SELinux 添加一個權限

先看錯誤:
type=1400 avc: denied { connectto } for pid=6884 scontext=u:r:?untrusted_app:s0:c512,c768 tcontext=u:r:bluetooth:s0 tclass=unix_stream_socket permissive=0

根據規(guī)則正常的修改:
allow ?untrusted_app bluetooth:unix_stream_socket connectto;

然而修改后發(fā)現(xiàn)沒生效落剪, 納尼唧垦!

后來發(fā)現(xiàn)這么一條規(guī)則:

mlsconstrain unix_stream_socket { connectto }
              (l1 eq l2 or t1 == mlstrustedsubject or t2 == mlstrustedsubject);

這條導致即使上面驗證通過攘须, 這一條沒通過胰耗, 同樣不能執(zhí)行祟剔。
這條規(guī)則通過的3個條件:
l1 eq l2 -- l1 = s0:c512,c768 and l2 = s0 顯然不成立
t1 == mlstrustedsubject 顯然不成立
t2 == mlstrustedsubject 顯然不成立

如果想使這條生效:
type bluetooth, domain, mlstrustedsubject;

原因分析:
(PS: 5.1 不用加最后一句話, 6.0 需要加最后一句話 )
5.1 : user=_app domain=untrusted_app type=app_data_file
6.0 : user=_app domain=untrusted_app type=app_data_file levelFrom=user

levelFrom=user 導致 Slevel 從 s0 變成 s0:c512,c768
5.1 沒有這句話傅事, 所以條件 l1 eq l2 成立。

The levelFrom and level components if present will be used to determine
the level component of the security context as follows:
a) if levelFrom=none then use current level.
b) else if levelFrom=app then compute a category pair based on a
derived app id with a starting base of c512,c768 base.
c) else if levelFrom=user then compute a category pair based on a
derived user id with a starting base of c0,c256 base.
d) else if levelFrom=all then compute a category pair based on a
derived app id with a starting base of c512,c768 base, and also
compute another category pair based on a derived user id with a
starting base of c0,c256 base.
e) else if level has a value use this as the context level.
The overall objective is that the computed levels should never be the same for
different apps, users, or a combination of both. By encoding each ID as a
category pair, up to 2^16 app IDs and up to 2^16 user IDs within the 1024
categories can be represented, including the levelFrom=all or mixed
usage of levelFrom=app and levelFrom=user without concern.
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末峡扩,一起剝皮案震驚了整個濱河市蹭越,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌教届,老刑警劉巖响鹃,帶你破解...
    沈念sama閱讀 207,113評論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異案训,居然都是意外死亡买置,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,644評論 2 381
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門强霎,熙熙樓的掌柜王于貴愁眉苦臉地迎上來忿项,“玉大人,你說我怎么就攤上這事城舞⌒ィ” “怎么了?”我有些...
    開封第一講書人閱讀 153,340評論 0 344
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵家夺,是天一觀的道長脱柱。 經常有香客問我,道長拉馋,這世上最難降的妖魔是什么榨为? 我笑而不...
    開封第一講書人閱讀 55,449評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮煌茴,結果婚禮上随闺,老公的妹妹穿的比我還像新娘。我一直安慰自己蔓腐,他們只是感情好矩乐,可當我...
    茶點故事閱讀 64,445評論 5 374
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著合住,像睡著了一般绰精。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上透葛,一...
    開封第一講書人閱讀 49,166評論 1 284
  • 城市分裂傳說
    那天笨使,我揣著相機與錄音,去河邊找鬼僚害。 笑死硫椰,一個胖子當著我的面吹牛繁调,可吹牛的內容都是我干的。 我是一名探鬼主播靶草,決...
    沈念sama閱讀 38,442評論 3 401
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼蹄胰,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了奕翔?” 一聲冷哼從身側響起裕寨,我...
    開封第一講書人閱讀 37,105評論 0 261
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎派继,沒想到半個月后宾袜,有當地人在樹林里發(fā)現(xiàn)了一具尸體,經...
    沈念sama閱讀 43,601評論 1 300
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡驾窟,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 36,066評論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年庆猫,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片绅络。...
    茶點故事閱讀 38,161評論 1 334
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡月培,死狀恐怖,靈堂內的尸體忽然破棺而出恩急,到底是詐尸還是另有隱情杉畜,我是刑警寧澤,帶...
    沈念sama閱讀 33,792評論 4 323
  • ?日本核電站爆炸內幕
    正文 年R本政府宣布假栓,位于F島的核電站寻行,受9級特大地震影響,放射性物質發(fā)生泄漏匾荆。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,351評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一杆烁、第九天 我趴在偏房一處隱蔽的房頂上張望牙丽。 院中可真熱鬧,春花似錦兔魂、人聲如沸烤芦。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,352評論 0 19
  • 一樁弒父案析校,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽构罗。三九已至,卻和暖如春智玻,著一層夾襖步出監(jiān)牢的瞬間遂唧,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,584評論 1 261
  • 情欲美人皮
    我被黑心中介騙來泰國打工吊奢, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留盖彭,地道東北人。 一個月前我還...
    沈念sama閱讀 45,618評論 2 355
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像召边,于是被迫代替她去往敵國和親铺呵。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 42,916評論 2 344

推薦閱讀更多精彩內容