Android系统10 RK3399 init进程启动(三十) Selinux编译方法

已于 2022-07-07 19:47:43 修改
阅读量3k 收藏 10
点赞数 4
分类专栏: Android系统工程师开发手册 文章标签: 大数据 瑞星微RK3399 Android selinux SeAndroid Android Selinux
于 2022-07-07 19:45:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldswfun/article/details/125665603
版权

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志

一, selinux编译方法

修改了*.te,可以选择模块编译,也可以全编译。

make selinux_policy

编译system/sepolicy/Android.mk中selinux_policy目标, 基本上也将Android.mk中大部分目标都编译了

mmma  system/sepolicy

针对system/sepolicy/Android.mk所有目标文件进行编译

make precompiled_sepolicy

编译最终二进制文件precompiled_sepolicy,生成在

 $(OUT_TARGET)/vendor/etc/selinux/precompiled_sepolicy

或者:$(OUT_TARGET)/odm/etc/selinux/precompiled_sepolicy

替换到板子即可

查看verbose日志

./prebuilts/build-tools/linux-x86/bin/ninja -v -f out/combined-rk3399_roc_pc_plus.ninja  selinux_policy

日志会显示很多内容

操作例子:修改 device/rockchip/common/sepolicy/vendor/genfs_contexts

# rk3399

genfscon sysfs /devices/platform/fe330000.sdhci                                                     u:object_r:sysfs_mmc:s0

genfscon sysfs /devices/platform/fe43000.sdhci                                                     u:object_r:sysfs_mmc:s0

修改完成之后,就可以执行make selinux_policy来编译

该命令默认终端不会输出太多显示日志, 可以查看verbose文件: vim out/verbose.log.gz,以下日志只是摘抄一部分日志:

[537/608] /bin/bash -c "m4 --fatal-warnings  -D mls_num_sens=1 -D mls_num_cats=1024 -D target_build_variant=userdebug -D target_with_dexpreopt=true -D target_arch=arm64 -D target_with_asan=false -D target_with_native_coverage=false -D target_full_treble=true -D target_compatible_property=true -D target_exclude_build_test=  -s system/sepolicy/reqd_mask/security_classes system/sepolicy/reqd_mask/initial_sids system/sepolicy/reqd_mask/access_vectors system/sepolicy/reqd_mask/mls_macros system/sepolicy/reqd_mask/mls_decl system/sepolicy/reqd_mask/mls system/sepolicy/reqd_mask/reqd_mask.te system/sepolicy/reqd_mask/roles_decl system/sepolicy/reqd_mask/roles system/sepolicy/reqd_mask/users system/sepolicy/reqd_mask/initial_sid_contexts > out/target/product/rk3399_roc_pc_plus/obj/ETC/sepolicy_neverallows_intermediates/reqd_policy_mask.conf"
[538/608] /bin/bash -c "ASAN_OPTIONS=detect_leaks=0 out/host/linux-x86/bin/checkpolicy -C -M -c         30 -o out/target/product/rk3399_roc_pc_plus/obj/ETC/sepolicy_neverallows_intermediates/reqd_policy_mask.cil 

以上日志,可以参考上一章节简介编译流程,来看日志。

二, sepoliy文件编译的逻辑

以上逻辑就是:平台的相关策略文件会被编译到system分区中的etc/selinux中, 非平台的策略文件会被编译到vendor, odm分区中的etc/selinux中。

三, 编译出来的中间文件

编译的时候, 会产生中间文件和目录, 通过查看中间文件目录里面的xx.tmp文件就知道最终目标是由那些源文件合并而来。如

out/target/product/rk3399_roc_pc_plus/obj/ETC/plat_file_contexts_intermediates/plat_file_contexts.tmp

#line 1 "system/sepolicy/private/file_contexts"
###########################################
# Root
/                   u:object_r:rootfs:s0

# Data files
/adb_keys           u:object_r:adb_keys_file:s0
/build\.prop        u:object_r:rootfs:s0
/default\.prop      u:object_r:rootfs:s0
/fstab\..*          u:object_r:rootfs:s0
/init\..*           u:object_r:rootfs:s0
/res(/.*)?          u:object_r:rootfs:s0
/selinux_version    u:object_r:rootfs:s0
/ueventd\..*        u:object_r:rootfs:s0
/verity_key         u:object_r:rootfs:s0
.......

#line 1 "device/rockchip/common/sepolicy/private/file_contexts"
# file in /system
/system/bin/move_widevine_data\.sh              u:object_r:move-widevine-data-sh_exec:s0
#line 1 "out/target/product/rk3399_roc_pc_plus/obj/ETC/sectxfile_nl_intermediates/sectxfile_nl"

#line 1 "system/sepolicy/private/file_contexts_overlayfs"
#############################
# Overlayfs support directories for userdebug/eng devices
#
/cache/overlay/(system|product)/upper       u:object_r:system_file:s0
/cache/overlay/(vendor|odm)/upper           u:object_r:vendor_file:s0
/cache/overlay/oem/upper                    u:object_r:vendor_file:s0
 

 平台上下文中间文件:

ls out/target/product/rk3399_roc_pc_plus/obj/ETC/plat_

plat_file_contexts_intermediates/               plat_pub_versioned.cil_intermediates/

plat_file_contexts.recovery_intermediates/      plat_seapp_contexts_intermediates/

plat_hwservice_contexts_intermediates/          plat_seapp_neverallows_intermediates/

plat_mac_permissions.xml_intermediates/         plat_sepolicy_and_mapping.sha256_intermediates/

plat_mapping_file_intermediates/                plat_sepolicy.cil_intermediates/

plat_property_contexts_intermediates/           plat_sepolicy_vers.txt_intermediates/

plat_property_contexts.recovery_intermediates/  plat_service_contexts_intermediates/

厂商上下文中间文件:

ls out/target/product/rk3399_roc_pc_plus/obj/ETC/vendor_

vendor_file_contexts_intermediates/              vendor_property_contexts_intermediates/

vendor_file_contexts.recovery_intermediates/     vendor_property_contexts.recovery_intermediates/

vendor_hwservice_contexts_intermediates/         vendor_seapp_contexts_intermediates/

vendor_mac_permissions.xml_intermediates/        vendor_sepolicy.cil_intermediates/

 生成的中间policy.conf文件:

find ./out/target/product/rk3399_roc_pc_plus/obj/ETC/ -name "*policy.conf"
./out/target/product/rk3399_roc_pc_plus/obj/ETC/treble_sepolicy_tests_26.0_intermediates/26.0_plat_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/general_sepolicy.conf_intermediates/general_sepolicy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/treble_sepolicy_tests_28.0_intermediates/28.0_plat_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/vendor_sepolicy.cil_intermediates/vendor_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/treble_sepolicy_tests_27.0_intermediates/27.0_plat_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/plat_sepolicy.cil_intermediates/plat_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/userdebug_plat_sepolicy.cil_intermediates/userdebug_plat_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/built_plat_sepolicy_intermediates/base_plat_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/built_plat_sepolicy_intermediates/base_plat_pub_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/sepolicy_neverallows_intermediates/plat_pub_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/sepolicy_neverallows_intermediates/pub_policy.conf
./out/target/product/rk3399_roc_pc_plus/obj/ETC/sepolicy_neverallows_intermediates/policy.conf

四, 编译出来的目标文件

平台分区安全策略目标文件

ls out/target/product/rk3399_roc_pc_plus/system/etc/selinux/

mapping   #用于向后兼容的映射文件,源码也是cil类型, 最终会被用于动态编译                

plat_mac_permissions.xml  

plat_sepolicy_and_mapping.sha256

plat_file_contexts       

plat_property_contexts    

plat_sepolicy.cil #平台私有和公共的所有策略文件, 最终会被用于动态编译

plat_hwservice_contexts  

plat_seapp_contexts       

plat_service_contexts

Vendor分区安全策略目标文件:

 ls out/target/product/rk3399_roc_pc_plus/product/etc/selinux/

plat_pub_versioned.cil    #平台公共的type和attribut映射到vendor版本的类型和属性如typeattribute dev_type

      # typeattributeset dev_type (device_29_0 audio_device_29_0 ...)

vendor_hwservice_contexts   

vendor_sepolicy.cil     #vendor的公共和私有的所有策略文爱九年, 最终会被用于动态编译

plat_sepolicy_vers.txt   #用于指示当前vendor 策略文件的版本

vendor_mac_permissions.xml  

vndservice_contexts

selinux_denial_metadata  

vendor_property_contexts

vendor_file_contexts     

vendor_seapp_contexts

odm分区安全策略目标文件:

ls out/target/product/rk3399_roc_pc_plus/odm/etc/selinux/

precompiled_sepolicy   //最终的二进制文件-会写入到内核中

precompiled_sepolicy.plat_sepolicy_and_mapping.sha256

precompiled_sepolicy.product_sepolicy_and_mapping.sha256

旗浩QH
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
修改boot.img制作内置root权限
weixin_44864060的博客
11-25 7393
准备工作: 下载 官方Full-OTA update.zip。从这里找 pro-teammt.ru/firmware-database/?firmware_model=&firmware_page=1 ,搜搜自己的手机型号(可从“关于手机/型号”中查看),比如 荣耀V10高配版为BKL-AL20。下载大于1G甚至2G的FULL-OTA的update.zip文件。下载完成后解压,得到upd...
SELinux策略语言--编写TE规则
u014674293的博客
08-02 665
SELinux策略大部分都是一套声明和规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统进程和资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
汽车EE架构
最新发布
汽车以太网和SOA
05-15 9517
汽车EE架构
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
【QCM6125】Android12 selinux权限修改及快速调试
sunnywalden
01-04 2843
【QCM6125】Android12 selinux权限修改及快速调试
Android P 中selinux
cassie_huang的博客
09-19 6894
说在前面,文章大部分参考https://source.android.com/security/selinux/。 1.一些基本概念 SELinux 运行的原则是:所有没有明确指定为allow的操作都会被拒绝。 两种模式: Permissive mode, 会有denials的log,但是不会强制执行。在前期porting的时候可以使用这种mode。 Enforcing mode, 会有...
Android 系统 Linux系统 内核kernel启动流程 init 进程介绍
02-01
Android 系统 Linux系统 内核kernel启动流程 init 进程介绍,init进程初始化,内核启动三个阶段深入浅出介绍,简单易懂 。kernel_init() 函数介绍,ramdisk_execute_command,execute_command /sbin/init,/etc/init,...
Rk3399 获取系统ROOT权限补丁7.1与8.1.rar
02-21
5、在device/rockchip/rk3399/fstab.rk30board.bootmode.forceencrypt.emmc或fstab.rk30board.bootmode.forceencrypt.nvme中 去掉代码:“,verify=/dev/block/platform/fe330000.sdhci/by-name/verity_mode" 两...
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程中涉及的Selinux权限问题在Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。SelinuxSecurity Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
CentOS 7系统SELinux阻止MongoDB启动的问题详解
12-16
问题描述: 最近发现了一个问题,在新装的CentOS7上,安装了MongoDB3.4,挂载了一个大的数据盘后,修改/etc/mongo.conf,将配置文件中的log和data目录放在新的数据盘下,并修改文件的访问权限。...
高通Android Q编译selinux,并push
wangjicong_215的博客
08-10 1376
修改在: 编译,通过./build.sh dist -j32 --target_only push adb push out/xxxx/vendor/etc/selinux /vendor/etc
Android系统开发】SEAndroid权限解决方法汇总
橙子和小果的博客
07-16 791
前言: 从android5.x开始,引入严格的selinux权限管理机制,经常会遇到各种avc denied的log。 SEAndroid就是SElinux的增强型版本。 确认问题 先排查是否由SElinux策略导致的问题 串口输入:setenforce 0 串口输入:getenforce 0 即进入了permissive 1. 强制关闭SEAndroid方法: 1.1 方法一 如果是user版本固件,则在bootcmd加入androidboot.selinux =permissive即可 如
实现 SELinux
一步一个脚印
08-11 556
SELinux 被设置为“默认拒绝”模式,这表示,对于在内核中存在钩子的每一次访问,都必须获得政策的明确许可。这意味着政策文件中包含规则、类型、类、权限等方面的大量信息。关于 SELinux 的完整注意事项不在本文档的讨论范围之内,现在您必须要了解的是在启动新的 Android 设备时如何编写政策规则。目前有大量关于 SELinux 的信息可供您参考。关于建议的资源,请参阅支持文档。 关键文件 ...
selinux - Android编写sepolicy
Zpeg的博客
07-20 4592
service编写sepolicy 由init启动service服务要在各自的selinux domain中运行。
SELinux】vendor_file_contexts没有被编译到vendor/etc/selinux/路径下
努力创作有价值的文章
03-05 3740
Android P版本使用了vendor分区,在使能SELinux情况下vendor_file_contexts没有被编译到${OUT}/vendor/etc/selinux路径下,而被编译到${OUT}/root/路径下。 根据source code中system/sepolicy/Android.mk文件中如下代码: LOCAL_MODULE := vendor_file_context...
Android 9(P)之init进程启动源码分析指南之一
IT先森
07-03 4712
      Android P之init进程启动源码分析指南 前言   此时的我吃着火锅唱着歌,进行着Android P(此P非彼P,Android 9)的适配工作。我真的只能说每次Android版本的迭代更新,都是对我们的一次炼狱般的摧残啊,各种适配啊,我真的想说fuck the coding。但是吐槽归吐槽,为了我热爱的coding事业,让我们愉快的适配起来。本篇将从源码角度来分析分析Android P的init进程启动流程,这个和其它Android版本还是有蛮大区别的。 注意:本文演示的代码是An
Android SELinux 一个编译错误
犹犹豫豫太阳雨
12-30 2017
最近在做Android6.0项目,修改了SELinux的te文件, 单独编译这个模块没问题,后来make clean后编译不过了。报下面的错误. /bin/bash: out/host/linux-x86/bin/insertkeys.py: Permission denied make: *** [out/target/product/msm8909/obj/ETC/mac_permis
android 10 selinux如何配置
04-26
Android 10中,SELinux的配置主要涉及到两个文件:/sepolicy和/file_contexts。 在/sepolicy文件中,需要修改对应的类和属性,定义哪些进程可以访问哪些资源,以及哪些操作是允许的。 在/file_contexts文件中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值