linux文件组 avc: denied { dac_read_search } for capability=2

简介: linux文件组 avc: denied { dac_read_search } for capability=2

linux文件组

 avc: denied { dac_read_search } for capability=2 scontext=u:r:xxx:s0
 avc: denied { dac_override } for capability=1 scontext=u:r:xxx:s0 tcontext=u:r:xxx:s0 tclass=capability permissive=0


1、当报这种dac的 avc selinux权限是一般是因为不在同一个用户组导致的无法访问。


2、我们可以查看需要访问的文件的用户组:

ls -lZ


或者有时候不知道需要在哪个组里才能访问我们需要的文件时,我们可以查看当前可以访问该文件的进程所在的用户组:

adb shell ps -AlZ | grep -Ei "xxx"
u:r:xxx_app:s0                 5 S  1000   7867   1610 0  19   0   - 3727967 0    ?        00:00:00 android.xxxtest

首先查找进程的id号,这里是7867

adb shell 
cat proc/7867/status


输入 上面的命令查看 android.xxxtest 进程的信息


Name: android.xxxtest
Umask:  0077
State:  S (sleeping)
Tgid: 7867
Ngid: 0
Pid:  7867
PPid: 1610
TracerPid:  0
Uid:  1000  1000  1000  1000
Gid:  1000  1000  1000  1000
FDSize: 64
Groups: 0 1000 1000 1003 1004 1007 1065 1077 2001 2901 3001 3002 3003 3007 9997 
VmPeak: 15187360 kB
VmSize: 14911868 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:     78300 kB
VmRSS:     68440 kB
RssAnon:      2576 kB
RssFile:     65468 kB
RssShmem:      396 kB
VmData:   667424 kB
VmStk:      8192 kB
VmExe:        28 kB
VmLib:    147056 kB
VmPTE:       940 kB
VmSwap:    36704 kB
CoreDumping:  0
THP_enabled:  0
Threads:  17
SigQ: 3/12941
SigPnd: 0000000000000000
ShdPnd: 0000000000000000
SigBlk: 0000000080001204
SigIgn: 0000000000000001
SigCgt: 0000006e400084f8
CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
CapBnd: 0000000000000000
CapAmb: 0000000000000000
NoNewPrivs: 0
Seccomp:  2
Speculation_Store_Bypass: thread vulnerable
Cpus_allowed: 3f
Cpus_allowed_list:  0-5
Mems_allowed: 1
Mems_allowed_list:  0
voluntary_ctxt_switches:  39
nonvoluntary_ctxt_switches: 45


这里可以看到就是我们需要的用户组信息:


Groups: 0 1000 1000 1003 1004 1007 1065 1077 2001 2901 3001 3002 3003 3007 9997


通过命令查看对应的数字代表的具体用户组:


id 9997
uid=9997(everybody) gid=9997(everybody) groups=9997(everybody) context=u:r:su:s0

可以看到9997 是everybody 组


3、给我们自己的进程添加组:

在init.xxx.rc里


service lala /vendor/bin/lala
  class core
  user root
  socket lala stream 0666 root root
  seclabel u:r:lala:s0
  group root diag everybody external_storage sdcard_rw sdcard_r media_rw reserved_disk graphics system oem_2901

将我们的service 在group中添加需要的组即可

通过”ps -e” 可以看到,Android系统中存在很多User

当前运行的进程的UID很多样,root,system,radio,u0_a*等等,


其中前缀为u0_a代表的是APP进程的UID


目录
相关文章
|
1月前
|
Linux 数据安全/隐私保护 Windows
命令方式:window向linux传文件
【10月更文挑战第6天】本文介绍了如何在Linux系统中通过命令`ip a`获取IP地址,并在Windows系统下使用CMD命令行工具和SCP命令实现文件传输。示例展示了如何将D盘中的`mm.jar`文件上传至IP地址为192.168.163.122的Linux系统的/up/目录下,最后在Linux系统中确认文件传输结果。
234 65
|
24天前
|
运维 安全 Linux
Linux中传输文件文件夹的10个scp命令
【10月更文挑战第18天】本文详细介绍了10种利用scp命令在Linux系统中进行文件传输的方法,涵盖基础文件传输、使用密钥认证、复制整个目录、从远程主机复制文件、同时传输多个文件和目录、保持文件权限、跨多台远程主机传输、指定端口及显示传输进度等场景,旨在帮助用户在不同情况下高效安全地完成文件传输任务。
172 5
|
24天前
|
Linux Shell 数据库
Linux文件查找新姿势:总有一种你没见过
【10月更文挑战第18天】文件查找是Linux用户提升工作效率的重要技能。本文介绍了几种实用的文件查找方法,包括基础的`find`命令、快速的`locate`和`mlocate`、高效的`fd`工具、以及结合`grep`和`rg`进行内容搜索。此外,还提供了编写Shell脚本和使用图形界面工具的建议,帮助你更灵活地管理文件。
62 3
|
1月前
|
Linux Shell
Linux系统文件默认权限
Linux系统文件默认权限
|
6天前
|
Linux 开发工具 Perl
在Linux中,有一个文件,如何删除包含“www“字样的字符?
在Linux中,如果你想删除一个文件中包含特定字样(如“www”)的所有字符或行,你可以使用多种文本处理工具来实现。以下是一些常见的方法:
30 5
|
6天前
|
安全 Linux 数据安全/隐私保护
在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。
在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。本文介绍了使用 `ls -l` 和 `stat` 命令查找文件所有者的基本方法,以及通过文件路径、通配符和结合其他命令的高级技巧。还提供了实际案例分析和注意事项,帮助读者更好地掌握这一操作。
23 6
|
6天前
|
Linux
在 Linux 系统中,`find` 命令是一个强大的文件查找工具
在 Linux 系统中,`find` 命令是一个强大的文件查找工具。本文详细介绍了 `find` 命令的基本语法、常用选项和具体应用示例,帮助用户快速掌握如何根据文件名、类型、大小、修改时间等条件查找文件,并展示了如何结合逻辑运算符、正则表达式和排除特定目录等高级用法。
31 6
|
7天前
|
监控 Linux Perl
Linux 命令小技巧:显示文件指定行的内容
在 Linux 系统中,处理文本文件是一项常见任务。本文介绍了如何使用 head、tail、sed 和 awk 等命令快速显示文件中的指定行内容,帮助你高效处理文本文件。通过实际应用场景和案例分析,展示了这些命令在代码审查、日志分析和文本处理中的具体用途。同时,还提供了注意事项和技巧,帮助你更好地掌握这些命令。
21 4
|
13天前
|
网络协议 Linux
linux系统重要文件目录
本文介绍了Linux系统中的重要目录及其历史背景,包括根目录、/usr、/etc、/var/log和/proc等目录的结构和功能。其中,/etc目录下包含了许多关键配置文件,如网卡配置、DNS解析、主机名设置等。文章还详细解释了各目录和文件的作用,帮助读者更好地理解和管理Linux系统。
35 2
|
12天前
|
缓存 监控 Linux