【selinux】selinux加prop,hal层读取

最新推荐文章于 2024-07-03 23:19:22 发布
最新推荐文章于 2024-07-03 23:19:22 发布
阅读量4.9k 收藏 21
点赞数 7
分类专栏: android其他功能块 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38091632/article/details/113831585
版权

0 参考文章

Android P添加一个可以让system_server进程访问的hal service需要改动的sepolicy文件
android 系统(13)—Android O treble 新增hal hwservice selinux policy

service获取selinux权限_SELinux学习笔记

1 需求

工厂测试app需要新增一个属性,app可以设置这个prop,hal层进行读取,用于切换snd_device

2 prop文件路径

在这里插入图片描述
代码中有三个sepolicy文件夹,对应不同平台创建的。
目前我的需求是用于工厂测试,所以在oem目录下。

3 创建prop

文件路径:android\vendor\oem\sepolicy\property_contexts

vendor.audio.dualmic.factorytest      u:object_r:exported_system_prop:s0

属性名:“vendor.audio.dualmic.factorytest”
标签:“u:object_r:exported_system_prop:s0”

引用自《深入理解SELinux SEAndroid(第一部分)》by 阿拉神农 (https://blog.csdn.net/innost/article/details/19299937/)
u:同样是user之意,它代表创建这个文件的SELinux user。
object_r:文件是死的东西,它没法扮演角色,所以在SELinux中,死的东西都用object_r来表示它的role。
rootfs:死的东西的Type,和进程的Domain其实是一个意思。它表示root目录对应的Type是rootfs。
s0:MLS的级别。
根据SELinux规范,完整的SContext字符串为:
user:role:type[:range]
注意,方括号中的内容表示可选项。s0属于range中的一部分。下文再详细介绍range所代表的Security Level相关的知识。
SContext的核心其实是前三个部分:user:role:type。

重点查看下exported_system_prop,网上未找到详细介绍,询问过软件的同事,她的理解如下:
exported_system_prop 为数不多的上层设置,底层读取
exported_default_prop 底层设置,上层读取

至此,已经创建好了这个属性,并贴上了标签,后续需要为这个属性添加权限以及使用。

补充:创建type

type也是可以自定义创建的

文件路径:android\vendor\oem\sepolicy\file.te

type sysfs_usb_device, sysfs_type, fs_type;

自定义type名:sysfs_usb_device
该类型支持的域:sysfs_type, fs_type(理解存疑)

4 app设置

4.1 使用:app中新增prop设置

在app代码中,通过Android的系统属性SystemProperties提供的接口函数set直接设置属性"vendor.audio.dualmic.factorytest"为"true"。

import android.os.SystemProperties;

SystemProperties.set("vendor.audio.dualmic.factorytest", "true");

4.2 添加权限:app需要获取设置权限

注意,创建的时候就已经为这个prop贴上了"u:object_r:exported_system_prop:s0"标签

在system_app.te文件中设置上层app的设置权限
文件路径:android\vendor\oem\sepolicy\system_app.te

set_prop(system_app, exported_system_prop)

允许system_app进程对exported_system_prop上下文的属性进行设置

SELinux/SEAndroid 实例简述(三)实例看SELinux/SEAndroid

5 hal层设置

5.1 使用:hal层读取prop

在hal层要使用这个prop

函数定义:android/system/core/libcutils/properties.cpp

//property_get_bool函数定义
int8_t property_get_bool(const char *key, int8_t default_value) {
    if (!key) {
        return default_value;
    }

    int8_t result = default_value;
    char buf[PROPERTY_VALUE_MAX] = {'\0'};

    int len = property_get(key, buf, "");
    if (len == 1) {
        char ch = buf[0];
        if (ch == '0' || ch == 'n') {
            result = false;
        } else if (ch == '1' || ch == 'y') {
            result = true;
        }
    } else if (len > 1) {
        if (!strcmp(buf, "no") || !strcmp(buf, "false") || !strcmp(buf, "off")) {
            result = false;
        } else if (!strcmp(buf, "yes") || !strcmp(buf, "true") || !strcmp(buf, "on")) {
            result = true;
        }
    }

    return result;
}

//hal层代码读取属性
if (property_get_bool("vendor.audio.dualmic.factorytest",false)){
    snd_device = SND_DEVICE_IN_VOICE_SPEAKER_MIC;
}

获取该属性,true/false。

5.2 添加权限:hal层设置权限

在hal_audio.te文件中设置底层读取权限

文件路径:android\vendor\oem\sepolicy\hal_audio.te

get_prop(hal_audio_default, exported_system_prop)

使用get_prop函数进行设置
exported_system_prop是我们给prop贴的标签
hal_audio_default是prop作用的域

5.2.1 hal_audio_default

以下内容存疑
Q1:hal_audio_default,这个从哪里来

//android\system\sepolicy\vendor\hal_audio_default.te
type hal_audio_default, domain;
hal_server_domain(hal_audio_default, hal_audio)

“type hal_audio_default, domain;”
定义一个新的domain(域),叫做hal_audio_default

“hal_server_domain(hal_audio_default, hal_audio)”
设置定义的域hal_audio_default,作为已经定义好的hal_audio的server域存疑

android 系统(13)—Android O treble 新增hal hwservice selinux policy

5.2.2 hal_audio

Q2:为什么在hal_audio.te中设置

在这里插入图片描述

搜索下列三个文件,查找attributes文件,发现有几个创建了attribute hal_audio。
存疑不确定是否和这里创建有关

在这里插入图片描述

SELinux深入理解

6 小结

新建一个prop步骤

  1. 在property_contexts中创建prop,并为它贴上标签
  2. 在te文件中为作用域(hal和app)添加标签可执行操作(set/get prop权限)
  3. 在app和hal层调用函数读取/设置prop
飞鸟厌鱼
关注
  • 7
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
hidl service selinux rule
02-07
在Android系统中,硬件抽象层(HAL)是连接硬件驱动和上层框架的关键组件,HIDL服务就是HAL的一部分,负责处理特定的硬件功能。当一个应用请求硬件服务时,通过HIDL定义的接口,请求会被转发到对应的HAL服务中处理。...
SELinux手册 电子书 pdf 英文
01-12
SELinux 手册 SELinux(Security-Enhanced Linux)是一种基于 Linux 操作系统的访问控制机制,旨在提高系统的安全性和稳定性。它通过 Mandatory Access Control(强制访问控制)机制来控制进程和文件之间的交互,以...
Android系统学习(四)------关于init进程及开机自启动
风筝
02-23 1958
你好!这里是风筝的博客, 欢迎和我一起交流。 初入Android,本篇文章不过是拾人牙慧,见笑了~ init语法基本由四个部分组成: Actions、Commands、Services、Options #这里on <trigger>就是一个Actions #write 、restorecon 、start
SeAndroid修改
Kslient的博客
01-16 1436
----------【例子1】:通过修改shell的权限,使其无法设置属性: 先来看shell的te,如下所示: [external/sepolicy/shell.te] Domain for shell processes spawned by ADB type shell, domain; type shell_exec, file_type; #shell属于unconfined_domain,unconfined即是不受限制的意思 unconfined_domain(shell) Run app_p
Android获取selinux的setprop权限修改SystemProperties
zmlovelx(帅得不敢出门 程序员群31843264)
08-23 1270
自定义了个SystemProperties的属性,需要在system应用中修改它,介绍MTK及展锐的设置方法,可扩展到其他平台. 比如代码中要这么设置 ```java SystemProperties.set("property_name", "value"); ``` 默认会引发selinux无权限的报错.
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 6545
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
无法调用android.os.SystemProperties.set方法设置系统属性的问题研究
sinat_37343534的博客
10-18 4214
com.test.testservice 无法调用android.os.SystemProperties.set方法的问题研究 error log: E AndroidRuntime: java.lang.RuntimeException: Unable to create service com.test.testservice.testService: java.lang.RuntimeEx...
Android Vendor Test Suite (VTS) 作用及测试方法
Android系统攻城狮
02-11 3639
1、前言 - Project Treble   Android 目前有一个比较明显的缺点是设备升级到新版本系统所要花费的时间太长(比如从 Android 6.0 升级到 Android 7.0)。通常在由 Google 发布新版本的 AOSP 之后,还需要 SoC 厂商对 HAL 进行升级,以及 OEM 厂商对 HAL 和 Framework 进行升级后,用户才能在设备上收到 OTA 升级包的推送。低端一点的产品甚至在出厂后就不会再进行系统升级了。用户对此抱怨良多。反观竞争对手 iOS 在这方面就做得比较
[Android 基础] -- SELinux/SEAndroid 实例简述(三) 实例看 SELinux/SEAndroid
u014674293的博客
09-26 1872
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
SELinux by Example
01-16
SELinux by Example》是一本专为理解和实践Security-Enhanced Linux(SELinux)安全模型而编写的指南性书籍。SELinux是Linux内核中的一个强制访问控制(MAC)系统,用于增强操作系统的安全性。 这本书通常会深入...
selinux 基础介绍
11-01
**SELinux基础介绍** SELinux,全称Security-Enhanced Linux,是一种强制访问控制系统,旨在提升Linux系统的安全性。它由美国国家安全局(NSA)开发,后来被集成到主流的Linux发行版中,如Red Hat Enterprise Linux...
Android安全策略SELinux
热门推荐
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
setprop简介
wangll9的专栏
03-16 8432
Systemproperties类在android.os下,但这个类是隐藏的, 上层程序开发无法直接使用。其实用java的反射机制是可以使用这个类。何谓java反射机制,请自行研究学习,在此不做介绍,放到后续文章中。用JNI 的方式,可以绕过Systemproperties这个类,直接本地调用来实现创建、获取及修改系统属性。在此也不做介绍,也放到后续文章中。 这篇文章主要介绍androi
Android Q system_app默认写persist.sys.系统属性SEliux权限来源
u013398960的博客
08-09 7864
system_app为何可以写persist.sys开头的系统属性。 persist.sys.开头的系统属性默认授权来源。
Android 12 init(3) 属性服务
pecuyu
11-30 1233
在 init 的启动第二阶段,启动属性服务线程,提供相关属性服务,给其他进程提供设置属性的支持,并通知init去处理属性事件。 PropertyInit CreateSerializedPropertyInfo 从相关property_contexts文件读取到context信息,并将内容序列化,然后写入 /dev/properties/property_info PropertyInfoEntry 定义如下,它用来存储解析后的context信息 查看 /system/etc/selinux/plat_p
SELinux权限问题
tjpuzm的专栏
11-28 829
开发时遇到一个问题,在系统代码中调用获取prop,获取不到,报出如下权限问题 Line 3864: 11-28 10:41:45.085 819 819 W Binder:819_5: type=1400 audit(0.0:41): avc: denied { read } for name="u:object_r:vendor_hwversion_prop:s0" dev="tmpf...
【android中hal层如何获取属性】
qq_40947314的博客
11-17 823
android中的hal层如何获取属性
Android 系统网络、时间服务器配置修改
最新发布
ange_li的博客
07-03 247
刷机国外android rom 修改配置的常用命令
android 源码中 radio.te文件中 set_prop(radio, radio_prop)方法的作用
06-09
在 Android 源码中,radio.te 文件定义了 Radio Interface Layer (RIL) 的 SELinux 策略。set_prop(radio, radio_prop) 方法是该文件中的一个函数,用于设置 RIL 属性。 具体来说,该函数将 radio 和 radio_prop 作为参数,其中 radio 是一个 SELinux 安全上下文,它用于标识 RIL 的进程。radio_prop 是一个属性名称,它指定了要设置的属性。 该函数的作用是确保 RIL 进程只能访问允许的属性,并防止未经授权的访问。在执行该函数时,它会检查 radio 的上下文是否允许访问 radio_prop,并且只有在允许的情况下才会设置该属性。这有助于保护系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值