SElinux android 在hal下 如何获得对一个内核节点的访问权限

最新推荐文章于 2022-12-22 20:00:00 发布
最新推荐文章于 2022-12-22 20:00:00 发布
阅读量1k 收藏 3
点赞数
分类专栏: android SElinux

Android 5.0以上,我们发现jni通过hal层去操作内核节点时PERMISSION DENIED 即使在android源代码工程目录下,进入到system/core/rootdir目录,里面有一个名为ueventd.rc文件,往里面添加一行:/dev/hello 0666 root root ,此操作仍然不能让上层去读写相应的节点, 因为5.0以上采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。 
解决办法: 
1.找到需要访问该内核节点的进程(process)我的是以system_server进程来访问 
2.打开文件AndroidL/android/external/sepolicy/file_contexts.be 
添加

/dev/hello    u:object_r:hello_device:s0 
 
 
  • 1

 
 
  • 1

3.打开文件AndroidL/android/external/sepolicy/device.te 
将刚刚第二步写的hello_device声明为dev_type:

type hello_device, dev_type;  
 
 
  • 1

 
 
  • 1

4.AndroidL/android/external/sepolicy/目录下很多.te文件都是以进程名来结尾的,比如有针对surfaceflinger进程的surfaceflinger,有针对vold进程的vold.te, 
我们是由system_server进程来访问这个节点的,所以,我们找到system_server.te打开,加入允许这个进程对/dev/hello的读写权限。

# chr_file表示字符设备文件,如果是普通文件用file,目录请用dir  
# rw_file_perms代表读写权限  
allow system_server hello_device:chr_file rw_file_perms;  // 允许system_server进程拥有对hello_device的这个字符设备的读写权限;
 
 
  • 1
  • 2
  • 3

 
 
  • 1
  • 2
  • 3

这样system_server中的helloservice就可以顺利访问kernel的节点了,

另外5.1 后在frameworks/base/services/Java/com/android/server/SystemServer中add自定义的Service时会报SecurityException,同样我们需要在external/sepolicy/service_contexts文件里面做相应的配置 
假设我们addservice的别名叫”hello” 
那么service_contexts就写成

hello     u:object_r:hello_service:s0
 
 
  • 1

 
 
  • 1

在\external\sepolicy\service.te中添加如下:

type hello_service, system_api_service, system_server_service, service_manager_type;
简单并快乐着
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 5.x SEAndroidSElinux内核节点的读写权限
11-09
Android 5.x SEAndroidSElinux内核节点的读写权限,主要是关于5.0以后版本的Selinux权限
Android6.0 在SElinux下如何获得对一个内核节点访问权限
Android学习之旅
06-22 497
Android 6.0下,因为采取了SEAndroid/SElinux的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。本文涉及到的用户自定义的内核节点为/dev/freg_device 问题Log如下: 06-16 00:27:09.313 224 224 I SystemServer: Freg Service 06-16 00:27:09....
实现自己的HAL-14 控制led(内核设备节点访问权限的动态配置),从app 到 hal 到底层内核kernel层的驱动 的实现(六)
yangbinbingA的博客
06-29 354
内核设备节点访问权限的动态配置 在控制led,从app 到 hal 到底层内核kernel层的驱动 的实现(一)中我们创建了led 控制驱动,同时
实现自己的HAL-9 控制led(驱动),从app 到 hal 到底层内核kernel层的驱动 的实现(一)
yangbinbingA的博客
06-29 410
控制led,从app 到 hal 到底层内核kernel层的驱动 的实现(一) led 驱动 设备树的修改 Z:\itop-3399_8.1\kernel\arch\arm64\boot\dts\rockchip\itop-3399.dtsi 文件 添加自己的test_led 节点 /* itop_led { compatible = "itop_led"; pinctrl-names = "default"; pinctrl-0 = <&led1
[Android] 修改设备访问权限
节奏很重要的专栏
12-19 8251
在硬件抽象层模块中,我们是调用open函数来打开对应的设备文件的。例如,在2.3.2小节中开发的硬件抽象层模块freg中,函数freg_device_open调用open函数来打开设备文件/dev/freg。 60 if((dev->fd = open(DEVICE_NAME, O_RDWR)) == -1) { 61       LOGE("Failed to open device f
详解Android Selinux 权限及问题
08-28
本篇文章主要介绍了详解Android Selinux 权限及问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
Android系统中,Selinux对每一个应用和系统服务的权限进行了严格的限制,以保护系统的安全性和稳定性。 MTK Android 6.0平台是MediaTek公司针对Android 6.0 Marshmallow系统定制的一套硬件抽象层(HAL)和驱动...
Android系统在超级终端下必会的命令汇总.docx
11-16
Android系统中,超级终端是一个非常重要的工具,它允许用户通过命令行界面与设备交互,执行各种系统级别的操作。这些操作通常需要root权限,因此掌握必要的命令对于系统管理和调试至关重要。本文将汇总在Android...
Android R 添加 HIDL 服务
liushaohua2002的博客
03-01 4258
HAL 接口定义语言(简称 HIDL,发音为“hide-l”)是用于指定 HAL 和其用户之间的接口的一种接口描述语言 (IDL)。HIDL 允许指定类型和方法调用(会汇集到接口和软件包中)。从更广泛的意义上来说,HIDL 是指用于在可以独立编译的代码库之间进行通信的系统。从 Android 10 开始,HIDL 已废弃,Android 将在所有位置改用 AIDL。 1. 准备目录(vendor/my)及hal接口文件 manifest_hello.xml此文件内容在Android R 高通项目中可
Android硬件访问服务由HAL层到APP以及添加自定义权限限制访问
LEAD_SOLO的专栏
12-01 2406
本文主要内容如下。其实Android硬件访问服务的文章已经多的数不胜数了。 1、编写HAL库控制硬件 2、添加jni访问HAL库 3、java调用jni的实现以及AIDL 4、实现管理类来对java的访问服务进行操作以及APK调用方法 5、对硬件访问服务进行访问硬件的权限检查,以及自己添加新的权限在framework以及APK调用方法1、编写HAL库控制硬件以Android5.0为例
Android应用层到Framework到HAL再到驱动层的整个流程分析
测试0901-1
01-24 1117
老罗的分析是从驱动到应用层的,但我想从app开发者的角度去反思这个流程,我反过来说吧。 Tips:老罗这个例子,太多hello相关的函数和类了,要区分的话,目录是个好东西!要注意当前说的层在哪个目录!我会把它加粗。 Tips2:封装是理清各层关系的关键,除了驱动,上面的app/framew...
Binder与AIDL使用详解
performance
12-11 848
Binder 原理 1、概述 Android 系统中,涉及到多进程间的通信底层都是依赖于 Binder IPC 机制。例如当进程 A 中的 Activity 要向进程 B 中的 Service 通信,这便需要依赖于 Binder IPC。不仅于此,整个 Android 系统架构中,大量采用了 Binder 机制作为 IPC(进程间通信,Interprocess Communication)方案。 ...
AndroidAndroid 11(R) Power HAL AIDL简析 -- 基本接口
weixin_41028159的博客
12-22 1842
在Androi源码目录下定义了三个aidl文件,分别为:IPower.aidl 定义 power hal接口Mode.aidl 定义各种 power modeBoost.aidl 定义Boost typeaidl_api目录:对于Stable AIDL,从 Android 11 开始,versions 冻结在 aidl_api/name 下,和AIDL接口版本相关。
Android7.0 APP调用驱动流程 Selinux 权限配置
03-02 1655
最近受到肺炎疫情的影响,刚复工不久事情也没那么多,于是就整理下以前做的东西,写下博客好了。其实工作之余也会经常写工作相关的技术文档,只是不习惯发布到博客而已,毕竟有些也是跟公司相关的技术,发布到网上也可能不太好。不过有些自己花时间去学习倒可以跟大家分享讨论与进步。 首先在这一非常事情,感觉一大群逆行者奋抗前线。 Android 操作系统层面开发在 2017年左右开发过。从APP层、Syste...
由于SELinux造成的权限问题分析与解决
yikunbai5708的博客
03-19 7903
1 背景 基于Android10,在进行sd卡读取权限配置时候,发现只配置AndroidManifest.xml不能解决权限问题,经过多方查找发现当前版本的Android还需要配置SELinux,废话不多说,请看下面的分析。 2 Android权限问题 AndroidManifest.xml是Android应用的入口文件,它描述了package中暴露的组件(activities,servi...
在Ubuntu为Android硬件抽象层(HAL)模块编写JNI方法提供Java访问硬件服务接口
热门推荐
老罗的Android之旅
06-29 13万+
在上两篇文章中,我们介绍了如何为Android系统的硬件编写驱动程序,包括如何在Linux内核空间实现内核驱动程序和在用户空间实现硬件抽象层接口。实现这两者的目的是为了向更上一层提供硬件访问接口,即为Android的Application Frameworks层提供硬件服务。我们知道,Android系统的应用程序是用Java语言编写的,而硬件驱动程序是用C语言来实现的,那么,Java接口如何去访问
添加红外selinux权限
爱做梦的90后
07-29 506
在操作/sys/class/leds/infrared/brightness设备节点的时候log中报了如下的avc错误, 01-01 08:03:07.992 556 556 W ir@1.0-service: type=1400 audit(0.0:246): avc: denied { search } for name="leds" dev="sysfs" ino=24070 sc...
Android-SEAndroid权限问题指南
IT先森
07-11 1万+
Android-SEAndroid权限问题指南 前言 SEAndroid是在Android系统中基于SELinux推出的强制访问控制模型,来完善自主访问模型中只要取得root权限就可以为所欲为的情况。 SELinux是一种基于域-类型(domain-type)模型的强制访问控制(MAC)安全系统,其原则是...
android hal selinux
最新发布
04-04
Android HAL (Hardware Abstraction Layer) is a software component that provides a standardized interface for the Android OS to communicate with hardware components such as camera, sensors, and audio. SELinux (Security-Enhanced Linux) is a security mechanism used in Android that enforces mandatory access control policies. It provides a kernel-level security layer that restricts access to system resources and prevents unauthorized access to sensitive data. In Android, the HAL and SELinux work together to ensure that only authorized processes can access hardware components and system resources. The HAL provides a standardized interface for the Android OS to communicate with hardware, while SELinux enforces mandatory access control policies to prevent unauthorized access to system resources. This helps to improve the overall security and stability of the Android system.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值