为自定义系统服务添加SELinux权限

最新推荐文章于 2024-08-15 13:24:05 发布
最新推荐文章于 2024-08-15 13:24:05 发布
阅读量1.4k 收藏 9
点赞数 1
分类专栏: Framework开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/downloadname/article/details/112306281
版权
本文详细介绍了如何在Android系统中为设备节点、JAVA层和Native层的系统服务添加SELinux权限,包括修改相应的TE文件和服务上下文,并展示了如何使自定义的Native服务跟随系统启动。此外,还提供了具体代码示例和系统目录配置的变更记录。
摘要由CSDN通过智能技术生成

目录

1.为设备节点添加SELinux权限

2.为JAVA层的系统服务添加SELinux权限

3.为Native层的系统服务添加SELinux权限

4.自定义Native层系统服务如何跟随系统ROM一起编译并烧录到设备且开机自启动

 

SELinux权限的基础理论

https://blog.csdn.net/Innost/article/details/19299937

https://blog.csdn.net/Innost/article/details/19641487

简单理解:系统运行时权限的控制,进程/线程的权限, MAC

1.为设备节点添加SELinux权限

https://blog.csdn.net/u012719256/article/details/52586198

 

2.为JAVA层的系统服务添加SELinux权限

自定义了一个Java层的self_service系统服务,供应用程序层通过SelfManager管理器调用

diff --git a/sepolicy/service.te b/sepolicy/service.te
index 4866804..23a0115 100644
--- a/sepolicy/service.te
+++ b/sepolicy/service.te
@@ -121,3 +121,5 @@ type wifip2p_service, app_api_service, system_server_service, service_manager_ty
 type wifiscanner_service, system_api_service, system_server_service, service_manager_type;
 type wifi_service, app_api_service, system_server_service, service_manager_type;
 type window_service, system_api_service, system_server_service, service_manager_type;
+type self_service, system_api_service, system_server_service, service_manager_type;
+
diff --git a/sepolicy/service_contexts b/sepolicy/service_contexts
index 5b5570c..0b36f81 100644
--- a/sepolicy/service_contexts
+++ b/sepolicy/service_contexts
@@ -156,3 +156,5 @@ zhidao.mcu.ICarMcuManager                     u:object_r:mcu_service_service:s0
 zhidao.mcu.CarKeyService                  u:object_r:mcu_service_service:s0
 zhidao.mcu.ICarKeyManager                 u:object_r:mcu_service_service:s0
 *                                         u:object_r:default_android_service:s0
+self                                      u:object_r:self_service:s0
diff --git a/sepolicy/untrusted_app.te b/sepolicy/untrusted_app.te
index 35c811c..6e8bb07 100644
--- a/sepolicy/untrusted_app.te
+++ b/sepolicy/untrusted_app.te
@@ -78,6 +78,8 @@ allow untrusted_app nfc_service:service_manager find;
 allow untrusted_app radio_service:service_manager find;
 allow untrusted_app surfaceflinger_service:service_manager find;
 allow untrusted_app app_api_service:service_manager find;
+allow untrusted_app self_service:service_manager find;
 
 # Allow GMS core to access perfprofd output, which is stored
 # in /data/misc/perfprofd/. GMS core will need to list all

注意如果是在普通应用程序层访问这个Java的服务则需要给 untrusted_app.te 添加权限,如果是系统应用程序本来就有系统权限就没有必要在这里添加权限了

 

3.为Native层的系统服务添加SELinux权限

自定义了一个Native层的custom_camera系统服务,供应用程序层调用

diff --git a/sepolicy/domain.te b/sepolicy/domain.te
index 586599c..a3558db 100644
--- a/sepolicy/domain.te
+++ b/sepolicy/domain.te
@@ -285,6 +285,7 @@ neverallow {
     -service_install
     -rtk_demo
+    -custom_camera
 } { file_type -system_file -exec_type -postinstall_file }:file execute;
 neverallow {
     domain
@@ -483,6 +484,7 @@ neverallow {
   -service_install
   -rtk_demo
+  -custom_camera
 } system_data_file:file no_w_file_perms;
 # do not grant anything greater than r_file_perms and relabelfrom unlink
 # to installd
diff --git a/sepolicy/file_contexts b/sepolicy/file_contexts
index b76c96c..0e8dd81 100644
--- a/sepolicy/file_contexts
+++ b/sepolicy/file_contexts
@@ -223,7 +223,7 @@
 /system/bin/mcuservice  u:object_r:mcu_service_exec:s0
 
-
+/system/bin/custom_camera  u:object_r:custom_camera_service_exec:s0
 #############################
 # Vendor files
 #
diff --git a/sepolicy/service.te b/sepolicy/service.te
index 4866804..23a0115 100644
--- a/sepolicy/service.te
+++ b/sepolicy/service.te
@@ -121,3 +121,5 @@ type wifip2p_service, app_api_service, system_server_service, service_manager_ty
 type wifiscanner_service, system_api_service, system_server_service, service_manager_type;
 type wifi_service, app_api_service, system_server_service, service_manager_type;
 type window_service, system_api_service, system_server_service, service_manager_type;
+type self_service, system_api_service, system_server_service, service_manager_type;
+
diff --git a/sepolicy/service_contexts b/sepolicy/service_contexts
index 5b5570c..0b36f81 100644
--- a/sepolicy/service_contexts
+++ b/sepolicy/service_contexts
@@ -156,3 +156,5 @@ zhidao.mcu.ICarMcuManager                     u:object_r:mcu_service_service:s0
 zhidao.mcu.CarKeyService                  u:object_r:mcu_service_service:s0
 zhidao.mcu.ICarKeyManager                 u:object_r:mcu_service_service:s0
 *                                         u:object_r:default_android_service:s0
+custom_camera                             u:object_r:custom_camera_service:s0
diff --git a/sepolicy/untrusted_app.te b/sepolicy/untrusted_app.te
index 35c811c..6e8bb07 100644
--- a/sepolicy/untrusted_app.te
+++ b/sepolicy/untrusted_app.te
@@ -78,6 +78,8 @@ allow untrusted_app nfc_service:service_manager find;
 allow untrusted_app radio_service:service_manager find;
 allow untrusted_app surfaceflinger_service:service_manager find;
 allow untrusted_app app_api_service:service_manager find;
+allow untrusted_app custom_camera_service:service_manager find;
 
 # Allow GMS core to access perfprofd output, which is stored
 # in /data/misc/perfprofd/. GMS core will need to list all

注意如果是在普通应用程序层访问这个Native的服务则需要给 untrusted_app.te 添加权限,如果是系统应用程序本来就有系统权限就没有必要在这里添加权限了

custom_camera服务对应的te文件也即是 custom_camera.te

type custom_camera_service_exec, exec_type, file_type;
#type xdja_etc_data_file, file_type, data_file_type;
type custom_camera, domain;
type custom_camera_service, service_manager_type;

domain_auto_trans(init, custom_camera_service_exec, custom_camera)

net_domain(custom_camera)

allow custom_camera servicemanager:binder {call transfer};
allow custom_camera custom_camera_service:service_manager  { add find };
allow servicemanager custom_camera:dir create_dir_perms;
allow servicemanager custom_camera:file create_file_perms;
allow servicemanager custom_camera:process *;
allow servicemanager custom_camera:file create_file_perms;

4.自定义Native层系统服务如何跟随系统ROM一起编译并烧录到设备且开机自启动

这里以我司添加的MCUService为例,在device目录下的mk文件中把新建的vendor目录下的mk文件添加进来,跟随系统一起编译,然后在启动脚本init.target.rc配置为开启启动即可

diff --git a/qcom/msm8953_64/init.target.rc b/qcom/msm8953_64/init.target.rc
index 9f19080..c6caf93 100755
--- a/qcom/msm8953_64/init.target.rc
+++ b/qcom/msm8953_64/init.target.rc
@@ -164,6 +164,8 @@ on boot
     insmod /system/lib/modules/adsprpc.ko
 # access permission for secure touch
     chmod 0777 /system/bin/uartd
+	chmod 0777 /system/bin/mcuservice
     chmod 0660 /sys/devices/soc.0/78b7000.i2c/i2c-3/3-0020/input/input0/secure_touch_enable
     chmod 0440 /sys/devices/soc.0/78b7000.i2c/i2c-3/3-0020/input/input0/secure_touch
     chmod 0660 /sys/devices/soc.0/78b8000.i2c/i2c-4/4-0020/input/input0/secure_touch_enable
@@ -184,6 +186,12 @@ service uartd /system/bin/uartd
     user root
     group root
     oneshot
+	
+service mcuservice /system/bin/mcuservice
+    class core 
+    user root
+    group root
 
 service imsqmidaemon /system/bin/imsqmidaemon
     class main
diff --git a/qcom/msm8953_64/msm8953_64.mk b/qcom/msm8953_64/msm8953_64.mk
index 5d028e6..01d63e8 100755
--- a/qcom/msm8953_64/msm8953_64.mk
+++ b/qcom/msm8953_64/msm8953_64.mk
@@ -157,3 +157,8 @@ endif
 #FEATURE_OPENGLES_EXTENSION_PACK support string config file
 PRODUCT_COPY_FILES += \
         frameworks/native/data/etc/android.hardware.opengles.aep.xml:system/etc/permissions/android.hardware.opengles.aep.xml
+
+-include vendor/zhidao/zhidao.mk
+#PRODUCT_COPY_FILES += \
+					  $(call find-copy-subdir-files,*,device/qcom/common/zhidao/system,system)

 

 

睡着的海豚
关注
专栏目录
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程中涉及的Selinux权限问题在Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。Selinux(Security Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
Android Selinux 自定义Java系统服务
Rainman博的专栏
06-27 178
com.test.myservice本来就是system app,其实完全可以添加下面一句就完事儿:但是如果这么做的话,就相当与允许了所有system_app来向系统注册test_server了,显然这样做是不合理的。因此需要为com.test.myservice定义一个自己的selinux app上下文# 说明:# user=system seinfo=platform 表示是系统应用,并有签名# name: 应用包名# domain:我们自己起的域名。
对Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
热门推荐
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解Android 下SELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
Android系统和开发--安全性和权限管理 SELinux 策略 安全架构
最新发布
chenhao0568的专栏
08-15 1070
学习android权限知识 SElinux chmod -R 777 ./ setenforce 0 adb root su fastboot oem at-unlock-vboot adb disable-verityAndroid系统是基于Linux内核构建的,因此它继承了Linux的权限管理机制。Android应用需要通过声明权限来访问系统的某些功能(如摄像头、存储、位置等)。开发者在中声明权限,用户在安装应用时或者运行时可以授予或拒绝这些权限。简介: 是一个用于修改文件或目录权限的命令。含义:注意
linux系统添加service服务并设置自启动
DaQiangZhuang的博客
02-17 1435
linux添加自定义service服务的多种方法
自定义 SELinux
一步一个脚印
08-18 1035
集成基本级别的 SELinux 功能并全面分析结果后,您可以添加自己的政策设置,以便涵盖对 Android 操作系统所做的自定义。这些政策必须仍然满足 Android 兼容性计划的要求,并且不得移除默认的 SELinux 设置。 制造商不得移除现有的 SELinux 政策,否则可能会破坏 Android SELinux 的实施方式及其管控的应用。这包括可能需要改进以遵守政策并正常运行的第三方应用。...
Selinux 权限策略定制
shichaog的专栏
12-22 8018
Selinux 语言: 左边的一列是Security Context。 u:r:init:s0的意思是 u为user。SEAndroid中定义了一个SELinux,值为ur为role的意思。一个u可以属于多个r,不同的role具有不同的权限。init 表示该进程所属的domain 为init。s0和SELinux是为了满足军用和教育行业而设计的MultiLevel Security。
CentOS7-快速搭建HTTP服务器、配置SELinux访问控制
小黎的博客
03-31 1508
快速搭建HTTP服务器、自定义web根目录、配置SELinux访问控制1.Server安装HTTP软件:httpd2.Server部署网页界面3.Server配置HTTP防火墙4.Client测试打开网页拓展5.自定义web根目录5.1创建wbe根目录5.2.修改配置文件5.2.1.指定web根目录5.2.2.指定访问控制5.配置SELinux访问控制5.1.查看当前SELinux状态5.2.修改SELinux策略 1.Server安装HTTP软件:httpd [root@Server ~] yum -y
SELinux安全系统基础.pdf
11-13
如果尝试执行超出其域类型权限的操作,SELinux将阻止或警告,从而提高系统的安全性。 除了默认策略外,还可以创建自定义策略模块,这通常涉及到编写策略规则并使用工具如`semodule`进行编译和加载。这在需要对特定...
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
SELinux是一种强制访问控制(MAC)系统,它为Linux内核添加了一层额外的安全性。在Android中,SELinux通过精细的策略定义每个系统服务、应用及其组件可以访问哪些资源,从而限制了潜在的恶意行为。在Android 8.0之前...
selinux_详解.zip
08-09
SELinux,全称为Security-Enhanced Linux,是由美国国家安全局(NSA)开发的一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,提供了一种更为精细的权限管理机制。SELinux的目标是防止恶意攻击者即使获得了...
Linux基础课件SELinux运行模式共10页.pdf
11-19
总的来说,SELinuxLinux系统中一个强大的安全层,通过精细的权限控制,提高了系统的安全性。学习和掌握SELinux的运行模式、策略模型、上下文以及相关工具,对于任何希望提升Linux安全性的IT专业人员都至关重要。...
linux java 安全设置_允许Java 7在SELinux上运行的安全方法是什么?
weixin_34277895的博客
02-26 190
简短版本:允许Java 7运行的最安全方式是什么(带?)SELinux?长版:如果我使用不正确的术语,请提前抱歉.我真的只是一个只有少量Linux技能的Java开发人员.我刚刚在CentOS版本5.3(最终版)上安装了Java 7,它显然具有安全增强型Linux.安装完成后(我通过从/usr/java/jdk/jdk1.7.0_25中解压缩来自Oracle的tar.gz文件来“安装”),我运行了j...
Linux Java常用服务安装与设置
Infinite Progress
01-05 439
Linux Java常用服务安装与设置
确认 seLinux导致权限问题 对selinux权限添加
qq_36950017的博客
01-29 842
确认 seLinux导致权限问题 对selinux权限添加 对于selinux的问题,首先如何确认是selinux权限问题呢, 可以查看手机的log如果在log里面显示有如下内容: avc: denied { execheap } for pid=7201 comm=“com.baidu.input” scontext=u:r:untrusted_app:s0 tcontext=u:r:un...
ServiceManager add_service SELinux Permission Denied
Eliot_shao的专栏
06-27 1万+
问题点: 在systemserver.java中添加如下代码,向servicemanager进程中添加一个service try { Slog.i(TAG, "Hello Service"); ServiceManager.addService("hello", new HelloService());// } catch (Throwable e) {
自定义系统service SELinux权限报错
拒绝背八股文
05-13 1791
报错: E SELinux : avc: denied { add } for service=flashlight pid=3485 uid=1000 scontext=u:r:system_server:s0 tcontext=u:object_r:default_android_service:s0 tclass=service_manager permissive=1 ...
Android 12 S 自定义Native服务selinux权限添加
weixin_41028555的博客
06-13 1206
节点在此目录添加定义:genfs_contexts。并且与system_server互相通信。native服务访问hal服务
Android 11 添加Service服务SELinux问题
我其实什么都不会
06-29 8497
d
SELinux权限问题:自定义Service案例分析
理解并解决SELinux权限问题需要深入掌握SELinux的工作原理、策略语言和安全上下文,以及对系统服务行为的深入理解。通过适当的策略调整和测试,可以确保自定义服务在保持安全性的同时正常运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值