表实现的顺序容器,擅长高效插入和删除操作,尤其适用于频繁修改中间元素的场景。与std::vector不同,std::list的内存非连续,但提供了稳定的迭代器和灵活的元素管理。本文将全面解析std::list的…...
React 把一系列 state 更新加入队列
把一系列 state 更新加入队列 设置组件 state 会把一次重新渲染加入队列。但有时你可能会希望在下次渲染加入队列之前对 state 的值执行多次操作。为此,了解 React 如何批量更新 state 会很有帮助。 开发环境:Reacttsantd 学习内容 什么是“批处理”以…...
【大模型理论篇】Search-R1: 通过强化学习训练LLM推理与利⽤搜索引擎
最近基于强化学习框架来实现大模型在推理和检索能力增强的项目很多,也是Deep Research技术持续演进的缩影。之前我们讨论过《R1-Searcher:通过强化学习激励llm的搜索能⼒》,今天我们分析下Search-R1【1】。 1. 研究背景与问题 ⼤模型(LLM&a…...
Google政策大更新:影响金融,新闻,社交等所有类别App
Google Play 4月10日 迎来了2025年第一次大版本更新,新政主要涉及金融(个人贷款),新闻两个行业。但澄清内容部分却使得所有行业都需进行一定的更新。下面,我们依次从金融(个人贷款),…...
)
什么时候触发full GC(发生场景)
文章目录 1. 老年代空间不足2. 分配担保失败3. 显式调用`System.gc()`4. 元空间/永久代空间不足5. CMS/G1的并发失败6. 空间分配担保机制7. 堆内存碎片化8. 其他场景总结回答在Java中,Full GC(全局垃圾回收)会回收整个堆内存(包括年轻代、老年代)以及元空间(或永久代)。…...
NO.93十六届蓝桥杯备战|图论基础-拓扑排序|有向无环图|AOV网|摄像头|最大食物链计数|杂物(C++)
有向⽆环图 若⼀个有向图中不存在回路,则称为有向⽆环图(directed acycline graph),简称 DAG 图 AOV⽹ 举⼀个现实中的例⼦:课程的学习是有优先次序的,如果规划不当会严重影响学习效果。课程间的先后次序可以⽤有向图表⽰ 在…...
每日文献(十三)——Part one
今天看的是《RefineNet: Iterative Refinement for Accurate Object Localization》。 目录 零、摘要 0.1 原文 0.2 译文 一、介绍 二、RefineNet A. Fast R-CNN B. Faster R-CNN C. RefineNet 训练 D. RefineNet 测试 零、摘要 0.1 原文 We investigate a new str…...
游戏引擎学习第225天
只能说太难了 回顾当前的进度 我们正在进行一个完整游戏的开发,并在直播中同步推进。上周我们刚刚完成了过场动画系统的初步实现,把开场动画基本拼接完成,整体效果非常流畅。看到动画顺利呈现,令人十分满意,整个系统…...
git提取出指定提交所涉及的所有文件
当需要提取出某次提交所修改过的所有的文件时,可以使用如下命令,该命令来自文心一言 mkdir temp_dir git diff-tree --no-commit-id --name-only -r <commit-hash> | xargs -I {} cp --parents {} temp_dir/--no-commit-id:不显示提交…...
Linux 使用Nginx搭建简易网站模块
网站需求: 一、基于域名[www.openlab.com](http://www.openlab.com)可以访问网站内容为 welcome to openlab 二、给该公司创建三个子界面分别显示学生信息,教学资料和缴费网站,基于[www.openlab.com/student](http://www.openlab.com/stud…...
抖音ai无人直播间助手场控软件
获取API权限 若使用DeepSeek官方AI服务,登录其开发者平台申请API Key或Token。 若为第三方AI(如ChatGPT),需通过接口文档获取访问权限。 配置场控软件 打开DeepSeek场控软件,进入设置界面找到“AI助手”或“自动化”…...
)
深度解析Redis过期字段清理机制:从源码到集群化实践 (二)
本文紧跟 上一篇 深度解析Redis过期字段清理机制:从源码到集群化实践 (一) 可以从redis合集中查看 八、Redis内核机制深度解析 8.1 Lua脚本执行引擎原理 Lua脚本执行流程图技术方案 执行全流程解析: #mermaid-svg-X51Gno…...
TCP标志位抓包
说明 TCP协议的Header信息,URG、ACK、PSH、RST、SYN、FIN这6个字段在14字节的位置,对应的是tcp[13],因为字节数是从[0]开始数的,14字节对应的就是tcp[13],因此在抓这几个标志位的数据包时就要明确范围在tcp[13] 示例1…...
)
如何实现动态请求地址(baseURL)
需求: 在项目中遇到了需要实时更换请求地址,后续使用修改后的请求地址(IP) 例如:原ip请求为http://192.168.1.1:80/xxx,现在需要你点击或其他操作将其修改为http://192.168.1.2:80/xxx,该如何操作 tips: 修改后需要跳转( 修改了IP之前的不可使用,需要访问修改后的地址来操作 …...
封装一个搜索区域 SearchForm.vue组件
父组件 <template><div><SearchForm:form-items"searchItems":initial-values"initialValues"search"handleSearch"reset"handleReset"><!-- 自定义插槽内容 --><template #custom-slot"{ form }&qu…...
《ADVANCING MATHEMATICAL REASONING IN LAN- GUAGE MODELS》全文阅读
《ADVANCING MATHEMATICAL REASONING IN LAN- GUAGE MODELS: THE IMPACT OF PROBLEM-SOLVING DATA, DATA SYNTHESIS METHODS, AND TRAINING STAGES》全文阅读 提升语言模型中的数学推理能力:问题求解数据、数据合成方法及训练阶段的影响 \begin{abstract} 数学推…...
Day56 | 99. 恢复二叉搜索树、103. 二叉树的锯齿形层序遍历、109. 有序链表转换二叉搜索树、113. 路径总和 II
99. 恢复二叉搜索树 题目链接:99. 恢复二叉搜索树 - 力扣(LeetCode) 题目难度:中等 代码: class Solution {public void recoverTree(TreeNode root) {List<TreeNode> listnew ArrayList<>();dfs(root,…...
GPT - GPT(Generative Pre-trained Transformer)模型框架
本节代码主要为实现了一个简化版的 GPT(Generative Pre-trained Transformer)模型。GPT 是一种基于 Transformer 架构的语言生成模型,主要用于生成自然语言文本。 1. 模型结构 初始化部分 class GPT(nn.Module):def __init__(self, vocab…...
前端加密的几种方式
前端加密的几种方式 一、对称加密原理常用算法代码示例(AES)适用场景 二、非对称加密原理常用算法代码示例(RSA)适用场景 三、哈希函数原理常用算法代码示例(SHA-256)适用场景 四、Base64 编码原…...
贪心算法:部分背包问题深度解析
简介: 该Java代码基于贪心算法实现了分数背包问题的求解,核心通过单位价值降序排序和分阶段装入策略实现最优解。首先对Product数组执行双重循环冒泡排序,按wm(价值/重量比)从高到低重新排列物品;随后分两阶段装入:循环…...