[Android L]SEAndroid开放设备文件结点权限(读或写)方法(涵盖常用操作:sys/xxx、proc/xxx、SystemProperties)热门干货

最新推荐文章于 2022-08-16 10:34:20 发布
最新推荐文章于 2022-08-16 10:34:20 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: 高通Qualcomm+android Android操作系统

点击打开链接

温馨提示

     建议你先了解一下上一篇博文([Android L]SEAndroid增强Androd安全性背景概要及带来的影响)所讲的内容,先对SEAndroid窥个全貌,然后再继续本节内容。

1 现象描述


基于Android L版本源码环境进行开发时,根据项目需求,APP层需要操作sys/xxx 或 proc/xxx下面的文件结点,但是会报出以下权限异常,无法直接操作这些结点
L edLightFileUtil( 4671): java.io.FileNotFoundException: /sys/class/leds/green/brightness: open failed: EACCES (Permission denied)
LedLightFileUtil( 4671): at libcore.io.IoBridge.open(IoBridge.java:456)
LedLightFileUtil( 4671): at java.io.FileOutputStream.<init>(FileOutputStream.java:87)
LedLightFileUtil( 4671): at java.io.FileOutputStream.<init>(FileOutputStream.java:127)
LedLightFileUtil( 4671): at java.io.FileOutputStream.<init>(FileOutputStream.java:116)

【声明】欢迎转载,但请保留文章原始出处: http://blog.csdn.net/yelangjueqi/article/details/46761987

2 问题原因


自Android L版本,Google对源码环境普遍启用SELinux安全访问机制,APP及framework层默认情况下再无权限访问设备节点如(sys/xxx,proc/xxx)

3 解决方法


下面以三种常用操作角度阐述为system app进程或system server进程开放权限的方法
1) SEAndroid 为sys设备文件结点开放访问(读或写)权限的方法(如:/sys/class/leds/green/brightness)
2) SEAndroid 为proc设备文件结点开放访问(读或写)权限的方法(如:/proc/touchscreen_feature/gesture_data)
3) SEAndroid 为SystemProperties的自定义属性开放set(写)权限的方法

3.1 SEAndroid 为sys设备文件结点开放访问(读或写)权限的方法(如:/sys/class/leds/green/brightness)

以操作LED灯的设备文件节点为例进行说明,如绿灯:/sys/class/leds/green/brightness,为APP层system app进程开放该节点访问权限(读或写)
绿灯:
/sys/class/leds/green/brightness //快捷方式
/sys/devices/soc.0/gpio-leds.66/leds/green/brightness //实际节点

PS:默认是在external/sepolicy目录下面,但是MTK平台和QCOM平台都创建了自己管理SELinux policy的目录:
MTK:alps/device/mediatek/common/sepolicy
QCOM:android/device/qcom/sepolicy/common
所以建议你在其平台的相应目录下面去操作,下面以QCOM平台为例,MTK平台配置步骤方法是一样的(alps/device/mediatek/common/sepolicy)

3.1.1 在android/device/qcom/sepolicy/common/file.te,定义selinux type:sysfs_wingtk_leds,如下:

type sysfs_wingtk_leds, fs_type, sysfs_type;

3.1.2 在android/device/qcom/sepolicy/common/file_contexts,绑定sysfs_wingtk_leds到对应的实际节点,注意是实际节点

/sys/devices/soc.0/gpio-leds.66/leds/green/brightness u:object_r:sysfs_wingtk_leds:s0

PS:可以把/sys/class/leds/green/brightness也声明下,该句不是必须的:

/sys/class/leds/green/brightness u:object_r:sysfs_wingtk_leds:s0

汇总:file_contexts的修改如下:

/sys/class/leds/green/brightness u:object_r:sysfs_wingtk_leds:s0
/sys/devices/soc.0/gpio-leds.66/leds/green/brightness u:object_r:sysfs_wingtk_leds:s0

3.1.3 在android/device/qcom/sepolicy/common/system_app.te,申请权限:

allow system_app sysfs_wingtk_leds:file rw_file_perms;

PS:也可以为其他process申请相关的权限,如:system_server,在android/device/qcom/sepolicy/common/system_server.te

allow system_server sysfs_wingtk_leds:file rw_file_perms;

PS:配置第2步的实际节点时,怎么获取实际节点,方法如下:

root@K31-t7:/sys/class/leds # ll -Z
lrwxrwxrwx root root u:object_r:sysfs:s0 flashlight -> ../../devices/soc.0/flashlight.64/leds/flashlight
lrwxrwxrwx root root u:object_r:sysfs:s0 green -> ../../devices/soc.0/gpio-leds.66/leds/green
lrwxrwxrwx root root u:object_r:sysfs:s0 lcd-backlight -> ../../devices/soc.0/1a00000.qcom,mdss_mdp/qcom,mdss_fb_primary.124/leds/lcd-backlight
lrwxrwxrwx root root u:object_r:sysfs:s0 mmc0:: -> ../../devices/soc.0/7824900.sdhci/leds/mmc0::
lrwxrwxrwx root root u:object_r:sysfs:s0 mmc1:: -> ../../devices/soc.0/7864900.sdhci/leds/mmc1::
lrwxrwxrwx root root u:object_r:sysfs:s0 red -> ../../devices/soc.0/gpio-leds.66/leds/red
lrwxrwxrwx root root u:object_r:sysfs:s0 torch-light0 -> ../../devices/soc.0/qcom,camera-led-flash.65/leds/torch-light0
root@K31-t7:/sys/class/leds #

通过 ll -Z 命令就可以查到。

3.1.4 在AndroidManifest.xml,配置:android:sharedUserId="android.uid.system",该步时必须的,因为第三步是:
allow system_app sysfs_wingtk_leds:file rw_file_perms; //仅允许system_app进程访问.

经过以上四步,APP层就可以正常读写:/sys/class/leds/green/brightness

为了更好地控制访问权限,如果存在APP层和framework层都要访问某个设备节点,笔者认为最好以此模式来访问设备节点,即不让system_app进程访问,仅仅允许system_server进程来访问,如下:
allow system_server sysfs_wingtk_leds:file rw_file_perms;

缺点:需要在framework层添加随系统启动的service,增加代码量
优点:1.可以自由控制哪些应用可以访问,哪些应用禁止访问已经开放的设备节点,可以更好的保护安全问题
       2.framework层和APP层都可以访问该设备节点.不用再另外进行权限申请

3.2 SEAndroid 为proc设备文件结点开放访问(读或写)权限的方法(如:/proc/touchscreen_feature/gesture_data),以MTK平台为例

修改记录

细节展开


3.2.1 在alps/mediatek/common/sepolicy/file.te 定义selinux type: proc_quick_gesture,如下:
type proc_quick_gesture, fs_type;

3.2.2 在 alps/mediatek/common/sepolicy/genfs_contexts,绑定proc_quick_gesture到对应的实际节点
genfscon proc /touchscreen_feature/gesture_data   u:object_r:proc_quick_gesture:s0

3.2.3 在alps/mediatek/common/sepolicy/common/system_app.te,申请权限
allow system_app proc_quick_gesture:file rw_file_perms;

3.2.4 在AndroidManifest.xml,配置:android:sharedUserId="android.uid.system"
经过以上4步,system_app进程就具备权限(读或写)访问 /proc/touchscreen_feature/gesture_data等节点啦

3.3 SEAndroid 为SystemProperties的自定义属性开放set(写)权限的方法

问题描述
SystemProperties对自定义属性没有写权限,即set时提示没有权限,导致写不成功
解决方法
以"persist.backgrounddata.enable"为例介绍开放属性权限方法

以QCOM平台为例
3.3.1 android/device/qcom/sepolicy/common/property.te

type persist_backgrounddata_prop, property_type;

3.3.2 android/device/qcom/sepolicy/common/property_contexts

persist.backgrounddata.enable u:object_r:persist_backgrounddata_prop:s0

3.3.3 android/device/qcom/sepolicy/common/system_app.te,为system_app进程开放权限

allow system_app persist_backgrounddata_prop:property_service set;

3.3.4 在AndroidManifest.xml,配置:android:sharedUserId="android.uid.system"

经过以上4步,就可以使用SystemProperties.set("persist.backgrounddata.enable"", xx)设置属性了。

延伸阅读

如果通过以上步骤正确配置之后,你仍没有权限读写sys或proc节点,是不是DAN都碎了。再告诉你下,你需要到init.rc里面配置: chown system system 文件结点,然后chmod下文件结点。两个平台配置路径,项目不同略有差异
MTK:alps/device/mediatek/mt6735/init.mt6735.rc
QCOM:xx/xx/init.target.rc

loongembedded
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 操作系统 GTK /proc文件 系统监视器
02-24
linux下取/proc获得系统信息 监控系统状态,显示系统若干部件的使用情况。 用GTK库实现图形界面显示系统监控状态
解决mysql ERROR 1017:Can't find file: '/xxx.frm' 错误
09-11
如果重启服务器前没有关闭mysql,MySql的MyiSAM表很有可能会出现 ERROR #1017 :Can't find file: '/xxx.frm' 的错误
服务器 java项目报错java.io.FileNotFoundException: (Permission denied)
m0_62767005的博客
08-16 1万+
java.io.FileNotFoundException: (Permission denied)
java.io.FileNotFoundException: /storage/emulated/0/Download/xxx: open failed: EACCES (Permission den
xiaodongvtion的专栏
12-10 1万+
问题 java.io.FileNotFoundException: /storage/emulated/0/Download/xxx: open failed: EACCES (Permission denied) 首先需要说明一下我的这个问题是Android 10才出现的,Android10以下的都没有,这里主要说的不是动态申请访问文件权限问题。因为我已经动态申请了权限,并且在获得权限后存储文件报的这个错误。 解决 先说一下解决版本只需要在AndroidManifest.xml文件的app...
Android程序报错:Anroid 6.0 权限问题java.io.FileNotFoundException: ……:open failed: EACCES (Permission denied)
热门推荐
可乐淘的专栏
10-15 4万+
异常: java.io.FileNotFoundException: /storage/emulated/0/Video/ekwing_main_paren.apk(你的文件路径): open failed: EACCES (Permission denied) 原因 Android 6.0 ,有些权限属于 Protected Permission,这类权限只在 AndroidMa
AndroidQ FileNotFoundException: open failed: EACCES (Permission denied),权限都允许了还是报错
Choi晨的博客
12-17 8475
解决方法: 在清单文件AndroidManifest.xml添加 :android:requestLegacyExternalStorage="true" 再说问题: 选择手机文件(照片) 同样的代码,在compileSdkVersion = 27 是没有问题的; 但是在compileSdkVersion = 29 AndroidX ,AndroidManifest.xml的...
Android 6.0系统文件出现FileNotFoundException:EACCES (permission denied)解决办法
无尽沉淀……
06-23 3257
先检查你的AndroidManifest.xml是否已经有权限: uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" /> uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" />1212 然后在获取文
java.io.filenotfoundexception: /data/x‘x‘x.jpg: open failed: eacces (permissions denied)
AntPro
03-22 5106
java.io.filenotfoundexception: /data/xxx.jpg: open failed: eacces (permission denied) 一、老生常谈的权限和Java请求权限以及AndroidMainfest ——————————————————————————— 1、权限 ——————————————————————————— <uses-permission android:name="android.permission.READ_EXTERNAL_STORA
open failed: EACCES (Permission denied)错误解决亲测有效
qq_41381957的博客
05-18 2万+
前两天在使用Android studio练习通过手机上传照片时,明明在mainifest已经获取了取和写入权限,但还是产生了open failed: EACCES (Permission denied) 的错误。 上网找了很多解决办法,其经验贴出现最多的就是说要在Java文件再次检查权限,也就是添加下面的代码 if (Build.VERSION.SDK_INT >= 23) { int REQUEST_CODE_PERMISSION_STORAGE = 100;
解决open failed: EACCES (Permission denied)
谢伟光的博客
03-22 1742
在Manifest的Application加属性 android:requestLegacyExternalStorage="true"
Android为Tiny4412设备驱动在proc目录下添加一个可版本信息的文件
08-26
今天小编就为大家分享一篇关于Android为Tiny4412设备驱动在proc目录下添加一个可版本信息的文件,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
操作系统】基于/proc文件的Linux资源监视器
05-18
Python,使用Tkinter 模块实现 GUI 图形界面。 整个资源管理器分为四个模块:CPU、内存、进程和硬盘。
Android java.io.FileNotFoundException: open failed: EACCES (Permission denied) 问题未解决!!
xiaopihaierletian的博客
04-18 6068
在进行android操作SDCARD文件时出现: java.io.FileNotFoundException: /mnt/sdcard/QiuQiu/resource.xml: open failed: EACCES (Permission denied),。看到网上的回答都是未添加权限导致。问题是应该添加的权限我都添加了!!! 在Android SD卡时,出现这个错误的原因是因为没有权
Android程序报错: 权限问题java.io.FileNotFoundException: ……:open failed: EACCES (Permission denied)
tm_6666的博客
06-16 8680
权限都已经授权,但是还是出现class java.io.FileNotFoundException: open failed: EACCES (Permission denied)错误,此问题在Android Pie和更高版本。因此,在清单文件添加此行可修复错误 这是一个临时修复程序,或者直到Android 11发布 <application ... ... android:requestLegacyExternalStorage="true"> </.
java.io.FileNotFoundException: open failed: EACCES (Permission denied)
guchuanhang的专栏
04-17 6962
java.io.FileNotFoundException: open failed: EACCES (Permission denied)
高版本安卓系统动态授予了权限依然无法写入文件java.io.FileNotFoundException: ... open failed: EACCES (Permission denied)
英勇的博客
02-26 1140
问题描述 高版本的安卓系统在动态授予了权限之后,依然无法写入文件到外部存储空间。 解决方法Androidmanifest.xml文件的application标签加上android:requestLegacyExternalStorage=“true”,如下图:
open failed: EACCES (Permission denied)解决办法
weixin_45138601的博客
05-17 2万+
1.首先需要检查是否添加权限。 <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" /> 2.然后再确认是否在程序动态获取权限,获取方法如下,需要在调用相机之前进行获取。 ActivityCompat.request.
springboot(酒店管理系统)
最新发布
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
find: ‘/proc/10072/task/10072/fd’: 权限不够 find: ‘/proc/10072/task/10072/fdinfo’: 权限不够 find: ‘/proc/10072/task/10072/ns’: 权限不够 find: ‘/proc/10072/fd’: 权限不够 find: ‘/proc/10072/map_files’: 权限不够 find: ‘/proc/10072/fdinfo’: 权限不够 find: ‘/proc/10072/ns’: 权限不够 find: ‘/proc/10075/task/10075/fd’: 权限不够 find: ‘/proc/10075/task/10075/fdinfo’: 权限不够 find: ‘/proc/10075/task/10075/ns’: 权限不够 find: ‘/proc/10075/fd’: 权限不够 find: ‘/proc/10075/map_files’: 权限不够 find: ‘/proc/10075/fdinfo’: 权限不够 find: ‘/proc/10075/ns’: 权限不够 find: ‘/proc/10076/task/10076/fd’: 权限不够 find: ‘/proc/10076/task/10076/fdinfo’: 权限不够 find: ‘/proc/10076/task/10076/ns’: 权限不够 find: ‘/proc/10076/fd’: 权限不够 find: ‘/proc/10076/map_files’: 权限不够 find: ‘/proc/10076/fdinfo’: 权限不够 find: ‘/proc/10076/ns’: 权限不够 ^C
07-24
这些错误信息是由于您的用户权限不足导致的。您正在尝试在 `/proc` 目录下执行 `find` 命令,但是普通用户没有足够的权限来访问该目录。 请尝试使用管理员权限(例如使用 `sudo` 命令)执行 `find` 命令,以便获得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值