个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
27
4
在 Android 4 下,以下简单的 native C 代码行失败并出现 Permission denied 错误 when not run as 根:
online_socket = socket(AF_INET, SOCK_DGRAM, 0);
我确实拥有设备的 root 访问权限,但想以非特权用户身份运行该进程。
请注意,错误甚至发生在绑定(bind)套接字之前。
我猜有些安全设置需要调整?谁能告诉我在哪里看?
在这种情况下,操作系统实际上是 Android,但我猜问题实际上与 Linux 相关(因为 Android 基于 Linux 内核)。
对于那些想知道的人:这是一个自定义程序,在 Android 4 环境中运行的完整(debootstrapped)Debian Jessie 安装中运行。
我了解到 Android 内核有一个特殊的 CONFIG_ANDROID_PARANOID_NETWORK 扩展,它只允许 AID_INET 和 AID_NET_RAW 组中的用户访问网络。
然而,即使在将用户添加到这些组之后,socket() 仍然被拒绝(并且 ping 似乎有同样的问题,顺便说一句)。
uid=5(imp) gid=51(imp) groups=51(imp),3003(aid_inet),3004(aid_net_raw),3005(aid_admin),3001(aid_bt),3002(aid_bt_net)
我无法判断是否在这个特定的内核中设置了 CONFIG_ANDROID_PARANOID_NETWORK 标志,因为我无权访问配置文件。
我发现 root 和 还有我的非特权用户 imp 实际上可以成功调用 socket() - 至少使用上述组设置。
但是,调用与root 相同的进程,然后使用seteuid() 系统切换到imp调用阻止 socket() 成功。有什么想法吗?
最佳答案
事实证明,Android 使用了一个特殊的内核补丁,该补丁通过 CONFIG_ANDROID_PARANOID_NETWORK 激活。此补丁允许网络访问属于具有硬编码 ID 的某些特殊组的系统用户。
groupadd -g 3001 aid_bt
groupadd -g 3002 aid_bt_net
groupadd -g 3003 aid_inet
groupadd -g 3004 aid_net_raw
groupadd -g 3005 aid_admin
这是因为 Android 通常仅在特定应用具有网络权限时才将用户(即应用)添加到这些组。
将用户添加到这些组将授予其使用 socket() 的权限,如问题中所述:
usermod -a -G aid_bt,aid_bt_net,aid_inet,aid_net_raw,aid_admin someuser
但是,当一个进程使用seteuid()从root切换到非特权用户(例如someuser),那么这个有效用户拥有 aid_* 组成员身份是不够的(或者可能不相关)。相反,root 用户必须明确地成为这些组的成员:
usermod -a -G aid_bt,aid_bt_net,aid_inet,aid_net_raw,aid_admin root
这解决了我的问题。
请注意,我也尝试过使用 setegid() 和类似的替代方案,但没有任何帮助...
关于permissions - 什么会导致 socket() "Permission denied"错误?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36451444/
27
4
0
我从 ssh 收到以下错误: Permissions 0777 for '/Users/username/.ssh/id_rsa' are too open. It is recommended th
我正在使用 WSL1(Windows Linux 子系统)和 Ubuntu 20.04.1 LTS 开发 Win10。我有一个 Samba (1.0) 网络共享,我想通过我的 Ubuntu 终端在上面
文件权限 我有一个文件 data.tgz我想解压缩。 -rw-r--r-- 1 username group 20342951248 mai 18 11:50 data.tgz 目录权限 文件所在的目
我正在尝试设置一些其他组不应该看到的组维护文件夹。目前,我通过取消单击@@sharing 选项卡中的“从更高级别继承权限”复选框来实现这一点,但我想自动执行此操作。 我在文档或谷歌搜索中找不到任何关于
在 Android 4 下,以下简单的 native C 代码行失败并出现 Permission denied 错误 when not run as 根: online_socket = socket
(我是 tortoise SVN 的新手) 我的乌龟 SVN 中有 2 个文件夹。每个人都需要一组不同的授权(我不想有权访问第一个文件夹的人对第二个文件夹具有读/写访问权限。 我怎样才能完成它?我注意
我用 tar -zxvf tarFile.tar.gz解压tarFile,但有错误提示tar: subfile :Cannot open: Permission denied . 我是root用户,权
我是 WAMP 的新手我今天刚刚安装了它。 设置进行得很顺利,本地主机似乎可以工作,但是当我尝试访问 phpMyAdmin 时我收到此错误: Forbidden You don't have perm
我想做的是从文件夹内的文件夹中获取 .mp3 文件。多次。 一切都很完美,除了当我尝试将文件复制到新文件夹(已经存在)时,它给出:[Errno 13]权限被拒绝: import os, shutil
我是 WAMP 的新手我今天刚刚安装了它。 设置进行得很顺利,本地主机似乎可以工作,但是当我尝试访问 phpMyAdmin 时我收到此错误: Forbidden You don't have perm
我正在开发一个应用程序,我在其中使用塔位置跟踪位置。所以我使用地理定位 api 来跟踪位置并访问手机状态以获取网络详细信息。 这很好用,突然间它开始给出 LOCATION_HARDWARE 权限的安全
这两种语法有什么区别。android:uses-permission 和 uses-permission。例如: 当我创建一个从存储中读取的 Activity 时,Android Studio 自
我正在尝试使用新的 GrantPermissionRule这是最新支持库的一部分。 在我的 list 中,我声明如下: 在我的代码中,我调用: @Rule public GrantPermissio
有没有navigator.permissions.query 的替代方案 Permissions API 查询以检查 geolocation 权限。导致它仍处于工作草案中并且浏览器兼容性较差。 W3C
这个错误真的真的很奇怪,我不知道如何重现它以及如何修复它,因为我进行了大量搜索,但没有任何用处。 这是堆栈跟踪: Stack Trace _______________________________
我正在尝试在 ubuntu 16.4 上安装 MaryTTS。 但是当我上线时 sudo -u mary git clone https://github.com/marytts/marytts.gi
在我们基于 Symfony2 的应用程序中,我们希望创建一个列表,列出系统中哪些用户对给定域对象具有权限。我们正在使用 ACL,我们的直接直觉是查看从相关域对象的 ACLProvider 返回的 AC
我今天收到这封邮件,但我没有使用 Admob 广告,而是使用 applovin 和 Facebook,我必须添加此权限还是仅适用于他们使用 Admob 的开发者? 即使没有像我一样的admob,每个人
我有一个 Jenkins 用户,我想授予其对 Jenkins 实例运行远程 CLI 的权限。第一个命令是获取 config.xml: java -jar jenkins-cli.jar -s http
我今天收到这封邮件,但我没有使用 Admob 广告,而是使用 applovin 和 Facebook,我必须添加此权限还是仅适用于他们使用 Admob 的开发者? 即使没有像我一样的admob,每个人
我是一名优秀的程序员,十分优秀!