Android7.1添加开机启动服务程序关于Selinux权限问题说明

已于 2022-09-17 20:58:09 修改
阅读量3.9k 收藏 15
点赞数 1
分类专栏: Android系统开发 文章标签: Selinux Android7.1 avc
于 2019-12-26 18:00:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30624591/article/details/103720112
版权

当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作:

第一步,我们可以在init.rc中添加了如下代码行:

service xxxx /system/bin/xxxx
class main
user root
group root
oneshot
seclabel u:r:xxxx:s0   #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务

编译img后烧到机器,发现服务xxx无法启动,kernel log中有如下提示(例如这里新加的服务程序是eGTouchD的log):

[    3.958386] init: Service eGTouchD does not have a SELinux domain defined.

该提示说明没有定义SELinux domain,导致服务eGTouchD无法自启动。

第二步,为了解决这个问题我们按如下方式修改并且添加sepolicy文件:

修改seplicy/file_contexts文件,添加以下内容:

/system/bin/xxx     u:object_r:xxx_exec:s0

第三步,在sepolicy目录新增xxx.te文件,并在其中添加如下内容:

需要为新增的进程增加域、执行权限
type xxx, domain;
type xxx_exec, exec_type, file_type;
然后启用这个域
init_daemon_domain(xxx)

例如我下面添加的一个sepolicy/eGTouchD.te文件的例子:

type eGTouchD, domain;
type eGTouchD_exec, exec_type, file_type;


init_daemon_domain(eGTouchD)

allow eGTouchD init_tmpfs:file create_file_perms;
allow eGTouchD self:capability { dac_override net_admin net_raw setgid setuid };
allow eGTouchD device:dir { open read };
allow eGTouchD shell:lnk_file { read };
allow eGTouchD rootfs:lnk_file { getattr };
allow eGTouchD socket_device:sock_file { write };

详细可参考seplicy/目录下的其他te文件。

或者根据logcat中打印出来的avc:denied log报错来添加,先把相关的avc报错全部收集起来:

在相应的te、文件中增加语句,语句格式为

allow sourcecontext targetcontext:class { 许可 };

例如出现下面的avc log,可以这样添加:

[ 4.009832] type=1400 audit(1577344637.716:12): avc: denied { read } for pid=263 comm=“lowmem_manage.s” path=“/system/bin/sh” dev=“mmcblk1p10”
ino=467 scontext=u:r:lowmem_manage:s0 tcontext=u:object_r:shell_exec:s0 tclass=file permissive=1

sourcecontext指的是"scontext=u:r:lowmem_manage:s0"中的lowmem_manage,targetcontext指的是"tcontext=u:object_r:rfs_system_file:s0"中的rfs_system_file,
class指的是"tclass=file"中的file,许可指的是"avc: denied { read }"中的read。

所以增加语句
allow lowmem_manage rfs_system_file:file { read };

其他avc报错可以类似添加即可。

PS:

其实有时候可以在init.xxxx.rc文件执行一些拷贝或者赋权限的操作,例如我这里:

--- a/init.tablet.rc
+++ b/init.tablet.rc
@@ -3,7 +3,13 @@ on post-fs-data
     #CABC
     chown root system /sys/class/graphics/fb0/cabc
     chmod 0664 /sys/class/graphics/fb0/cabc
+
+    #add for eGTouchD  by czd 2020-03-05
+    chmod 0664 /sys/devices/platform/eeti_usbtp/eeti_usbtp
     chmod 0755 /system/bin/eGTouchD  //赋权限
+    copy system/etc/eGTouchA.ini /data/eGTouchA.ini  //拷贝
+    chmod 0777  /data/eGTouchA.ini
+    #add end

Android8以及以后的安卓系统, Google 启动了 Treble 计划,对 system 分区和 vendor 分区进行严格的分离,所以这样的自定义脚本我们最好不要放在 /system/bin/ 目录下。我们可以把它放在 /vendor/bin/ 目录下,否则如果放在system目录,会出现以下打印,尤其是执行循环1秒操作的脚本的时候打印就不停:

[  365.808708] type=1401 audit(1663405174.780:2118): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  366.823168] type=1401 audit(1663405174.780:2118): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  366.823250] type=1401 audit(1663405175.793:2119): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  369.909818] type=1401 audit(1663405177.866:2124): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  369.909904] type=1401 audit(1663405178.880:2125): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  369.923998] type=1401 audit(1663405178.880:2125): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  369.924078] type=1401 audit(1663405178.893:2126): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  370.938655] type=1401 audit(1663405178.893:2126): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  370.938737] type=1401 audit(1663405179.910:2127): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  370.953006] type=1401 audit(1663405179.910:2127): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  370.953087] type=1401 audit(1663405179.923:2128): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  371.968127] type=1401 audit(1663405179.923:2128): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[  371.968209] type=1401 audit(1663405180.940:2129): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process

同时,从 Android 8.0开始,SELinux for Android 也进行了模块化,为了避免不必要的权限问题,我们使用 /vendor/bin/sh 作为脚本解释器。例如我这里:

#!/vendor/bin/sh

file="/sys/devices/platform/ff770000.syscon/ff770000.syscon:usb2-phy@e450/otg_mode"

while true
do
       sleep 1
       usb_buf=`cat /sys/devices/platform/adc_keys/adc_usb_mode`
       if [[ $usb_buf == 1 ]]; then
       echo "usb_mode_switch"
       echo host > $file
       sleep 2
       echo otg > $file
       fi
done

当然,改了使用 /vendor/bin/sh 作为脚本解释器,对应的脚本文件也要放置到vendor/bin目录,对应平台的init.rc文件的路径名称也需要修改,参考如下:

361 service init_usb_link /vendor/bin/init_usb_link
362     class main
363     user root
364     group root
365     oneshot
366     seclabel u:r:init_usb_link:s0
零意@
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
service获取selinux权限_Android7.1添加开机启动服务程序关于Selinux权限问题说明
weixin_28691441的博客
12-29 1436
当需要添加一个binder服务xxx程序,并且设置成开机启动时,需要按照如下步骤操作:第一步,我们可以在init.rc中添加了如下代码行:service xxxx /system/bin/xxxxclass mainuser rootgroup rootoneshotseclabel u:r:xxxx:s0 #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务编...
Android权限 - avc权限问题
hanhan1016的专栏
05-05 4426
1.一般来说,如何确认是Selinux权限引起的问题? 通过命令adb shell getenforce,查看Selinux状态 adb shell getenforce Enforcing //1 Permissive //0 如果为Enforcing,则使用命令adb shell setenforce 0,设置成Permissive mode,如果设置成Permissive mode后没有问...
SeLinux权限增加,编译报错SELinux违反Neverallow 和 Differ问题,Logcat 和 Kernel log中avc: denied问题的解决
weixin_45494251的博客
03-14 1352
system/sepolicy/prebuilts/api/29.0/public和system/sepolicy/public下面的文件,必须保持一致。system/sepolicy/prebuilts/api/29.0/private和system/sepolicy/private下面的文件。另外qcom平台还要注意,有些权限需要在device/qcom/sepolicy/... 目录下修改te文件。带入内容:修改hal_health_default.te。tclass:表示什么文件类型缺少权限
Android selinux权限
最新发布
weixin_49303682的博客
05-05 1048
SELinux 是由美国NSA(国安局)和 SCC 开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。从 fedora core 2开始, 2.6内核的版本都支持SELinux。在 SELinux 出现之前,Linux 上的使用的安全模型是 DAC( Discretionary Access Control 自主访问控制)。DAC 的核心思想很简单:进程理论上所拥有的权限与执行它的用户的权限相同。
Android7.1添加开机启动服务程序关于Selinux权限问题
Android framework
03-30 787
Android7.1添加开机启动服务程序关于Selinux权限问题
unity-apk包报错
m0_37736879的博客
01-05 8864
1、as报错。。。apk打开就黑屏 报错原因:GameFrameworkException: Can not find Game Framework module type ‘GameFramework.Procedure.ProcedureManager’. 老大吧框架放在package里了,导致这些类在il2cpp打包的时候被干掉了 解决方法:方法1–》需要手动吧这些报错的类注册到link中 方法2–》吧框架从package取出来放到assets中 2022-01-05 16:04:48.070 221
security_compute_sid invalid_context
weixin_41028555的博客
06-13 364
原因为,invalid_context="u:r:ipdmanagerservice:s0"修改成如下,服务可以自启动
AVC 报错问题示例以及解决方案
Demon_xiaochunjie的博客
01-22 5643
问题:在一直移远4G三网投模块时,发送短信时信号消失。通过log 发现avc,然后通过同事沟通和指导,学到了如何快速修改验证此问题的方法。在此,记录一下我的学习和经验的积累过程;同时,也分享出来以供遇到类似问题的童鞋可以学习和解决自己的问题
APK启动bin相关selinux权限基于mtkandroid6.0平台.rar
07-30
APK启动过程中涉及的Selinux权限问题Android系统中至关重要,尤其是在MediaTek(MTK)6.0平台上。Selinux(Security Enhanced Linux)是一种强制访问控制机制,它为Linux操作系统提供了一种强大的安全模型,旨在...
详解Android Selinux 权限问题
08-28
本篇文章主要介绍了详解Android Selinux 权限问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
fedora 开机启动/禁止开机启动服务的实现
09-15
下面将详细介绍如何在Fedora中实现开机启动服务以及禁止开机启动服务。 ### 开机启动服务 在Fedora中,如果你想让某个服务在系统启动时自动运行,可以使用`systemctl`命令的`enable`选项。以HTTP服务器服务httpd为...
20210426瑞芯微RK3399在Android10下的ADB连接
南岭笑笑生之家
04-26 2629
20210436瑞芯微RK3399在Android10下的ADB连接 开发板:中山市天启智能科技有限公司AIO-3399J https://www.t-firefly.com/doc/download/31.html SDK:版本号Android10.0 adb工具下载地址: https://developer.android.google.cn/studio/releases/platform-tools?hl=en But if you want just these command-line
AndroidSELinux初探
aaajj的专栏
11-28 936
查看/data/local/tmp路径下文件的context Sunday:/data/local/tmp $ ls -Z u:object_r:shell_data_file:s0  tServer 可以看到关键词shell_data_file Sunday:/data/local/tmp $ ./tServer add mySe
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7103
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android系统 init.rc文件详解
我其实什么都不会
07-28 3846
在这篇博客中,深入探讨了Android系统中的init.rc文件,这是Android系统启动和运行的关键部分。详细解析了init.rc文件中的命令和动作,包括内置命令,外部命令,属性触发器和事件触发器,并且详细介绍了它们的使用和定义。还讨论了Android 11++中init.rc文件的执行顺序,以及如何根据系统属性和事件来定义和触发动作。这篇博客对于理解和控制Android系统的启动和运行过程非常有帮助。
Android7.1以后开机运行脚本selinux权限配置
guo343310267的博客
05-04 3421
1. device/amlogic/common/sepolicy/file_contexts 添加/system/bin/preinstall.sh   u:object_r:preinstall_exec:s02.创建device/amlogic/common/sepolicy/preinstall.tetype preinstall, domain;type preinstall_exec,...
init 启动 Native Service 时出现Service xxxx needs a SELinux domain defined; please fix 警告的说明
04-01 4776
[Description] init 启动 Native Service 时出现Service xxxx needs a SELinux domain defined; please fix 警告的说明   [Keyword] SELinux, Native Service, init, domain [Android Version] Version >= android 5.0
android设置selinux权限
LXJSWD的博客
02-08 1569
selinux权限配置
service获取selinux权限_Android : 为系统服务添加 SeLinux 权限 (Android 9.0)
05-20
Android 9.0 及更高版本中,可以使用以下过程为系统服务添加 SeLinux 权限: 1. 定义一个 SePolicy 权限,该权限将授予系统服务访问所需资源的权限。例如,如果您想让服务能够访问 /data/myfile.txt 文件,则需要定义一个 SePolicy 权限来授予服务访问该文件的权限。以下是一个示例权限定义: ``` type myservice_data_file, file_type; permissive myservice_data_file; allow myservice myservice_data_file:file {read write open}; ``` 2. 将权限添加到系统服务的 SePolicy 文件中。例如,如果您要将权限添加到名为 myservice 的服务的 SePolicy 文件中,则可以使用以下命令: ``` $ sudo semanage permissive -a myservice_data_file ``` 3. 将服务的属性添加到 init.rc 文件中。例如,如果您要添加名为 myservice 的服务,则可以使用以下语法: ``` service myservice /system/bin/myservice class main user system group system seclabel u:r:myservice:s0 seclabel u:r:myservice_data_file:s0 ``` 在上面的 init.rc 文件中,seclabel 命令用于指定服务的 SeLinux 安全标签。在此示例中,服务标签为 u:r:myservice:s0,而文件标签为 u:r:myservice_data_file:s0。 4. 重新启动设备以使更改生效。 请注意,添加 SeLinux 权限可能会增加系统的不安全性。因此,必须谨慎地添加这些权限,并仅在必要时才添加它们。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

零意@

您的打赏将是我继续创作的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值