Android MTK Selinux机制学习

已于 2022-06-10 17:29:56 修改
阅读量1.4k 收藏 3
点赞数
分类专栏: Android_OS 文章标签: c++ linux
于 2021-09-06 19:38:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40405527/article/details/119236874
版权

https://blog.csdn.net/tung214/article/details/72734086
https://blog.csdn.net/qq_28648425/article/details/86691949
https://blog.csdn.net/m0_52481422/article/details/109812319
https://blog.csdn.net/weixin_42300040/article/details/112201596

Selinux当前状态

selinux有下面三种状态,可通过adb shell getenforce命令查看返回的结果:

(1)Disabled   selinux未启用
(2)Enforcing  selinux 处于开启状态(强制模式)   < adb shell setenforce 1 >
(3)Permissive selinux 处于关闭状态(宽容模式)   < adb shell setenforce 0 >

如何选择Selinux目录

Google Original:
alps/system/sepolicy
MTK Plaform:
alps/device/mediatek/common/sepolicy/bsp
alps/device/mediatek/common/sepolicy/basic

alps/device/xxx/ProjectConfig.mk
查看版本定义的MTK_BSP_PACKAGE以及MTK_BASIC_PACKAGE决定sepolicy的目录

TK MTK_BASIC_PACKAGE=no MTK_BSP_PACKAGE=noMTK AppMTK Framework
BSPMTK_BSP_PACKAGE=yesGoogle AppMTK Framework
BASICMTK_BASIC_PACKAGE=yesGoogle AppGoogle Framework

alps/device/mediatek/common/BoardConfig.mk

#SELinux Policy File Configuration
ifeq ($(strip $(MTK_BASIC_PACKAGE)), yes)
BOARD_SEPOLICY_DIRS := \
        device/mediatek/sepolicy/basic/non_plat
BOARD_PLAT_PUBLIC_SEPOLICY_DIR := \
        device/mediatek/sepolicy/basic/plat_public
BOARD_PLAT_PRIVATE_SEPOLICY_DIR := \
        device/mediatek/sepolicy/basic/plat_private
  ifeq ($(strip $(HAVE_MTK_DEBUG_SEPOLICY)), yes)
    BOARD_SEPOLICY_DIRS += \
          device/mediatek/sepolicy/basic/debug/non_plat
    BOARD_PLAT_PUBLIC_SEPOLICY_DIR += \
          device/mediatek/sepolicy/basic/debug/plat_public
    BOARD_PLAT_PRIVATE_SEPOLICY_DIR += \
          device/mediatek/sepolicy/basic/debug/plat_private
  endif
endif
ifeq ($(strip $(MTK_BSP_PACKAGE)), yes)
BOARD_SEPOLICY_DIRS := \
        device/mediatek/sepolicy/basic/non_plat \
        device/mediatek/sepolicy/bsp/non_plat
BOARD_PLAT_PUBLIC_SEPOLICY_DIR := \
        device/mediatek/sepolicy/basic/plat_public \
        device/mediatek/sepolicy/bsp/plat_public
BOARD_PLAT_PRIVATE_SEPOLICY_DIR := \
        device/mediatek/sepolicy/basic/plat_private \
        device/mediatek/sepolicy/bsp/plat_private
  ifeq ($(strip $(HAVE_MTK_DEBUG_SEPOLICY)), yes)
    BOARD_SEPOLICY_DIRS += \
          device/mediatek/sepolicy/basic/debug/non_plat \
          device/mediatek/sepolicy/bsp/debug/non_plat
    BOARD_PLAT_PUBLIC_SEPOLICY_DIR += \
          device/mediatek/sepolicy/basic/debug/plat_public \
          device/mediatek/sepolicy/bsp/debug/plat_public
    BOARD_PLAT_PRIVATE_SEPOLICY_DIR += \
          device/mediatek/sepolicy/basic/debug/plat_private \
          device/mediatek/sepolicy/bsp/debug/plat_private
  endif
endif
...

SELINUX的属性组成

Violation when shell(subject) want to access cci(object)
Subject information (process)
	PID, scontext, comm
Object information (file, sockets, pipes)
	name*, dev*, path*, ino, tcontext
denied event is {write}

allow  system_server system_prop:property_service set
allow  [domain][type]:property_service set;
domain: source context
type:   target context
property_service:  class
set:    permission

avc报错示例:

avc: denied { search } for pid=1582 comm="ip" name="net" dev="mmcblk1p16" ino=16 scontext=u:r:sysCfg:s0
 tcontext=u:object_r:net_data_file:s0 tclass=dir permissive=0
 如上可以拆分出:
(1)subject: sysCfg   (2)object: net_data_file  
(3)class: dir        (4)denied event: search

针对search权限在alps/device/rockchip/common/sepolicy/sysCfg.te 进行如下修改

allow sysCfg net_data_file:dir search;

或者使用定义在alps/system/sepolicy/global_macros 的全局宏进行修改

define(`r_dir_perms', `{ open getattr read search ioctl lock }')
define(`w_dir_perms', `{ open search write add_name remove_name lock }')
define(`ra_dir_perms', `{ r_dir_perms add_name write }')
define(`rw_dir_perms', `{ r_dir_perms w_dir_perms }')
define(`create_dir_perms', `{ create reparent rename rmdir setattr rw_dir_perms }')

(1)allow sysCfg net_data_file:dir r_dir_perms 
(2)allow sysCfg net_data_file:dir rw_dir_perms

SELINUX的属性权限的添加

non_plat    - PLAT_VENDOR_POLICY, 厂商规则, 可引用public的规则, 不能引用private的规则(vendor)

plat_public - PLAT_PUBLIC_POLICY, 平台公开规则, 会被导出给其他非平台相关的规则 

plat_private - PLAT_PRIVATE_POLICY, 平台私有规则, 不会向vendor部分暴露(system)

non_plat/cameraserver.te
set_prop(cameraserver, system_mtk_packageName_prop) 
//cameraserver中set_prop vendor_public_prop等属性声明的变量会导致编译报错
get_prop(cameraserver, system_mtk_packageName_prop)

non_plat/mtk_hal_camera.te
set_prop(mtk_hal_camera, system_mtk_packageName_prop)
get_prop(mtk_hal_camera, system_mtk_packageName_prop)

plat_private/property_contexts
vendor.camera.packageName u:object_r:system_mtk_packageName_prop:s0

plat_public/property.te
system_public_prop(system_mtk_packageName_prop)

alps/frameworks/av/services/camera/libcameraservice/Cameraservice.cpp

    if(!(ret = makeClient(this, cameraCb, clientPackageName, clientFeatureId,
                          cameraId, api1CameraId, facing,
                          clientPid, clientUid, getpid(),
                          halVersion, deviceVersion, effectoveApiLevel,
                          /*out*/&tmp)).isOK){
       return ret;
    }
    ...
    //char packageName[PROPERTY_VALUE_MAX];
    property_set("vendor.camera.packageName",clientName8.string());

添加系统属性的值

对应需要的权限可参考如上添加,添加白名单的方法有:
alps/device/mediatek/system/common/system.prop 

    vendor.camera.aux.packagelist= com.tencent.ttpic

alps/device/mediatek/common/device.mk 

PRODUCT_PROPERTY_OVERRIDES += \
    vendor.camera.aux.packagelist= com.tencent.ttpic                  添加或者覆盖原有系统属性的值
上电失败
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Android Selinux 权限及问题
01-20
由于现做的是MTK平台,源码路径基于MTK, 不过高通大同小异 说明 Android 5.0以后完全引入了 SEAndroid/SELinux 安全机制,这样即使拥有 root 权限或 chmod 777 ,仍然无法再JNI以上访问内核节点。 其实在 Android 4.4 就有限制的启用此安全机制了。后面内容都按照 5.0 以后介绍,4.4 会有些许差异。 SELinux Mode SELinux 分为两种模式,Android 5.0 后所有进程都使用 enforcing mode。 enforcing mode: 限制访问 permissive mode: 只审查权限,不限制 SELin
SELinux for Android 8.0
12-10
Overview This document describes SELinux changes and customizations designed to support modularity and updatability of SELinux policy in Android 8.0. ​The goal of these changes is to enable System on Chip (SoC) vendors and Original Device Manufacturer (ODM) partners to customize SELinux settings
Android Selinux详解[六]--新增属性标签相关
最新发布
weixin_41028555的博客
03-18 1027
3. 以system_server为例,因为它本身对system_prop的属性有set权限,如果需要在systemserver中新增属性的话,可以以sys.开头,或者以persist.sys.开头,都不用再去新增对应的权限了。1. 对于没有在property_contexts中定义的属性,默认标签为default_prop。2. 以下这种代表以sys.开头的属性标签都为system_prop,其他的也都是一样的。属性有很多种命名方法,但对应的标签页不同,安卓原生的一个属性标签可以参考。
简述AndroidSELinux的TE
08-27
SELinux使用类型强制来改进强制访问控制。这篇文章给大家介绍了AndroidSELinux的TE的相关知识,感兴趣的朋友一起看看吧
Android SELinux 快速处理工具 log2allow
06-02
linux 64位操作系统,处理android selinux配置时快速处理方案 ./log2allow xxx.log 或将log2allow配置到环境变量 log2allow xxx.log 输出如下: allow XXXXXService_default XXXXXService:binder call; allow XXXXXService XXXXXService:tcp_socket { read write }; allow XXXXX_shell init:file { add_name append create execute execute_no_trans getattr map open read remove_name search unlink write };
Android O 自定义prop的问题小总结
qq_18906227的博客
06-12 3177
Android O 自定义prop的问题汇总~前言自定义prop自定义字段到system/build.prop总结 前言 忘记是Android M N O 哪个版本开始prop字段开始分放在system/build.prop . vendor/build.prop system/odm/default.prop …这种花里胡哨的地方了,然后有时候需要自定义一些prop可能有时候会放错位置,或者自定义的不可以被应用读写,最近看了看相关的东西,也查找了相关资料,觉得有丢丢资料不够的感觉,决定用blog给记录下来
SELinux 爬坑:default_prop(IAM 20680 IMU Sensor库导入)
qq_33862477的博客
03-29 690
这些propert_get的属性值如果不去定义,对应的SELinux权限为default_prop.AVC 的审计log会打印转换成的SE语句为这时就会报错。
关于9.0系统Selinux权限问题报错的分析和处理
RenoY3的博客
05-17 1889
Selinux简介 SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关
Android系统开发_Selinux权限问题相关
Android开发,终身学习者。有问题欢迎私信交流~
11-29 360
在修改了system_app.te的内容后,make selinux_policy的时候,会提示有其它的never allow,这时要根据提示,找到对应的位置进行修改。3)system/sepolicy/prebuilts/api/31.0/private/property.te 中添加。2)system/sepolicy/prebuilts/api/31.0/public/domain.te 中添加。1)在system_app.te中添加。日志过滤搜索 avc
android vendor下的属性值
zkz19872009的专栏
05-10 1010
PRODUCT_DEFAULT_PROPERTY_OVERRIDES:PRODUCT_DEFAULT_PROPERTY_OVERRIDES变量的值通过build/core/Makefile文件中下面这段代码写到image镜像中/default.prop文件中。 PRODUCT_PROPERTY_OVERRIDES:PRODUCT_PROPERTY_OVERRIDES和PRODUCT_DEFAULT_PROPERTY_OVERRIDES变量类似,不过它最终在被放到image镜像中的/system/build.
Android安全策略SELinux
qq_27672101的博客
08-01 9733
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android 的属性系统
啦啦好的专栏
08-11 333
每个属性都有一个名称和值,他们都是字符串格式。属性被大量使用在Android系统中,用来记录系统设置或进程之间的信息交换。属性是在整个系统中全局可见的。每个进程可以get/set属性。
Android 9.0 Vold 挂载流程分析
秦逸轩的博客
04-23 6147
Android 系统中所有的热插拔设备都是通过Vold 进程挂载的。通过kernel–>vold–>StorageManagerService这样的架构去逐级上报热插拔事件。 一、Vold 入口 --> /system/vold/main.c int main(int argc, char** argv) { atrace_set_tracing_enabled(fa...
MTK平台Android 12自定义开关机动画铃声
a785722173的博客
12-01 4299
Android Q自定义开关机动画====== Step 1: Enable MtkBootanimation ======/vendor/mediatek/proprietary/operator/frameworks/bootanimation/Rename Android_disable.mk to Android.mk /vendor/mediatek/proprietary/o...ps:ioctl 需根据自己的项目打印avc 自行添加修改。修改文件和Q平台大同小异。
Android替换为Linux,android:在AndroidO下将selinux设置为permissive
weixin_30125993的博客
05-15 733
ps:运行时的操作就是命令行下的,最简单,重启失效$getenforce$setenforce 0'修改测略':log:01-01 00:00:20.828 3665 3665 W sh : type=1400 audit(0.0:12): avc: denied { write } for name="core_pattern" dev="proc" ino=11742 scont...
Android 系统属性(SystemProperties)介绍
热门推荐
mart!nhu的博客
07-25 1万+
Android 10添加定制化prop
SELinux for Android的基本知识和实战
qq_40731414的博客
09-18 2060
了解selinux基本概念,解决常见的问题
记一次selinux权限添加
chen_yuyunfox的专栏
11-09 2999
selinux权限的原理之前有看过,一知半解,基本也没有修改过相关代码, 这两天一次需求开发中临时需要添加一个selinux权限,大概咨询了下同事,自己搞了一下,居然一次成功了,记录下。 需求开发需要在system_server进程中调用SystemProperties.set("vendor.mtk.xxx")设置一个vendor.mtk开头的属性,不适配selinux权限的话会报错导致开不了机。 添加selinux权限的步骤: 1. 查看设备根目录的vendor_property_context.
Android关掉SELINUX
07-27
要在Android设备上关闭SELinux,您需要具有root访问权限。以下是一些步骤供参考: 1. 首先,确保您的Android设备已经获取了root权限。请注意,在某些设备上,可能需要解锁引导加载程序或使用特定的root工具。 2. 下载并安装一个文件管理器应用程序,例如Root Explorer或ES文件浏览器。 3. 打开文件管理器,并导航到系统目录(通常为“/system”)。 4. 查找名为“build.prop”的文件,并使用文本编辑器打开它。 5. 在文件的末尾添加以下行: ``` persist.sys.selinux=disabled ``` 6. 保存并关闭文件。 7. 重启您的Android设备。 请注意,关闭SELinux可能会降低设备的安全性。 SELinux是一种安全机制,用于限制应用程序的权限和保护设备免受潜在的恶意活动。在关闭SELinux之前,请确保您完全了解相关风险,并仅在您自己的责任下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值