Android系统10 RK3399 init进程启动(三十八) 属性Selinux实战编程

已于 2022-09-07 21:00:36 修改
阅读量1.9k 收藏 7
点赞数 1
分类专栏: Android系统工程师开发手册 文章标签: Android属性 Android系统底层 RK3399驱动 Property
于 2022-09-07 20:59:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldswfun/article/details/126753372
版权

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

上一节介绍了如何属性编程, 参考:

Android系统10 RK3399 init进程启动(三十七) 属性代码编程_旗浩QH的博客-CSDN博客

但是安卓对属性有selinux权限控制的, 本文重点介绍如何在selinux的不同模式下, 如permissive和enforceing模式下进行selinux规则编程。

一, 不配置selinux规则

将prop_test放在/vendor/bin中, 普通用户+permissive模式, 运行prop_test, 此时正常运行(adb重启了):

qh100_rk3399:/ $ getprop | grep adb.tcp

[service.adb.tcp.port]: [15000]

qh100_rk3399:/ $ getprop | grep ctl  #结果为空
qh100_rk3399:/ $ getprop | grep new

[new.prop.test.name]: [qh100]

 同时查看可执行程序和各个属性的安全上下文:

console:/ $ ps -elZ | grep prop_test

u:r:shell:s0       0 R  2000 15297 15289 87 19   0  64  8433 0      pts/0    00:00:02 prop_test

console:/ $ ls -Z /vendor/bin/prop_test

u:object_r:vendor_file:s0 /vendor/bin/prop_test

 属性的安全安全上下文:

qh100_rk3399:/ $ getprop -Z service.adb.tcp.port

[service.adb.tcp.port]: [u:object_r:shell_prop:s0]

qh100_rk3399:/ $ getprop -Z  vendor.new.prop.test.name

[vendor.new.prop.test.name]: [u:object_r:default_prop:s0]

qh100_rk3399:/ $ getprop -Z  ctl.start

u:object_r:ctl_default_prop:s0

qh100_rk3399:/ $ getprop -Z  ctl.stop

u:object_r:ctl_default_prop:s0

qh100_rk3399:/ $ getprop -Z  ctl.restart

u:object_r:ctl_default_prop:s0

在selinux为permissve模式下不修改任何selinux规则, 以上代码正常,但是设置成enforce模式下:

qh100_rk3399:/ $ su

qh100_rk3399::/ # setenforce  1

qh100_rk3399::/ # exit

 运行prop_test,日志显示:

qh100_rk3399:/ $ prop_test

/system/bin/sh: /vendor/bin/prop_test: Permission denied

 在串口上查看属性自然无效:

console:/ $ getprop  | grep new

说明此时属性因为selinux权限管控,无法任意修改属性。所以此时需要定制selinux规则。

二, 配置selinux基本规则

需要配置的selinux规则文件如下所示: 

 prop_test作为vendor,分区去修改shell_prop类型的属性service.adb.tcp.port, 可能修改到system分区的selinux的规则, 所以暂时将主程序改成如下, 负责重启服务:vendor.gnss_service 

int main(int argc, char *argv[])
{
    print_android_version();
    CplusTestPropString();

    property_set("vendor.new.prop.test.name", "qh100");

#if 0
    set_adbd_tcp_port(0);
    property_set("ctl.stop", "adbd");
    property_set("ctl.start", "adbd");
#else
    property_set("ctl.restart", "vendor.gnss_service");
#endif

    while(1);

    return 0;
}

 需要定义如下selinux规则:

  1. 设置自定义属性new.prop.test.name的安全上下文, 同时定义prop_test文件的安全上下文
  2. prop_test特定的进程域.
  3. 定义进程于的规则

 selinux规则文件结构: 

device/rockchip/qh100_rk3399/test_se/

└── sepolicy

    ├── device.te

├── myse_test.te

├── file_contexts :定义prop_test可执行程序文件的安全上下文。

    ├── property_contexts  : 定义属性对应的安全上下文。

└── prop_test.te: 定义prop_test进程对应的进程域和权限策略。

└── property.te :  定义属性对应的类型。

制定属性相关的selinux类型(vendor.new.prop.test.name):

vim device/rockchip/qh100_rk3399/test_se/sepolicy/property.te

type vendor_myprop_prop, property_type;

vim device/rockchip/qh100_rk3399/test_se/sepolicy/property_contexts

vendor.new.prop.test.name  u:object_r:vendor_myprop_prop:s0

可执行程序文件prop_test对应的selinux格则:

vim device/rockchip/qh100_rk3399/test_se/sepolicy/prop_test.te

# subject context in proccess status

type  myprop_test_dt, domain;

# object context as a file

type myprop_test_dt_exec, exec_type, vendor_file_type, file_type;

#grant perm as domain

init_daemon_domain(myprop_test_dt)

domain_auto_trans(shell, myprop_test_dt_exec, myprop_test_dt)

vim device/rockchip/qh100_rk3399/test_se/sepolicy/file_contexts

/vendor/bin/myse_test                   u:object_r:myse_test_dt_exec:s0

/vendor/bin/prop_test                   u:object_r:myprop_test_dt_exec:s0

/dev/myse_dev    u:object_r:myse_testdev_t:s0

编译:

make selinux_policy -j16

得到:

out/target/product/qh100_rk3399/vendor/etc/selinux/

out/target/product/qh100_rk3399/odm/etc/selinux/

 开发板更新selinux目标操作:

ProperyCode\selinux\binary\v1-onlyContext>adb push vendor\selinux  /vendor/etc/

vendor\selinux\: 10 files pushed, 0 skipped. 15.2 MB/s (1023122 bytes in 0.064s)

ProperyCode\selinux\binary\v1-onlyContext>adb push odm\selinux  /odm/etc/

odm\selinux\: 3 files pushed, 0 skipped. 14.5 MB/s (480980 bytes in 0.032s)

重启开发板, 执行验证, 注意此时可以在permissive模式下验证, 这样可以获取到更多的权限报错信息:

qh100_rk3399:/ $ ls -lZ /vendor/bin/prop_test

-rwxrwxrwx 1 root shell u:object_r:myprop_test_dt_exec:s0 11616 2022-08-25 12:28 /vendor/bin/prop_test

qh100_rk3399:/ $ prop_test

 发现prop_test并没有报权限错误, 查看进程域, 发现进程域安全上下文发生了变化:

qh100_rk3399:/ $ ps -elfZ | grep prop_test

u:r:myprop_test_dt:s0          shell         1824  1710 94 12:41:04 pts/0 00:00:14 prop_test

u:r:shell:s0                   shell         1842  1828 2 12:41:19 pts/1 00:00:00 grep prop_test

但是属性是否也被改变了呢?

qh100_rk3399:/ $ getprop | grep new

[vendor.new.prop.test.name]: [qh100]

qh100_rk3399:/ $ getprop -Z vendor.new.prop.test.name

u:object_r:vendor_myprop_prop:s0

自定义的属性也是按照规则文件来设置了安全上下文。

gnss服务在prop_test启动前后的pid有变化,说明程序代码没问题,selinux规则也生效了。

qh100_rk3399:/ $ ps -elf | grep gns

gps           2056     1 0 14:35:01 ?     00:00:00 android.hardware.gnss@1.0-service

shell         2190  2068 0 14:36:57 pts/1 00:00:00 grep gns

qh100_rk3399:/ $ ps -elf | grep gns

gps           2198     1 1 14:37:02 ?     00:00:00 android.hardware.gnss@1.0-service

shell         2208  2068 0 14:37:06 pts/1 00:00:00 grep gns

保存avc日志: logcat  | grep  avc  

获取到权限: audit2allow  -i avc_log.txt, 得到如下需要补充的权限格则: 

#============= myprop_test_dt ==============

allow myprop_test_dt adbd:fd use;

allow myprop_test_dt devpts:chr_file { read write };

allow myprop_test_dt init:unix_stream_socket connectto;

allow myprop_test_dt property_socket:sock_file write;

allow myprop_test_dt shell:fd use;

切换到enforce模式:

qh100_rk3399:/ $ su

:/ # setenforce  1

:/ # getenforce

Enforcing

qh100_rk3399:/ $ prop_test

Segmentation fault

肯定是缺少权限,增加之前获取到的权限:

vim device/rockchip/qh100_rk3399/test_se/sepolicy/prop_test.te

#============= myprop_test_dt ==============

allow myprop_test_dt adbd:fd use;

allow myprop_test_dt devpts:chr_file { read write };

allow myprop_test_dt init:unix_stream_socket connectto;

allow myprop_test_dt property_socket:sock_file write;

allow myprop_test_dt shell:fd use;

编译之后,重新运行:一定要在enforce模式下,运行 prop_test,此时不会退出,

qh100_rk3399:/ $ getenforce

Enforcing

qh100_rk3399:/ $ prop_test

 但是获取属性是没有的:

qh100_rk3399:/ $ su

:/ # getprop | grep new  #即使切换到su用户,也无法获取到属性,因为设置不成功。

qh100_rk3399:/ $ ps -elf | grep gnss

gps            246     1 0 14:42:27 ?     00:00:00 android.hardware.gnss@1.0-service

shell         2046  2021 4 14:47:09 pts/1 00:00:00 grep gnss

第二次运行prop_test时:

qh100_rk3399:/ $ ps -elf | grep gnss

gps            246     1 0 14:42:27 ?     00:00:00 android.hardware.gnss@1.0-service

shell         2056  2021 0 14:47:16 pts/1 00:00:00 grep gnss

gnss服务没有重启成功, 同时自定义属性vendor.new.prop.test.name也没有设置成功, 也就是说selinux规则已经有了, 但是设置属性的规则还是没有的。

三, 增加属性selinux权限规则

根据我们需要修改的属性的安全上下文, 我们配置对应的属性规则:

vim device/rockchip/qh100_rk3399/test_se/sepolicy/prop_test.te 后面添加:

set_prop(myprop_test_dt, vendor_myprop_prop);

#set_prop(myprop_test_dt, shell_prop);

set_prop(myprop_test_dt, ctl_default_prop);

注意, 上面注释的部分,打开之后,编译会报错, 大家可以自己试试,根据我们之前学习到的知识,自我分析一下。

编译之后,重新运行:一定要在enforce模式下验证,运行 prop_test:

qh100_rk3399:/ $ su

:/ # setenforce 1

:/ # exit

qh100_rk3399:/ $ getenforce

Enforcing

qh100_rk3399:/ $ prop_test

执行结果如下:

1|qh100_rk3399:/ $ ps -elf | grep gnss

gps            247     1 0 14:55:01 ?     00:00:00 android.hardware.gnss@1.0-service

shell         2207  2193 1 15:02:38 pts/1 00:00:00 grep gnss

第二次运行prop_test时:

qh100_rk3399:/ $ ps -elf | grep gnss

gps           2216     1 0 15:02:42 ?     00:00:00 android.hardware.gnss@1.0-service

shell         2235  2193 5 15:02:55 pts/1 00:00:00 grep gnss

说明在enforcing模式下,可以重启gnss服务。

获取自定义属性时:

qh100_rk3399:/ $ getprop | grep new 

 #此时没有结果,是因为在shell命令行执行getprop时, shell进程域没有权限获取vendor.new.prop.test.name

需要切换到root用户下才能看到:

qh100_rk3399:/ $ su

:/ # getprop | grep new

[vendor.new.prop.test.name]: [qh100]

四, 总结

一般在pemissive模式下, 修改属性时, 权限问题不是很突出, 但是一旦在enfocing模式,权限配置就非常重要, 甚至有些时候非常麻烦, 所以希望大家通过这几次实战selinux编程, 对selinux的规则有深刻理解。

旗浩QH
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
[RK3568 Android11] 开发之修改selinux模式
~未来可期~
07-10 1922
目录 前言 一、查看当前系统使用的哪种模式 二、修改SDK代码,默认为Permissive模式 前言 RK3568 Android11 SDK默认的selinux默认是Enforcing模式(强制模式),在该模式下会给开发带有相当多的难度;底层接口应用拿不到权限导致运行失败,修改系统属性不成功等问题;一般系统运行在Permissive模式(宽容模式)下足以,除非客户有强制要求使用Enforcing模式(根据系统打印的log信息哪些需要用到什么权限,再去适配selinux了); ...
Android 10.0 SystemServer进程读写sdcard权限的修改
安卓兼职framework和app工程师的博客
08-21 783
10.0的系统开发中,在一些系统进程中,也就是在SystemServer的进程中,其中系统服务中会要求读写Sdcard的一些功能,然后 默认是没有读取sdcard权限的,而在app中可以申请sdcard读写权限在系统服务中就不能申请权限,接下来看怎么授权实现sdcard授权
Android系统10 RK3399 init进程启动(二十三) 初识Selinux 安全策略
ldswfun的专栏
05-07 923
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux的安全策略的基本规则, 先入为主的了解最简单的东西, 然后再慢慢深入更细节东西。 一, 最简单的安全策略规则 配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK...
Android P SELinux (一) 基础概念
headwind的博客
08-14 3484
在处理了一些SELinux相关的问题之后,深深厌恶这个东西,一打开就报一大堆权限问题,添加te权限还特别麻烦,第一次搞下来没有1-2天是不行的。 抽时间查阅相关资料后,结合理论知识和源码进行分析,随着在项目中不断处理了一些CTS neverallow的失败项,慢慢地对SELinux有了更深入的理解,接下来的内容将分别介绍基础概念、SELinux开机初始化、SELinux编译相关和实际案例分享,让大家对SELinux有更加深入的认识。 学习一个模块的东西,我更喜欢从实际的问题出发去探索,因为目标很明确,不会.
android selinux 编译,Android应用开发Android SElinux相关
weixin_28956461的博客
05-26 673
本文将带你了解Android应用开发Android SElinux相关,希望本文对大家学Android有所帮助。"SEAndroid app分类SELinux(或SEAndroid)将app划分为主要三种类型(根据user不同,也有其他的domain类型):untrusted_app 第三方app,没有Android平台签名,没有system权限platform_app 有android平台签名,...
Android Selinux 单编后,快速验证
kanyou222的专栏
12-21 4892
sepolicy修改后 快速验证 编译: makeselinux_policy-j8 // vendor 和system 都修改了 makeselinux_policy_nonsystem -j8 // 只修改 vendor相关的sepolicy 编译成功后,只需要替换如下文件vendor_sepolicy.cil,即可快速验证 /vendor/etc/selinux/vendor_sepolicy.cil ...
Android 10以上出现的 android Permission denied 读写权限问题解决方法
最新发布
xiaowang_lj的博客
09-22 2267
Android 10 开始,应用即使申请了权限,也只能读写自己外部存储的私有目录,就是Android/data/对应应用包名 下的相关目目录。除此之外任何目录的读写都会被拒绝,并提示。文件中,在application标签中添加如下属性
安卓平台下的GPS架构介绍及驱动移植记录
陈子陌的博客
11-09 8366
一、前言 我的工作是关于汽车车机BSP部分。 汽车车机,其实基本和人们日常所用的手机一样,也是安卓平台的。所谓安卓,就是一层安卓服务包裹着Linux内核所形成的操作系统。 BSP组,主要工作内容就是负责soc的Linux系统部分的驱动移植、调试,及BUG解决。 从毕业到现在,工作也有大半年了。跟着前辈学习GPS模块的移植、调试,和BUG解决也有差不多两个月了。心里想着,是时候写一篇关于GPS驱动移植学习的总结和笔记了。 于是今天,我尝试着动手开始梳理这两个月来的所学所知。 二、U-blox m8l导航模
Android-GnssHal层gps.xxx.so查找与加载过程分析
halazi100
07-01 5278
Android-GnssHal层gps.xxx.so加载过程分析 gps.xxx.so不是在编译的时候直接prelink而是在运行阶段动态查找并加载的; 已 android.hardware.gnss@1.0-service 为例 android.hardware.gnss@1.0-service.rc 会在系统启动启动 android.hardware.gnss@1.0-service 然后通过 hw_get_module 获取到对应的module并open以及获取 interface ; I
SELinux “unlabeled”标签产生的两种场景及解决方案
李老板的移动安全杂货铺
09-15 3107
SELinux出现unlabeled的两种场景做了简单的记录,深度分析形成原因,并且给出了对应的解决方式。两种场景均为笔者在实践过程中遇到的真实场景,是从事Linux安全开发的研发人员大概率会遇到的场景,希望可以帮助大家快速定位和解决类似问题。
基于Android13的系统启动流程分析(三)之FirstStageMain阶段
q1210249579的博客
01-18 3675
init进程Android系统中用户空间的第一个进程,作为第一个进程,它被赋予了很多极其重要的工作职责,比如创建zygote(孵化器)和属性服务等。init进程是由多个源文件共同组成的,这些文件位于源码目录system/core/init1. Bootloader 引导当按下设备电源键时,最先运行的就是 bootloader(固化在ROM的程序),bootloader 的主要作用就是硬件设备(如 CPU、flash、内存)的初始化并加载到RAM,通过建立内存空间映射,为装载 Linux 内核做好准备,。
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8837
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
SEAndroid 问题解决
03-30 5353
终于把2个月纠结的功能做完了。 完成功能特地也总结一下 一些常用的命令 1.1 adb shell getenforce (查看selinux 当前的状态) Enforcing: 代表SELinux处于开启状态,会阻止进程违反SELinux策略访问资源的行为。 Permissive: 代表SELinux关闭,不会阻止进程违反SELinux策略访问资源的行为。1.2 设置selinux
Selinux小结
热门推荐
~山之歌~
11-30 1万+
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言    3 1、安全属性——SContext    3 2、TE简介    4 1). 客体类别和许可:    4 2). 访问向量规则:    5 3). AV规则    5 四、SElinux策略文件
22-08-05 Android 在device mk里PRODUCT_PROPERTY_OVERRIDES 定义一个自定义的prop 属性失败的问题 , SELinux permission权限问题
海月汐辰
08-05 3657
一、我现在device 里面mk文件加入一个persist.deepsleep.closewifi prop属性 二、但是用getprop 获取不到该属性的值。 三、查看log,提示init: Do not have permissions to set 'persist.deepsleep.closewifi' to 'true' in property file '/vendor/build.prop': SELinux permission check failed,是权限问题。 三、原因是syst
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 6934
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android系统 设置系统属性值调试技巧
Y的博客
07-05 1526
Android系统属性值总体分为两大类型:prop与settings。掌握一些快速定位修改系统属性的方法,可以大大提高解决问题的效率。prop 的初始化都在 device 下的 mk 文件中,使用 PRODUCT_PROPERTY_OVERRIDES 进行配置例如(rk3568):device / rockchip / rk356x / device . mk文件下。
Android 从GPS中获取位置信息流程分析
weixin_42265250的博客
07-07 3559
简单分析Android从GPS中获取位置信息流程,主要分析从用户端请求GPS位置信息到底层分发位置信息给用户的流程
Android要设置系统属性,怎么配置selinux
04-05
要配置SELinux,您需要使用以下命令: 1. 检查您的设备是否使用SELinux: getenforce 2. 如果SELinux处于enforcing模式,将...同时,更改SELinux可能会导致系统不稳定,因此请确保在进行任何更改之前备份您的设备。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值