Android系统10 RK3399 init进程启动(三十二) SeAndroid实战之策略更新和验证

已于 2022-10-14 13:01:18 修改
阅读量963 收藏 3
点赞数
分类专栏: Android系统工程师开发手册 文章标签: Android Selinux Android系统 Android系统底层
于 2022-07-20 20:54:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldswfun/article/details/125900112
版权

 配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

上一个章节介绍了如何定义策略, 并编译得到目标文件, 这些目标文件需要在RK3399开发板上进行更新验证。

一, 更新开发板策略

编译得到的目标文件需要更新到开发板的/vendor/bin中:

out/target/product/qh100_rk3399/vendor/bin/myse_test

生成的策略文件目标文件:

ls out/target/product/qh100_rk3399/vendor/etc/selinux/

plat_pub_versioned.cil   vendor_file_contexts        vendor_property_contexts  vndservice_contexts

plat_sepolicy_vers.txt   vendor_hwservice_contexts   vendor_seapp_contexts

selinux_denial_metadata  vendor_mac_permissions.xml  vendor_sepolicy.cil

ls out/target/product/qh100_rk3399/odm/etc/selinux/

precompiled_sepolicy                                   precompiled_sepolicy.product_sepolicy_and_mapping.sha256

precompiled_sepolicy.plat_sepolicy_and_mapping.sha256

将以上文件,以文件夹为单位从源码中拷贝出来, 需要替换根文件系统中的vendor和odm分区的selinux文件, 这样的好处就是不用重新烧录整个镜像,局部更新安全策略就可以了。

操作开发板, 通过adb执行如下:

adb root

adb remount

adb push  myse_test   /vendor/bin

adb push  vendor/selinux   /vendor/etc/

adb push  odm/selinux   /odm/etc/

 

二,运行验证

 提个问题:在不使用selinux规则文件的情况下, 直接在root用户下, 通过命令启动myse_test,发现是可以正常运行的, 是为什么呢?

permissive模式下,并切换到root用户,测试更新了策略文件的效果:

adb root

adb remount

adb push  vendor/selinux   /vendor/etc/

adb push  odm/selinux   /odm/etc/

adb shell

qh100_rk3399:/ # getenforce

Permissive

qh100_rk3399:/ # ls -lZ /vendor/bin/myse_test

-rwxr-xr-x 1 root shell u:object_r:vendor_file:s0 11384 2022-05-09 09:58 /vendor/bin/myse_test

qh100_rk3399:/ # restorecon  /vendor/bin/myse_test

SELinux: Loaded file_contexts

qh100_rk3399:/ # ls -lZ /vendor/bin/myse_test

-rwxr-xr-x 1 root shell u:object_r:myse_test_dt_exec:s0 11384 2022-05-09 09:58 /vendor/bin/myse_test

启动myse_test进程:

qh100_rk3399:/ # /vendor/bin/myse_test

在另外一个终端上查看:

qh100_rk3399:/ # ps -elfZ | grep myse

u:r:su:s0                      root          6760  6524 95 14:53:46 pts/3 00:00:05 myse_test

 以上可以看到, 在不进行restorecon的时候, 我们更新的文件会自动继承父目录的安全上下文, 而执行restorecon之后, 文件的安全上下文就发生了变化了。变成了u:object_r:vendor_file:s0和u:object_r:myse_test_dt_exec:s0, 说明我们定义的安全上下文是生效了的。

三, domain域转换

上面可以看到myse_test的domain是为shell或者su, 并没有变成u:r:myse_test_dt:s0,此时需要修改myse_test.te文件, 使其能够domain切换:

# subject context in proccess status

type  myse_test_dt, domain;

# object context as a file

type myse_test_dt_exec, exec_type, vendor_file_type, file_type;

#grant perm as domain

init_daemon_domain(myse_test_dt)

domain_auto_trans(shell, myse_test_dt_exec, myse_test_dt)

重新编译策略文件,并重新更新vendor和odm中的策略。注意,想要看到进程域的切换, 需要更新好了策略文件之后, 进行重启,重启之后,才可以看到:

一个终端下启动myse_test

qh100_rk3399:/ $ ls -lZ /vendor/bin/myse_test

-rwxr-xr-x 1 root shell u:object_r:myse_test_dt_exec:s0 11384 2022-05-09 09:58 /vendor/bin/myse_test

qh100_rk3399:/ $ myse_test

在另外一个终端下查看:

qh100_rk3399:/ $ ps -elfZ | grep myse

u:r:myse_test_dt:s0            shell         1595  1412 96 15:07:24 pts/0 00:00:11 myse_test

以上说明策略文件生效了的, 注意,此时selinux模式是permissive模式, 并且也是在非root模式启动的进程

四,selinux调试和enforcing模式下运行

   同样的代码,我们将selinux模式切换到enforce模式之后, 启动myse_test的时候会出现如下情况:

qh100_rk3399:/ $ getenforce

Permissive

qh100_rk3399:/ $ su

:/ # setenforce  1

:/ # exit

qh100_rk3399:/ $ getenforce

Enforcing

再运行myse_test会出现崩溃:

qh100_rk3399:/ $ myse_test

Segmentation fault

同样的代码在permissive模式运行正常, 而在enforce模式下有问题,那应该就是权限问题了。此时需要调试,通过logcat来收集avc日志:

qh100_rk3399:/ $ logcat | grep avc | grep myse

02-24 15:07:25.694  1595  1595 I myse_test: type=1400 audit(0.0:77): avc: denied { use } for path="/dev/pts/0" dev="devpts" ino=3 scontext=u:r:myse_test_dt:s0 tcontext=u:r:adbd:s0 tclass=fd permissive=1

02-24 15:07:25.694  1595  1595 I myse_test: type=1400 audit(0.0:78): avc: denied { read write } for path="/dev/pts/0" dev="devpts" ino=3 scontext=u:r:myse_test_dt:s0 tcontext=u:object_r:devpts:s0 tclass=chr_file permissive=1

02-24 15:07:25.694  1595  1595 I myse_test: type=1400 audit(0.0:79): avc: denied { use } for path="/vendor/bin/myse_test" dev="dm-1" ino=49473 scontext=u:r:myse_test_dt:s0 tcontext=u:r:shell:s0 tclass=fd permissive=1

02-24 15:07:25.720  1595  1595 I myse_test: type=1400 audit(0.0:80): avc: denied { read write } for name="myse_dev" dev="tmpfs" ino=43383 scontext=u:r:myse_test_dt:s0 tcontext=u:object_r:device:s0 tclass=file permissive=1

02-24 15:07:25.720  1595  1595 I myse_test: type=1400 audit(0.0:81): avc: denied { open } for path="/dev/myse_dev" dev="tmpfs" ino=43383 scontext=u:r:myse_test_dt:s0 tcontext=u:object_r:device:s0 tclass=file permissive=1

02-24 15:11:04.956  1906  1906 I myse_test: type=1400 audit(0.0:86): avc: denied { use } for path="/dev/pts/0" dev="devpts" ino=3 scontext=u:r:myse_test_dt:s0 tcontext=u:r:adbd:s0 tclass=fd permissive=1

02-24 15:11:04.956  1906  1906 I myse_test: type=1400 audit(0.0:87): avc: denied { read write } for path="/dev/pts/0" dev="devpts" ino=3 scontext=u:r:myse_test_dt:s0 tcontext=u:object_r:devpts:s0 tclass=chr_file permissive=1

02-24 15:11:04.957  1906  1906 I myse_test: type=1400 audit(0.0:88): avc: denied { use } for path="/vendor/bin/myse_test" dev="dm-1" ino=49473 scontext=u:r:myse_test_dt:s0 tcontext=u:r:shell:s0 tclass=fd permissive=1

02-24 15:11:04.984  1906  1906 I myse_test: type=1400 audit(0.0:89): avc: denied { read write } for name="myse_dev" dev="tmpfs" ino=43383 scontext=u:r:myse_test_dt:s0 tcontext=u:object_r:device:s0 tclass=file permissive=1

02-24 15:11:04.984  1906  1906 I myse_test: type=1400 audit(0.0:90): avc: denied { open } for path="/dev/myse_dev" dev="tmpfs" ino=43383 scontext=u:r:myse_test_dt:s0 tcontext=u:object_r:device:s0 tclass=file permissive=1

将以上内容新建到一个文件: avc_log.txt

audit2allow -i  avc_log.txt

audit2allow一般在android源码中自带, 也可以通过apt进行安装, 得到如下结果:

#============= myse_test_dt ==============

allow myse_test_dt adbd:fd use;

allow myse_test_dt device:file { read write open };

allow myse_test_dt devpts:chr_file { read write };

allow myse_test_dt shell:fd use;

以上结果就表示myse_test_dt.te缺少权限, 需要在该文件添加权限,如下所示:

# subject context in proccess status
type  myse_test_dt, domain;
# object context as a file
type myse_test_dt_exec, exec_type, vendor_file_type, file_type;
#grant perm as domain
init_daemon_domain(myse_test_dt)

domain_auto_trans(shell, myse_test_dt_exec, myse_test_dt)

#============= myse_test_dt ==============

allow myse_test_dt adbd:fd use;

allow myse_test_dt device:file { read write open };

allow myse_test_dt devpts:chr_file { read write };

allow myse_test_dt shell:fd use;

重新编译策略文件,更新根文件系统,重新编译,按照之前的方法, 将模式切换到enforcing模式下, 发现myse_test程序是可以正常运行的,说明我们给的权限是够的。

旗浩QH
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
AndroidP SEAndroid 项目实战
android
09-08 1119
SEAndroid 项目实战1、介绍2、如何配置2.1、sepolicy的来源 1、介绍 首先什么是 SEAndroid,我们都知道 Android 是基于 linux系统搭建的,而 SELinux(Security-EnhancedLinux) 是美国国家安全局(NSA)对于强 制访问控制的实现,是 Linux 历史上最杰出的新安全子系统SEAndroid 也是基于 SELinuxAndroid 4.4平台之后加入到 Android 系统的, SEAndroidSELinux的基础上添加了
SEAndroid那点事
学如不及,犹恐失之
04-28 517
SEAndroid那点事 SEAndroid那点事 概述 DAC和MAC DAC–自主访问控制 MAC–强制访问控制 DAC和MAC的区分和联系 权限的添加策略 SecurityContext te文件 file_contexts 案例 总结 学习资料 概述 Android平台的基础是Linux内核,android每个应用都运行在自己的沙盒中,在Android4....
android安全动态分析方法,基于SEAndroid的机顶盒安全策略动态分析与配置技术研究与设计...
weixin_36477469的博客
05-26 73
摘要:随着Android系统在教育娱乐,公共服务,移动支付等众多领域的市场份额不断扩大,针对Android系统的恶意软件和漏洞攻击也越来越多.为了应对系统所面临的安全问题,Android在原有的安全机制基础上引入了强制访问控制机制,形成了一种适应自身系统的安全机制—SEAndroid,该安全机制必须制定完善的安全策略才能更有效的保障系统的安全性.在SEAndroid安全机制中,安全策略主要用于检查...
AIO-3399C-AI industry 打开adb root权限
wolfnx
11-02 575
刚编译过的AIO-3399C-AI industry版本,即使编译user-debug版本,在执行adb root时会发现并不能生效。那我们就不能执行adb remount,因此也就不能修改其中的数据。例如push一个apk进去。下面就介绍一下如何打开adb root。
rk3399 android9.0 开机出现问题
YY2065的博客
04-22 704
1. 开机弹出 "There’s an internal problem with your device. Contact your manufacturer" 调试屏幕显示的时候一切正常,在调试屏幕触摸后出现这个问题,开始我以为是因为dtsi配置错了导致这个问题的出现,触摸也一直未调试成功,我也一直在触摸驱动和dtsi配置上寻找问题,一筹莫展的好几天,最终在百度上借鉴了这个方法,屏蔽后,触摸驱动正常。 2.\sdk-9.0\frameworks\base\services\core\java\com
Firefly-RK3399Android10中的pdf_20211123_1657.7z
11-23
Firefly-RK3399Android10中的pdf_20211123_1657.7z a4_portrait_rgbb.pdf a5_portrait_rgbb.pdf a5_portrait_rgbb_1_6_printscaling_default.pdf a5_portrait_rgbb_1_6_printscaling_none.pdf aacDecoder.pdf ...
RK3399安卓系统DTB提取和转DTS工具
11-06
内含: 1、AndroidTool_Release_V2.58(RK3399烧录备份EXE) 2、DriverAssitant_v4.5.rar(RK3399 windows驱动) 3、mkbootimg,resource_tool,umkbootimg,rkdeveloptool(RK3399 linux解包工具)
RK3399 android10 W3S 二合一 typeC OTG切换HOST和DEVICE 】 原理图
04-08
RK3399 android10 W3S 二合一 typeC OTG切换HOST和DEVICE 】 原理图
RK3399 android10 W3S 二合一 typeC OTG切换HOST和DEVICE 】 3399 usb开发手册
最新发布
04-08
RK3399 android10 W3S 二合一 typeC OTG切换HOST和DEVICE 】
rk3399android7.1平台新增HDMI特殊分辨率输出修改补丁
01-23
白名单的分辨率数据要和kernel中的hdmi驱动新增分辨率一致
RK3399 Android7.1关机后按电源键开机无反应
u011774634的博客
06-28 1297
eMMC问题导致关机后无法开机
rk3399启动卡在android动画,rk3399 Android 7.1.2 添加开机执行的.sh
weixin_30531707的博客
05-26 419
Platform: RK3399OS: Android 7.1.2Kernel: v4.4.126首先在Init.rc中添加开机服务我们这里是在system/core/rootdir/init.rc中添加 组和用户都是root,只执行一次.条件是在开机完成后启动服务-start fbchangeAndroid 5.0之后Android 系统强化了SELINUX 功能,涉及到许多权限问题.因此添加...
RK3399 android9.0 调试屏幕进入系统桌面显示异常问题
Y的博客
02-22 701
目的:用于降低媒体系统中的带宽。引用:GPU、视频处理器和显示处理器之间的交互。其中一个带宽最密集的用例是视频后处理。在许多用例中,GPU 在将视频流用作 2D 或 3D 场景中的纹理时需要读取视频并应用特效。在这样的情形中,ARM 帧缓冲压缩 (AFBC) 这种具备精细随机访问能力的无损图像压缩协议和格式能够最大程度地减少 Soc 内 IP 块之间的数据传输量,将系统级别的总体带宽和功耗最多降低 50%。
rk3399启动卡在android动画,Videostrong RK3399板卡启动模式说明
weixin_42134769的博客
05-26 837
该楼层疑似违规已被系统折叠隐藏此楼查看此楼Videostrong RK3399板卡启动模式说明前言RK3399 有灵活的启动方式。一般情况下,除非硬件损坏,VS-RK3399 开发板是不会变砖的。如果在升级过程中出现意外,bootloader 损坏,导致无法重新升级,此时仍可以进入 MaskRom 模式来修复。加载方式RK3399 有 32KB 的 BootRom 和 200KB 的内部 SRA...
嵌入式开发Rk3399过程中遇到的问题解决方案
wxm_forever_love的博客
05-03 1319
在华硕的rk3399核心板中安装了Android 10系统版本,为了使用其Root权限,我们为其刷入Magisk来获得root权限。其中遇到的问题:刷入Magisk工具后,使用指令 $ adb reboot bootloader 无法重启到fastboot模式。 解决方式: 首先利用fastboot devices查看有无设备 $ fastroot devices no permissions(user in plugdev group ;are your udev rule...
Android SELinux avc dennied权限问题解决方法
qq_18273521的博客
03-21 2326
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1.概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例...
Android P 中selinux
cassie_huang的博客
09-19 6894
说在前面,文章大部分参考https://source.android.com/security/selinux/。 1.一些基本概念 SELinux 运行的原则是:所有没有明确指定为allow的操作都会被拒绝。 两种模式: Permissive mode, 会有denials的log,但是不会强制执行。在前期porting的时候可以使用这种mode。 Enforcing mode, 会有...
Android系统开发】SEAndroid权限解决方法汇总
橙子和小果的博客
07-16 791
前言: 从android5.x开始,引入严格的selinux权限管理机制,经常会遇到各种avc denied的log。 SEAndroid就是SElinux的增强型版本。 确认问题 先排查是否由SElinux策略导致的问题 串口输入:setenforce 0 串口输入:getenforce 0 即进入了permissive 1. 强制关闭SEAndroid的方法: 1.1 方法一 如果是user版本固件,则在bootcmd加入androidboot.selinux =permissive即可 如
Android 8.1 非系统进程设置系统域属性问题
热门推荐
岁月斑驳7的博客
11-07 1万+
1. 进程间通过设置属性进行交互 Android 系统开发中经常需要通过属性在各个进程间传递信息,通过一个进程 set_property,另一个进程 get_property 达到进程间通信的需求。 属性获取没有限制,但是如果需要进程可以进行设置属性操作,则需要做一些处理。因为在 init 进程属性设置处理过程中会进行 selinux 权限的检查,如果不通过的话,设置属性的请求会被拒绝。 报错 f...
android rk3288 rk3399 双屏双触 双屏异显 验证apk
06-07
Android RK3288和RK3399是两种主流的嵌入式处理器,支持双屏双触和双屏异显功能,可以实现多屏互动以及多任务处理功能。其中双屏双触指的是设备可以同时连接两个触控屏幕,实现双屏同时触控的功能;双屏异显则是指可以将不同内容分别输出到两个屏幕上,实现双屏异显的功能,如:将广告展示在一个屏幕上,同时在另一个屏幕上展示活动详情。 为了验证APK,我们需要在RK3288或RK3399双屏设备上安装并运行目标APK。首先确保设备上已经正确连接了两个屏幕,在系统设置中开启双屏显示功能。然后按照APK的运行说明来操作,如果目标APK支持双屏异显功能,则可以在两个屏幕上分别展示不同的内容;如果支持双屏双触,则可以在两个屏幕上进行触控操作。 在验证过程中,若发现存在应用卡顿、界面错乱等问题,需要对设备进行优化调试,如调整系统参数、清理内存、升级驱动等。最终验证结果应为APK能够正常运行并呈现出预期的效果。 总的来说,使用Android RK3288和RK3399双屏双触双屏异显功能验证APK的方法相对简单,但需要正确操作设备并进行系统调试,方能达到预期效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值