Android系统10 RK3399 init进程启动(三十一) SeAndroid实战之定义策略

最新推荐文章于 2024-04-01 17:42:03 发布
最新推荐文章于 2024-04-01 17:42:03 发布
阅读量941 收藏 2
点赞数
分类专栏: Android系统工程师开发手册 文章标签: Android Selinux SEAndroid Android系统 Android驱动 RK3399
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldswfun/article/details/125899780
版权

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

之前章节将基本知识都已经讲解完了, 需要通过实战例子来验证理论, 本章节重点介绍如何定义策略。

一,目标

需要完成一个进程去操作一个文件(如设备文件),编写策略文件,并进行测试。

1, myse_test: 定义一个可执行程序, 可以读写文件,此时会设置该进程的文件上下文,以及domain,还有权限策略。

2, 新建一个被进程读写文件(如设备文件/dev/myse_dev),定义该文件的安全上下文。

实现的框图如下:

myse_test进程属于vendor分区, 策略文件也会在vendor分区。

二, 文件目录结构

device/rockchip/qh100_rk3399/test_se/

├── cmd

│   ├── Android.mk

│   └── myse_test.c   //进程对应代码

└── sepolicy    //策略目录

    ├── device.te

    ├── file_contexts

    └── myse_test.te

三,代码和策略文件辨写

 myse_test.c的代码:

test_se/cmd/myse_test.c

#include <unistd.h>

#include <string.h>

#include <sys/types.h>

#include <sys/stat.h>

#include <fcntl.h>

#include <errno.h>

#define LOG_TAG "MySeTest"

#include <log/log.h>

int main(int argc, char *argv[])

{

        int fd  = -1;

        int ret = -1;

        char *content = "hello test for selinux";

        char *dev_name = "/dev/myse_dev";

        fd = open(dev_name, O_RDWR);

        if(fd < 0)

        {

                ALOGE("open %s error: %s", dev_name, strerror(errno));

                return -1;

        }

        ret = write(fd, content, strlen(content));

        if(ret < 0)

        {

                ALOGE("write testfile error: %s", strerror(errno));

                return -1;

        }else

        {

                ALOGD("write testfile ok: %d",  ret);

        }

        while(1);

        close(fd);

        return 0;

}

 test_se/cmd/Android.mk编译规则

LOCAL_PATH:= $(call my-dir)

include $(CLEAR_VARS)

LOCAL_SRC_FILES:= \

    myse_test.c

LOCAL_SHARED_LIBRARIES := \

    libcutils \

    liblog \

LOCAL_CFLAGS += -Wno-unused-parameter

LOCAL_PROPRIETARY_MODULE := true

LOCAL_MODULE:= myse_test

include $(BUILD_EXECUTABLE)

相关的selinux策略文件

sepolicy

    ├── device.te

    ├── file_contexts

    └── myse_test.te

 定义/dev/myse_dev(不是真的设备文件,是我们touch一个文件,作为模拟) 的类型, 编辑device.te:

type myse_testdev_t, dev_type;

定义myse_test文件和进程对应的type和domain,编辑myse_test.te

# subject context in proccess status

type  myse_test_dt, domain;

# object context as a file

type myse_test_dt_exec, exec_type, vendor_file_type, file_type;

#grant perm as domain

init_daemon_domain(myse_test_dt)

定义myse_test文件和进程对应的文件上下文,编辑file_contexts:

/vendor/bin/myse_test                   u:object_r:myse_test_dt_exec:s0

/dev/myse_dev    u:object_r:myse_testdev_t:s0

 将以上策略加入到BOARD_SEPOLICY_DIRS,

编辑: vim device/rockchip/qh100_rk3399/qh100_rk3399.mk 文件最后面添加:

BOARD_SEPOLICY_DIRS +=device/rockchip/qh100_rk3399/test_se/sepolicy

四, 编译

编译可执行程序:  mmm device/rockchip/qh100_rk3399/test_se/cmd/, 最终生成:

out/target/product/qh100_rk3399/vendor/bin/myse_test

编译策略文件:make selinux_policy -j6 最终生成文件

ls out/target/product/qh100_rk3399/vendor/etc/selinux/

plat_pub_versioned.cil   vendor_file_contexts        vendor_property_contexts  vndservice_contexts

plat_sepolicy_vers.txt   vendor_hwservice_contexts   vendor_seapp_contexts

selinux_denial_metadata  vendor_mac_permissions.xml  vendor_sepolicy.cil

ls out/target/product/qh100_rk3399/odm/etc/selinux/

precompiled_sepolicy                                   precompiled_sepolicy.product_sepolicy_and_mapping.sha256

precompiled_sepolicy.plat_sepolicy_and_mapping.sha256

旗浩QH
关注
专栏目录
[RK-Linux] 移植Linux-5.10RK3399(一)| 搭建系统并让系统跑起来
Systemcall名屋
11-30 2035
这个专题主要记录把 RK Linux-5.10 移植到 ROC-RK3399-PC Pro 的过程。
SEAndroid的各种策略文件
u013234805的专栏
04-30 2533
在external/sepolicy目录存放了很多SELinux策略定义文件。通过这些文件我们能了解到SEAndroid更多的细节,下面我们一起看看这些文件的内容。 1.   角色定义文件roles 角色定义文件用来定义SELinux系统的角色。文件roles的内容如下: role r; role r types domain; 从这里可以看到,SEAndroid实际上只定义了一种
Android系统10 RK3399 init进程启动(二十二) SEAndroid 框架
ldswfun的专栏
05-07 986
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍SEAndroid(Security Enhanced for Android Selinux整体框架, 了解整体,再去看细节就容易很多. 一, 框图介绍: ​ SEAndroid框架是由用户空间和内核空间组成, 用户空间安全保护机制主要包含安全上下文(Security...
Android系统10 RK3399 init进程启动(二十八) SeAndroid政策兼容性
ldswfun的专栏
06-28 600
Android 开始treble计划之后, vendor和system可以分开进行升级,此时就会涉及到selinux在升级过程出现的策略兼容性问题。详细介绍可以参考谷歌官网
Android系统10 RK3399 init进程启动(二十三) 初识Selinux 安全策略
ldswfun的专栏
05-07 977
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux的安全策略的基本规则, 先入为主的了解最简单的东西, 然后再慢慢深入更细节东西。 一, 最简单的安全策略规则 配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK...
BinderSEAndroid控制
内核工匠
07-29 1093
前言Binder 也即Android独有的进程间通信方式,在 Android 系统无处不在。区别于共享内存、socket、管道等其他进程间通信的手段,Binder 的实现较为独特。从本质上讲,Binder 是借由对/dev/binder 的一系列操作实现的,在内核作为驱动存在,当然其权限控制可以正常借由Linux的安全模块实现。同时,由于所有系统服务都需要在Servi...
rk3399android7.1平台新增HDMI特殊分辨率输出修改补丁
01-23
白名单的分辨率数据要和kernel的hdmi驱动新增分辨率一致
RK3399安卓系统DTB提取和转DTS工具
11-06
内含: 1、AndroidTool_Release_V2.58(RK3399烧录备份EXE) 2、DriverAssitant_v4.5.rar(RK3399 windows驱动) 3、mkbootimg,resource_tool,umkbootimg,rkdeveloptool(RK3399 linux解包工具)
基于RK3399平台的ubuntu系统制作
12-04
基于RK3399平台,进行ubuntu系统定制,并进行系统镜像的制作。 在RK3399硬件平台上,进行包含bootloader,kernel,和rootfs的定制,最终制作完整的系统镜像。
Android系统开发】SEAndroid权限解决方法汇总
橙子和小果的博客
07-16 959
前言: 从android5.x开始,引入严格的selinux权限管理机制,经常会遇到各种avc denied的log。 SEAndroid就是SElinux的增强型版本。 确认问题 先排查是否由SElinux策略导致的问题 串口输入:setenforce 0 串口输入:getenforce 0 即进入了permissive 1. 强制关闭SEAndroid的方法: 1.1 方法一 如果是user版本固件,则在bootcmd加入androidboot.selinux =permissive即可 如
Android 5.x SEAndroid/SElinux内核节点的读写权限
热门推荐
缥缈孤鸿影的专栏
03-19 1万+
Android 5.x下,因为采取了SEAndroid的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。 本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点的访问权限。 第一步:找到需要访问该内核节点的进程(process),笔者自己这个节点由system_server进程来访问 第二步:
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 2085
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
Android进阶-SELinux
王涛的博客
06-28 4797
前一篇文章已经介绍了SELinux相关知识, https://blog.csdn.net/qq_33750826/article/details/80743035 基于 Android 4.3(宽容模式)和 Android 4.4(部分强制模式)的 Android 5.0 版本,开始全面强制执行 SELinux。 一、政策格式 政策规则采用以下形式: allow domain...
android 8.0 添加开机服务
csh86277516的博客
03-16 5076
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
如何在Init里添加一个自启动程序,Server
求变,从思想开始
10-25 1419
一. 添加一个系统服务的权限声明 情景:定义一个init启动service,demo_service,对应的执行文件是/system/bin/demo. (1) 创建一个demo.te在/device/mediatke/common/sepolicy 目录下       如果是Android4.4的源码,在/device/mediatke/common/BoardConfig.mk 的BOA...
SEAndroid安全机制进程安全上下文关联分析
810364804
07-28 508
前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid,除了要给文件关联安全上下文外,还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。本文就详细分析SEAndroid进程安全上下文的关联过程...
Android 8.0 添加开机启动服务
cigogo的专栏
01-22 7886
 Android 8.0 添加开机启动服务,主要涉及两个部分,一个是服务的添加,另一个是Sepolicy规则的添加。 服务的添加: 1.这边添加一脚本做为服务,定时读取芯片温控节点,获取在不同运行情况芯片的温度情况: monitor.sh #!/vendor/bin/sh j=1 jmax=800000000 while [ $j -lt $jmax ]; do cpu0=`cat ...
SeLinux 常见的宏
最新发布
littleyards的博客
04-01 685
意味着该声明是可以描述主体和客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件和lnk_file 有r_file_perms权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值