工作日报2022。1。18selinux权限
2022.1.18问题澄清;记录仪屏蔽通知栏SE澄清;WBIT用例书写。codex问题处理;后续流程跟踪。翻译词条归一整理;TdConfig修改 SE澄清;安全终端加密服务密保保存功能,增加OTA参数;
根据"avc: denied"的log添加了selinux权限还是提示没有相应的权限问题
在高通10.0的平台上遇到自己添加的设备节点在app调用失败的问题,通过过滤"avc: denied"查看log知道是缺少selinu权限,但根据log给相应的设备节点添加了selinux权限后,还提示却相应的selinux权限,出问题时的log如下: 07-18 02:55:14.619 13924 13924 W xxx.activity: type=1400 audit(0.0:527): avc: denied { read write } for name="spidev" dev="tmpfs" ino=14885 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0
根据log添加selinux权限如下: +++ b/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/device.te @@ -167,3 +167,7 @@ type nlcm_dev,dev_type; + +# for spidev +type spidev_device, dev_type; diff --git a/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/file_contexts b/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/file_contexts index f470634..7773b53 100644 --- a/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/file_contexts +++ b/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/file_contexts @@ -94,6 +94,8 @@ /dev/CM30 u:object_r:nlcm_dev:s0 /dev/i2c-6 u:object_r:nlcm_dev:s0 /dev/softd u:object_r:nlcm_dev:s0 +/dev/spidev u:object_r:spidev_device:s0 diff --git a/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/untrusted_app_25.te b/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/untrusted_app_25.te new file mode 100644 index 0000000..c910ac5 --- /dev/null +++ b/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/untrusted_app_25.te @@ -0,0 +1,5 @@ +# for spidev +allow untrusted_app_25 spidev_device:chr_file rw_file_perms;
理论上 加了 rw_file_perms,这个权限,已经包含了 读 写的 全部权限, 但是 实际情况是 还是 有 avc: denied 07-18 03:38:14.619 13924 13924 W xxx.activity: type=1400 audit(0.0:527): avc: denied { read write } for name="spidev" dev="tmpfs" ino=14885 scontext=u:r:untrusted_app_25:s0:c512,c768 tcontext=u:object_r:spidev_device:s0 tclass=chr_file permissive=0
这个 write 权限还是有问题, 打出的log中正常的情况是没有"c512,c768"的。selinux主要采用了两种强制访问的方法: TE MLS,这个就是 和MLS 相关的,具体的可在网上搜selinux MLS了解。
在selinux中共定义了三个拥有巨大权限的attribute分别是mlstrustedsubject、mlstrustedobject、unconfineddomain,被分类到mlstrustedsubject的type在充当主体domain是可以越过MLS检查,被分类到mlstrustedobject的type在充当客体时可以越过MLS检查,被分到unconfineddomain的type则拥有所有权限可对客体进行任意操作。
具体的修改如下: +++ b/LA.UM.8.6.2/LINUX/android/device/qcom/sepolicy/vendor/common/device.te @@ -167,3 +167,7 @@ type nlcm_dev,dev_type; + +# for spidev +type spidev_device, dev_type, mlstrustedobject;
为什么滴滴打车可以给没有网约车资格的车派单?因为滴滴公司只管抽成就行!管你司机和乘客死活!只要你能在滴滴app上注册,就给你派单。你接单人家就可以抽成!至于车和司机合不合格,有没有资格,会不会罚款,那都是你们自己的事情!如果华为2021年营收大幅下降,为了支持华为,我们能做点什么?支持华为,说白了,就是支持国家的科技发展,支持国家的科技进步,同样也是一种爱国的表现,是每一个正直善良的中国人应该做的事情!这不是道德绑架,更不是耸人听闻。我们知道,作为一家世界有请问滴滴你的底线在哪里2022年1月1日,新年新气象,但是我遇见了一个奇葩!我接了傲娇的大小姐,我到了目的地,我给打电话,告诉我已经到达,但是告诉我她不在定位的地点!叫我去接,我就去呗,我开始行程了,然目前新能源汽车股价一路下跌,未来何去何从?最近有很多人问我整车行情是怎么了,一路下跌,比如大家熟悉的某安汽车某康股份等等,这里我简单阐述下个人观点与逻辑。先说业绩方面最近两年新能源车的发展,政策的主导下,加上巨额的财政补贴目前屏幕素质最强的5款手机,追求绝美观感,不建议你错过性能续航拍照和充电对手机使用体验的影响其实是次要的,考虑到我们使用手机都是与屏幕来完成交互,所以我认为屏幕素质其实更重要,而就目前已经推出的手机而言,以下5款手机的屏幕素质堪称一绝Java多线程与并发系列从0到1全部合集,强烈建议收藏Java多线程与并发编程现在已经属于Java面试的重灾区,特别是第一轮面试经常被问到。很多同学掌握不好主要就是两个点对并发的体系化掌握不好,还有就是其中的技术深度点掌握不好。为了方如何区分什么手机是高价低配?内行人建议看好这三点,别吃亏正所谓一分价钱一分货,其实消费者对于产品定价,只要对得起产品价值,不会相差太多都不会让消费者太过吐槽,但是在智能手机市场总会出现一些高价低配的手机,引起众多消费者的不满,那么我们该这2款电动车,不用充电,直接换电,适合跑外卖,到底怎么选?请您在阅读前,先点击上面的关注。感谢您的支持,我们将为您带来更多有价值的内容。今天新能源战略家给大家安利一种新型的跑外卖神器。不用充电,直接换电,节省外卖车充电时间的电动车,满足外旗舰官宣1月发!荣耀MagicV赵明预热全新MagicUI6也来了日前,荣耀官方预热荣耀首款折叠屏旗舰荣耀MagicV即将发布,今天终于透露了发布时间。荣耀赵明在回顾2021展望2022年的长文里表示荣耀首款折叠屏旗舰荣耀MagicV将在1月发布新年换新机不要扣扣搜搜,选这几款旗舰机,不仅有面子关键还好用俗话说得好,一分价钱一分货。贵的手机自然有它贵的道理。我们正处在一个互联网的时代,商品的价格都很透明。手机厂商也不敢随便定价,毕竟消费者也不是傻子。元旦期间正式购买新手机的绝佳时期常用linux命令ncnc是netcat的简写,常用参数1)l指定nc将处于侦听模式。意味着nc被当作server,侦听并接受连接,而非向其它地址发起连接2)pport指定端口3)s指定发送数据的源IP