Android R(11)给Service配置selinux权限

最新推荐文章于 2024-04-21 04:03:40 发布
最新推荐文章于 2024-04-21 04:03:40 发布
阅读量1.7k 收藏 7
点赞数 1
分类专栏: C/C++ 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Haomione/article/details/124170489
版权

Android R(11)给Service配置selinux权限

假设你有一个service.rc服务,在init进程会被启动,service.rc如下所示:

service vendor.XXXX.secure_element@1.2-service /vendor/bin/hw/vendor.XXXX.secure_element@1.2-service
    class hal
    user system
    group system

如果你没有配置service的linux权限,那么在init进程启动时会没有权限,服务无法自动运行。

步骤1:在device/msepolicy路径添加hal_secure_element_default.te文件

type hal_secure_element_default, domain;
hal_server_domain(hal_secure_element_default, hal_secure_element);

type hal_secure_element_default_exec, exec_type, vendor_file_type, file_type;
init_daemon_domain(hal_secure_element_default);

allow hal_secure_element_default hwservicemanager_prop:file { read open getattr map};
allow hal_secure_element_default hwservicemanager:binder { call transfer };
allow hal_secure_element_default hal_secure_element_hwservice:hwservice_manager { find add };
allow hal_secure_element_default hidl_base_hwservice:hwservice_manager { add };
allow hal_secure_element_default block_device:dir { search write open read };

以上赋予的权限全部是根据avc denied的log缺什么一步一步补什么来的。

步骤2:在device/msepolicy路径file_contexts映射域

# add this
/(vendor|system/vendor)/bin/hw/vendor\.XXX\.hardware\.secure_element@1\.2-service    u:object_r:hal_secure_element_default_exec:s0

步骤3:在device/msepolicy路径修改hwservice_contexts

vendor.sprd.hardware.secure_element::ISecureElement u:object_r:hal_secure_element_hwservice:s0

以上service服务就可以自动运行了,如果你还需要读取dev设备需要在步骤1增加读取设备节点权限

allow hal_secure_element_unisoc block_device:dir { search write open read };
allow hal_secure_element_unisoc isedata_block_device:chr_file { open read write ioctl };
allow hal_secure_element_unisoc isedata_block_device:blk_file { open read write ioctl };
allow hal_secure_element_unisoc apdu_device:chr_file { open read write ioctl map };
allow hal_secure_element_unisoc ion_device:chr_file { open read write ioctl };

附一个写的比较好的博主链接:https://blog.csdn.net/FPGASOPC/article/details/83545775?ops_request_misc=&request_id=&biz_id=102&utm_term=blk_file&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default-0-83545775.142v7control,157v4control&spm=1018.2226.3001.4187

Haomione
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程中涉及的Selinux权限问题在Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。Selinux(Security Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
Android车载系列】第11章 系统服务-SystemServer自定义服务
Yvan
05-03 915
system/sepolicy/prebuilts/api/32.0/private/ 与 system/sepolicy/private/目录下,分别修改以下三个文件#配置自定义服务selinux角色用户:角色:类型:安全级别#配置自定义服务类型的权限#允许所有app使用自定义服务一般只是用来调试自己的服务功能是否正常} } // 使用 YvanManager yvanManager =(YvanManager) getSystemService("yvan");
Android系统SELinux详解
star_nwe的博客
10-25 1304
SELinux是一种加强文件安全的一种策略,可以更好地保护我们的Android系统, 比如限制系统服务的访问权限、控制应用对数据和系统日志的访问等措施,这样就降低了恶意软件的影响,并且可以防止因代码存在的缺陷而产生的对系统安全的影响。从系统安全方面考虑,SELinux是保护神,但是从软件开发方面,SELinux就是一道牵绊,这是一把双刃剑。SELinux默认开启,即使获得了该系统的root权限,也只能向相关策略中指定的设备写入数据,从而更好地保护和限制系统服务,保障系统和数据的安全。......
Android系统启动】 Android Init 语言官网教程及中文翻译
最新发布
thirdbro的博客
04-21 998
文章根据system/core/init/README.md对Android Init语言进行翻译;下面给出Init语言中文翻译和原文,翻译为机翻和个人翻译综合完成,如有错误欢迎提出纠正。
编译错:init : Could not start service ‘vendor.secure_element-default‘ as part of class ‘hal‘
Haomione的博客
05-16 1521
编译错:init : Could not start service 'vendor.secure_element-default' as part of class 'hal'
Android 11 添加Service服务SELinux问题
一歲抬頭的博客
06-29 8159
d
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8874
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android8添加开机Service 必须添加相应的te文件
u010438192的专栏
04-15 2205
selinux的原因,添加Service必须添加.te文件 (即使是permissive)也要添加.te文件 否则seclabel会出错。 firefly 的 rk3399pro Android8.1 .te文件放在device/rockchip/common/sepolicy/下面 .te文件内容 type autorun,domain; type autorun_exe...
Android 车机开发 ServiceManager Selinux 权限配置说明
yinhunzw的专栏
07-09 2130
添加编译时Lunch option aosp_car_x86_64-eng \device\generic\car\vendorsetup.sh 在文件最后添加 add_lunch_combo aosp_car_x86_64-eng Selinux两种模式 Enforcing:强制模式,SELinux 运作中,且已经正确的开始限制 domain/type Permissive:宽容模式,SELinux 运作中,仅会有警告讯息并不会限制 domain/type 的存取 userde..
hidl service selinux rule
02-07
在【标题】"hidl service selinux rule"中提到的,是关于如何在HIDL(硬件接口定义语言)服务中添加SELinux规则的相关内容。HIDL是Android用于抽象硬件接口的一种方式,它允许上层应用程序与底层硬件驱动进行通信,...
0001-add-system-service-and-port-selinux-permission.patch
03-19
添加系统服务以及相关selinux权限,添加可执行文件以及selinux权限,基于android 7.0 是一份git的patch,主要包含上面两部分
Android 26源码
08-28
6. **权限管理系统**:Android 26引入了更严格的权限管理,源码中可以研究如何实施应用权限的请求、检查和管理。 7. **安全机制**:包括 SELinux(强制访问控制)、加密文件系统和应用程序签名,这些都在源码中有...
Android24源码
08-28
Android 24加强了安全特性,如文件权限管理、数据加密、SELinux策略等。通过源码,开发者可以学习如何保护用户隐私和系统安全。 8. **Doze模式** Android 24引入了Doze模式,以提高电池续航能力。Doze会监控设备...
linux 没有权限启动服务,在没有root/sudo的情况下运行Systemd Service
weixin_35695434的博客
04-29 1828
Linux系统随附的或由第三方应用程序安装的标准Systemd Service单元文件通常以root或系统用户帐户运行,本文将介绍以标准用户身份无需root即可运行Systemd Service登录到系统,将编写一个systemd单位文件(Systemd单元文件包含描述该单元并定义其行为的配置指令),该文件可以由登录用户管理,而无需sudo。简介Systemd是SysV风格的现代init和rc替代...
深入理解SELinux SEAndroid(第一部分)
Venus 的博客
12-17 1004
深入理解SELinuxSEAndroid SEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系统。 NSA最初设计的安全模型叫FLASK,全称为Flux Advanced Security Kernel(由Uta大学和美国国防部开发,后来由NSA将其开源),当时这套模型针对DTOS系统。后来,NSA觉得Linux更具发.
Android学习之AIDL添加Service权限
u011893710的博客
08-30 4806
参考《Android开发艺术探索》,书中提供了两种方法 第一种方法:在onBind中验证 在服务端的AndroidManifest添加自定义权限 <permission android:name="com.example.maxiaolong.aidlserver.ACCESS_BOOK_SERVICE" android:description="@string/d...
androidSELINUX规则分析和语法简介
爱技术的蓝胖子
12-11 5312
目录:SELINUX简介查看SELINUX权限1. 进程2. 文件如何配置selinux1.基本语法A. 上下文描述文件B. 策略文件te2.举例:生成规则文件的方法 SELINUX简介 SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统,我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,...
解决编译错:VINTF parse error:“android.hardware.secure_element“ has a conflict.
Haomione的博客
10-20 3275
解决编译错:VINTF parse error:"android.hardware.secure_element" has a conflict.
eSE集成调试
lyx2002的专栏
05-24 705
3:在framework/base/core/res/AndroidManifest.xml 中新增。--------------可以读取se公交数据-----------------下面log 需要在系统manifest中增加1.2的支持。1: se hal服务注册。
service获取selinux权限_Android : 为系统服务添加 SeLinux 权限 (Android 9.0)
05-20
Android 9.0 及更高版本中,可以使用以下过程为系统服务添加 SeLinux 权限: 1. 定义一个 SePolicy 权限,该权限将授予系统服务访问所需资源的权限。例如,如果您想让服务能够访问 /data/myfile.txt 文件,则需要定义一个 SePolicy 权限来授予服务访问该文件的权限。以下是一个示例权限定义: ``` type myservice_data_file, file_type; permissive myservice_data_file; allow myservice myservice_data_file:file {read write open}; ``` 2. 将权限添加到系统服务的 SePolicy 文件中。例如,如果您要将权限添加到名为 myservice服务的 SePolicy 文件中,则可以使用以下命令: ``` $ sudo semanage permissive -a myservice_data_file ``` 3. 将服务的属性添加到 init.rc 文件中。例如,如果您要添加名为 myservice服务,则可以使用以下语法: ``` service myservice /system/bin/myservice class main user system group system seclabel u:r:myservice:s0 seclabel u:r:myservice_data_file:s0 ``` 在上面的 init.rc 文件中,seclabel 命令用于指定服务SeLinux 安全标签。在此示例中,服务标签为 u:r:myservice:s0,而文件标签为 u:r:myservice_data_file:s0。 4. 重新启动设备以使更改生效。 请注意,添加 SeLinux 权限可能会增加系统的不安全性。因此,必须谨慎地添加这些权限,并仅在必要时才添加它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值