Android 8.1 从零开始写 HAL – (5) 添加执行权限

最新推荐文章于 2022-07-21 19:10:24 发布
最新推荐文章于 2022-07-21 19:10:24 发布
阅读量908 收藏 6
点赞数 2
分类专栏: Android
原文链接:https://blog.csdn.net/Qidi_Huang/article/details/107472617
版权

Android 8.1 从零开始写 HAL – (5) 添加执行权限

注意:本文基于 Android 8.1 进行分析
Qidi 2020.07.20 (Markdown & Haroopad)

【前言】

Android 上使用 SELinux 来管理权限。 尽管在上一篇文章《Android 8.1 从零开始写 HAL – (4) 编译与打包》中, demoComponent HAL 已经成功编译且打包到系统镜像中,但到目前为止还没有被赋予访问 Binder 的权限。所以我们至少会看到,在将 demoService 注册为 Binder 服务时,日志中会打印类似下方的提示:

[   10.368517] type=1400 audit(1483292256.112:14): avc: denied { add } ...
  •  

这篇文章就是要说明完善 demoComponent HAL 所需要的 SELinux 权限的方法。

一、编写策略文件

依各公司习惯不同,用于配置产品权限的文件一般放在 /device/<CompanyName>/sepolicy/ 或 /device/<CompanyName>/common/sepolicy/ 目录下(也不排除是其它路径的可能性,但肯定是在 device/ 目录下的某个 sepolicy/ 子目录)[1]。在这个目录下,再为不同的部件分别创建相应的子目录,并在这个子目录中新建 *.te 文件和 *_contexts 文件,以添加必要的权限

还是以我正在使用的平台为例,创建新目录 /device/harman/sepolicy/demoComponent/,并在该目录下新建如下图所示的文件:
selinux_files

说明下各文件的内容和作用:

  • file_contexts:
      首先编写 file_contexts 文件。这个文件名是由 SELinux 框架固定的。我们在 file_contexts 中将 demoService 的可执行文件定义为安全对象。

    # define demoService executable binary as a security object
/vendor/bin/hw/vendor.harman.demoComponent.demoService@1.0-service   u:object_r:demoService_exec:s0

  • hwservice_contexts:
      然后,因为 demoComponent HAL 依赖 hwbinder 进行通信,所以我们还需要编写 hwservice_contexts。这个文件名也是由 SELinux 框架固定的。我们在这个文件中将新增的接口定义为一个安全对象,作用和 file_contexts 类似。(如果使用 vndbinder,则应编写 vndservice_contexts
      从 Android 8.0 开始,SELinux 也一分为二成为了 system 部分和 vendor 部分。其中 vendor 部分又因为不同部件使用的 binder 节点不同,从原先唯一的的 service_contexts 中剥离出了 hwservice_contexts 和 vndservice_contexts 两个文件。当使用 /dev/hwbinder 时手动创建前者并在文件中添加定义,当使用 /dev/vndbinder 时创建后者并同样在文件中添加定义。

    # define HAL interface as a security object
vendor.harman.hardware.demoComponent.demoService::IDemoServiceDef  u:object_r:vendor_demoService_hwservice:s0

  • hwservicemanager.te:
      由于我们使用的是 hwbinder 节点,所以还应该编写 hwservicemanager.te。文件名也是固定的。在这个文件中声明 demoService 需要使用 hwbinder。(如果使用 vndbinder,则应编写 vndservicemanager.te

    # grant demoService permission of using hwbinder
hwbinder_use(demoService)

  • hwservice.te:
      同理,编写 hwservice.te。文件名依然是固定的。在这个文件中为 demoService 定义了专属的 hwservice 类型,在添加 “注册服务” 权限时会用到。(如果使用 vndbinder,则应编写 vndservice.te

    # define demoService as hwservice_manager, so it can be added as a hwservice
type vendor_demoService_hwservice, hwservice_manager_type;

  • demoService.te:
      接着编写 demoService.te 文件。 这个文件通常以需要添加权限的对象为名。在这个文件中,我们为 demoService 定义了一个专属的安全域,赋予可 demoService 的执行文件以需要的文件属性,并且为 demoService 域添加和 Binder 操作相关的必要权限,比如 “注册为服务”、“允许 hwbinder 调用” 等。
      不同的 HAL 进程或本地服务要操作的文件不同,其实现的作用也不同,所以这个文件里的内容差异也很大。依照最小权限规则,根据自己的实际需要添加权限即可。[2]

    # define a security domain for demo service
type demoService, domain;

# specify demo service attributes
type demoService_exec, exec_type, file_type, vendor_file_type;

# initialize demo service domain
init_daemon_domain(demoService)

add_hwservice(demoService, vendor_demoService_hwservice)

binder_call(demoService, vndservicemanager)
binder_call(demoService, hwservicemanager)
binder_call(demoService, system_app)

allow demoService vndbinder_device:chr_file rw_file_perms;
allow demoService hwservicemanager_prop:file r_file_perms;

  • system_app.te:
      最后,还要为用户进程添加调用权限。因为在下一篇文章《Android 8.1 从零开始写 HAL – (6) 测试HAL》中我会以 APP 对 demoService 的调用为例说明调用过程,所以这里新建 system_app.te。为 system_app 添加通过 hwservice_manager 查找服务、以及通过 binder 调用 demoService 的权限。

    # APP access priviledges for demoService
binder_call(system_app, demoService)
allow system_app vendor_demoService_hwservice:hwservice_manager find;

二、应用策略文件

为了使新增的安全规则生效,需要将刚刚创建的目录添加到 Makefile 中,这样一来编译镜像时就可以扫描到了。我们一般把这个改动添加到 /device/<CompanyName>/<PlatformName>/<ProductName>/BoardConfig.mk
  这里我改动的文件是 /device/harman/broxton/XXXX/BoardConfig.mk,修改部分如下:

diff --git a/XXXX/BoardConfig.mk b/XXXX/BoardConfig.mk
index 4979507a7..8e700f22d 100755
--- a/XXXX/BoardConfig.mk
+++ b/XXXX/BoardConfig.mk
@@ -72,6 +72,12 @@ BOARD_SEPOLICY_DIRS += device/harman/sepolicy/vold
 INTEL_AUDIO_HAL=imc
 BOARD_SEPOLICY_DIRS += device/harman/sepolicy/audio
+
+########################################################
+# DemoService
+########################################################
+BOARD_SEPOLICY_DIRS += device/harman/sepolicy/demoComponent
+

【结语】

完全编译后,烧写镜像到设备上。待设备启动后,执行命令 ps -A | grep -i demo ,终于可以看到我们的 demoComponent HAL 进程已经随系统启动成功。
process_running
  如果在系统刚启动时执行命令 logcat | grep -i demo,还可以看到 demoComponent HAL 注册为 Binder 服务的日志打印:
register_process
  下一篇文章将以 APP 调用 demoService 为例说明调用方法。

【参考资料】

[1] 《实现 SELinux》, https://source.android.com/security/selinux/implement
[2] 《政策兼容性》, https://source.android.com/security/selinux/compatibility

bobuddy
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android硬件抽象层(HAL)
10-23
Android硬件抽象层从开发到使用有一个清晰的层次。这个层次恰好对应了Android系统的架构层次,它向下涉及到Linux内核,向上涉及到应用程序框架层的服务,以及应用程序层对它的使用。Android硬件抽象层模块的开发本身...
如何从零开始一套自己的FOC矢量控制程序-上官致远.pdf
05-23
介绍FOC程序的编
Android系统中如何添加权限-----以TP为例
ffmxnjm的博客
08-28 2391
ooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
SELinux简介
weixin_42082222的博客
12-24 616
2018.04.09 16:03* 字数 4079 阅读 1009评论 1喜欢 5 一、概述 1.1 SELinux由来 SEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国家安全局)和一些公司(如 RedHat)设计的一个针对Linux的安全加强系统。 NSA最初设计的安全模型叫FLASK...
android 8.1上新增hidl接口,从hal层往framework层传共享内存
xuhui_7810的专栏
12-24 5278
android8.1和之前的版本有一个很大的不同,那就是8.1以后的版本将hal层和framework层分隔开来,不在同一个进程,不能直接通信。如果framework层需要和hal层通信,需要用到hidl接口。 之前我这边有个模块,在android6.0上时,需要在hal层通过ashmem_create_region来创建一块共享内存。然后将创建的共享内存句柄,...
android 系统(13)---Android O treble 新增hal hwservice selinux policy
zhangbijun1230的专栏
04-05 6248
 EX: vendor.mediatek.hardware.xxxxxx 1.hwservice.tetype mtk_hal_xxx_hwservice, hwservice_manager_type;2-1.hwservice_contextsvendor.mediatek.hardware.xxx::IXXX u:object_r:mtk_hal_xxx_hwservice:s02-2.fi...
AndroidHAL实例解析
02-03
AndroidHAL是为了保护一些硬件提供商的知识产权而提出的,是为了避开linux的GPL束缚。思路是把控制硬件的动作都放到了AndroidHAL中,而linuxdriver仅仅完成一些简单的数据交互作用,甚至把硬件寄存器空间直接映射...
android7 gps hal
10-17
android 7 gps 底层代码的 hal层代码,这个代码是c语言编,打开串口和波特率需要自己修改
HwServiceManager篇-Android10.0 HwBinder通信原理(五)
转载和创作优秀的博客
01-06 2712
1.概述 HwServiceManager是HAL服务管理中心,负责管理系统中的所有HAL服务,由init进程启动。 HwServiceManager 的主要工作就是收集各个硬件服务,当有进程需要服务时由HwServiceManager 提供特定的硬件服务。 2.HwBinder架构 HwBinder通信原理: 3.hwservicemanager的启动 在init.rc中,当init进程启动后,会去启动servicemanager、hwservicemanager、vn...
android 10 添加系统服务步骤
a546036242的博客
06-25 3525
1.编.aidl文件 存放位置:framework/base/core/java/android/os package android.os; interface ITEST { //此处注意 如果参数中有数组类型记得加入out 和in关键字 // int test(in byte【】 a) void test(); } 2、将.aidl文件添加到 frameworks/base/Android.mk下的 LOCAL_SRC_FILES (此处先make update-a........
Android进阶之深入理解Context
chenliguan的博客
05-29 441
1 Context概念 (1)在启动Activity/Service,发送广播,获取系统资源,获取系统服务等都需要Context的参与,可见Context的常见性。到底什么是ContextContext字面意思上下文,或者叫做场景,也就是用户与操作系统操作的一个过程,比如你打电话,场景包括电话程序对应的界面,以及隐藏在背后的数据。 1.1 Android系统的角度Context是什么呢? Context是一个场景,代表与操作系统的交互的一种过程,是维持Android程序中各组件能够正常工作的一个核心功能类
Binder IPC的权限控制
weixin_34377065的博客
05-16 208
PS:个人理解:当进程1通过Binder调用组件2时,会将进程1的pid及uid赋给组件2,并检测进程1的pid及uid是否有权限调用组件2.而后组件2需要调用组件3,此时组件2保存的pid及uid为进程1的,但是其实际运行在进程2中。此时调用clearCallingIdentity将组件2的保存的pid及uid转换为进程2的pid和uid并return原来保存的进程1的pid及uid的t...
android 8.1 新增自定义系统服务
NEXAUS的博客
07-21 1523
android8.1 新增自定义系统服务 并调用 替换SDK
android service context,Application/Activity/Service作为Context的区别
weixin_29195615的博客
05-27 502
Contextandroid中的作用不言而喻,当我们访问当前应用的资源,启动一个新的activity的时候都需要提供Context,而这个Context到底是什么呢,这个问题好像很好回答又好像难以说清楚。从字面意思,Context的意思是“上下文”,或者也可以叫做环境、场景等,尽管如此,还是有点抽象。从类的继承来说,Context作为一个抽象的基类,它的实现子类有三种:Application、A...
Android SELinux
tengfeidx的博客
06-29 1611
ls -Z 查看selinux的服务
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9175
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android R(11)给Service配置selinux权限
Haomione的博客
04-14 1678
Android R(11)给Service配置selinux权限
如何在KEIL5中添加hal
最新发布
05-12
在KEIL5中添加HAL库的步骤如下: 1. 下载并安装STM32CubeMX。它是一个可视化配置工具,可以帮助你生成HAL库的初始化代码。 2. 在STM32CubeMX中选择你的MCU型号,然后设置你需要的外设和时钟。 3. 在"Project ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值