Android R(11)HIDL服务的sepolicy(五)

已于 2022-01-22 20:45:15 修改
阅读量2.3k 收藏 6
点赞数 1
分类专栏: AndroidHIDLAbout 文章标签: android cpp aidl framework hardware
于 2022-01-03 22:08:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014787262/article/details/122293699
版权

  在Android安全组件中,除了使用传统DAC(Discretionary Access Control)的方式来保护系统文件。但在版本4.4及以后还引入并开启了MAC(Mandatory Access Control)安全框架,使用DAC+MAC组合的方式来保护系统文件及可执行程序的安全。其中被Android所采用的MAC保护框架为SELinux(Security-Enhanced Linux)。

1.Security-Enhanced Linux in Android

  开启了MAC框架后,即使是Root用户或具备super权限的进程也会需要完全遵照sepolicy的规则来访问文件。SELinux可以为Android带来如下好处
  a).更好地保护和限制系统服务。
  b).控制对应用数据和系统日志的访问、降低恶意软件的影。
  c).保护用户免遭移动设备上的代码可能存在的缺陷的影响。

  SELinux设计时的控制原则为:任何没有被规则允许的操作都会被禁止。但是SELinux框架是支持两种控制模式的
  1.Permissive mode, 在不被允许的操作发生后,只是log方式提示,但不禁止。这种模式也只用于调试阶段。
  2.Enforcing mode, 在不被允许的操作发生后,除了log方式提示,并且禁止该操作。这种模式则是产品阶段。

2.SELinux 的基本概念

2.1 DAC和MAC的区别

  DAC方式,存在所有权的概念,即特定资源的所有者可以控制与该资源关联的访问权限。这种系统通常比较粗放,并且容易出现无意中提权的问题。MAC框架方式则会严格按照预先定义好的sepolicy来允许/拒绝操作。受DAC和MAC同时保护的系统中不会出现获取root的进程能为所欲为的场景。例如,软件通常情况下必须以Root用户帐号的身份运行,才能向原始块设备写入数据。但在基于DAC的传统系统中,如果Root用户遭到入侵,攻击者便可以利用该用户身份向每个原始块设备写入数据。但是在MAC系统中可以使用sepolicy为这些设备添加标签,即使被分配了 Root权限的进程也只可以向相关政策中指定的设备写入数据。这样一来,该进程便无法重写特定原始块设备之外的数据和系统设置。

2.2 Labels, rules, and domains

  SELinux依靠标签(Labels)来匹配操作和政策。标签用于决定允许的事项。套接字(socket)、文件(file)和进程(process)在SELinux中都有标签。SELinux在做决定时需参照以下两点:
  a)为对象(socket/file/process/etc…)分配正确的标签。
  b)定义对象的交互政策。

  在 SELinux 中,标签采用以下形式
user:role:type:mls_level,主要注意下type就行了。一个基本的规则如下

allow domains types:classes permissions;

其中:
  Domain: 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型。
  Type: 一个对象(例如,文件、套接字)或一组对象的标签。
  Class: 要访问的对象(例如,文件、套接字)的类型。
  Permission: 要执行的操作(例如,读取、写入)。
下面则是一个具体的使用实例

allow appdomain app_data_file:file rw_file_perms;

这表示所有appdomain都可以读取和写入带有 app_data_file 标签的文件。一个 domain 通常对应一个进程,而且具有与其关联的标签。至此sepolicy的基本规则也说的差不多了,下面进入正题。

3.添加sepolicy规则到Android

  sepolicy的添加也需要使用到Android的编译系统,下面则是添加自定义sepolicy的写法

//test/flagstaffTest/BoardConfig.mk 
BOARD_VENDOR_SEPOLICY_DIRS += \
    test/flagstaffTest/sepolicy

  BOARD_VENDOR_SEPOLICY_DIRS关键字用于告知编译系统哪些目录下包含sepolicy,对于测试代码的sepolicy都放置于目录test/flagstaffTest/sepolicy下。其结构如下

flagstaff@flagstaff-pc:~/aosp_r.lns/test/flagstaffTest$ tree sepolicy/
sepolicy/
├── file_contexts
├── hal_customehardware_default.te
├── hwservice_contexts
└── hwservice.te

3.1.file_contexts

//file:file_contexts
type hal_customehardware_hwservice, hwservice_manager_type;

  定义标签hal_customehardware_hwservice,并且其继承自标签hwservice_manager_type,即针对hwservice_manager_type标签的规则也适用于hal_customehardware_hwservice。hwservice_manager_type则是android团队专门为HIDL服务预制的宏定义,其内部包含了HIDL服务必须的权限规则。

3.2.hal_customehardware_default.te

//file:hal_customehardware_default.te
type hal_customehardware_default, domain;
type hal_customehardware_default_exec,exec_type,vendor_file_type,file_type;
init_daemon_domain(hal_customehardware_default);
allow hal_customehardware_default hwservicemanager:binder { call transfer };
//允许标签为hal_customehardware_default的进程访问标签为hwservicemanager_prop的属性。
get_prop(hal_customehardware_default, hwservicemanager_prop)
/*
    Ability for domain to add a service to hwservice_manager
    and find it. It also creates a neverallow preventing
    others from adding it.
*/
add_hwservice(hal_customehardware_default, hal_customehardware_hwservice);

  1.定义标签hal_customehardware_default ,并且继承自 domain。domain则代表可执行程序。
  2.定义标签hal_customehardware_default_exec,并且继承自exec_type,vendor_file_type,file_type。该标签作用于文件。
  3.init_daemon_domain 则是宏定义,使用m4语言书写,展开如下

//file:system/sepolicy/public/te_macros
define(`domain_trans', `
allow $1 $2:file { getattr open read execute map };
allow $1 $3:process transition;
allow $3 $2:file { entrypoint open read execute getattr map };
ifelse($1, `init', `', `allow $3 $1:process sigchld;')
dontaudit $1 $3:process noatsecure;
allow $1 $3:process { siginh rlimitinh };
')
define(`domain_auto_trans', `
domain_trans($1,$2,$3)
type_transition $1 $2:process $3;
')
define(`init_daemon_domain', `
domain_auto_trans(init, $1_exec, $1)
')

  所以init_daemon_domain(hal_customehardware_default)展开如下

init_daemon_domain(hal_customehardware_default)
    allow init hal_customehardware_default_exec:file { getattr open read execute map };
    allow init hal_customehardware_default:process transition;
    allow hal_customehardware_default hal_customehardware_default_exec:file { entrypoint open read execute getattr map };
    allow hal_customehardware_default init:process sigchld;
    dontaudit init hal_customehardware_default:process noatsecure;
    allow init hal_customehardware_default:process { siginh rlimitinh };
    type_transition init hal_customehardware_default_exec:process hal_customehardware_default;

  展开后宏的意图就很明朗了,主要还是为HIDL服务添加必须的规则,提炼公共部分,减少代码量。

3.3.hwservice_contexts

//file:hwservice_contexts
flagstaff.hardware.custom_hardware::ICustomHardware   u:object_r:hal_customehardware_hwservice:s0

  为HIDL接口添加sepolicy,在android中任何资源都是被管控的,管控的越细腻,系统的安全度也就越高。

3.4.hwservice.te

//file:hwservice.te
/vendor/bin/hw/flagstaff.hardware.custom_hardware@1.0-service         u:object_r:hal_customehardware_default_exec:s0

  为可执行程序flagstaff.hardware.custom_hardware@1.0-service的标签为u:object_r:hal_customehardware_default_exec:s0。
 经过上述配置后,flagstaff.hardware.custom_hardware@1.0-service运行时标签为hal_customehardware_default。

4.规则查看工具

4.1 查看文件的标签

ls -Z

4.2 查看执行程序的标签

ps -Z

  另外如果有问题,欢迎留言或者email(836190520@qq.com)我,技术升级在于交流~~

flagstaffChen
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android_JNI_HIDL
06-27
HIDL则是定义HAL接口的语言,它是一种强类型、接口导向的语言,用于描述硬件服务的接口,确保不同组件间的兼容性和可移植性。 在"Android_JNI_HIDL"这个实例中,我们将学习如何通过Java代码调用已经编译好的本地库...
AndroidQ 打通应用层到HAL层—(HIDL服务实现)
01-03
AndroidQ 打通应用层到HAL层—(HAL模块实现)这篇文章中我们已经实现了自己的HAL,本篇我们实现一个HIDL服务,通过这个服务来调用HAL模块的函数 什么是HIDL HIDL 全称为HAL interface definition language(发音为...
Android 11 selinux 权限设置
热门推荐
mjfh095215的专栏
09-12 1万+
快速阅读 框架 SELinux介绍 看Android怎么写? 如何确认是SELinux 约束引起? 怎么抓取SELinux Log? 修改之后,怎么快速验证? 怎么从log中提取有效信息? 重点介绍 参考文档 架构 从上层到驱动层的调用流程,但是我们重点关注sContext: 注: file_contexts //系统中所有file_contexts安全上下文 seapp_contexts //app安全上下文 property_contexts //属
Android HAL Service开发总结
CHALLENG_EVERYTHING的专栏
05-23 568
3.为了让HWServiceManager知晓有我们创建的这么一个hwservice(vendor.device.xxx_hwfunservice-1.1),需要将我们HWService的信息注册到供应商清单文件中(manifests.xml)那么我们的HWSerice信息也需要添加到 system FCM矩阵中(还有product FCM,如果product中的app用到了我们的HWService,那么Product的FCM文件中需要添加我们的HWService)
Android R(11HIDL 服务添加
Tony的专栏
10-22 7670
HIDL 原本是android9.0 以上版本都具有的特性,主要用于java 层和C/C++ 层功能的连接,简言之,一句话通过hwbinder 与 HAL 进行IPC 通信。 通过hidl-gen工具可以将框架搭建好,有效地将业务层,驱动层隔离开。下面以T9630为例,分享一下touch 模块HIDL 搭建。 一. 创建hal 文件 我们创建Itouch.hal, types.hal 放到指定目录 二. HIDL 生成Android.bp, .cpp, .h 文件 首先系统必须完整编译通过了确保hid.
Android C++服务创建和HIDL的生成
jamecer的博客
03-24 6910
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录Android C++服务创建和HIDL的生成一、HIDL的生成二、c++服务的创建三、SElinux总结 Android C++服务创建和HIDL的生成 总结c++创建服务HIDL生成的一些步骤,本文未使用指令去生成创建hidl和对应的服务文件。 一、HIDL的生成 1.首先,在vendor/mediatek/proprietary/hardware/interfaces中创建文件夹testofhidl/1.0, 在上述.
Android 9 HAL开发添加HIDL实现过程
qq_28334473的博客
03-03 1365
本文将介绍如何在Android P OS上添加HIDL详细实现过程,简单增加seLinux策略使得可以在system_service调用测试,并用模拟器emulator验证。完善了一些参考原文的错误,避免后续的读者少走弯路。 经过相关的实现,读者可以清晰的了解并实践底层hal到最上层APP的调用。 调用过程为 APP->TestManager->TestService->ITest.hal ———————————————— 文章目录实现过程一 、hardware部分1.1 编写 .hal1
Android JNI HIDL 简单实例学习
Android驱动开发
06-27 1866
突然看到一篇文章Android HIDL学习,跟这位大神是有一面之缘的,正好也想学习Android是怎么从 APP → JNI Client → HIDL代码我已经上传到了CSND的资源,首先我们看一下结构图和代码目录吧 HIDL接口 按着开头提到的博客,常规的创建hidl文件的方法,这里也可以不用make hidl-gen,使用out目录中已经生成的一样可以用 这里要注意大神博客上提到INaruto.hal的位置可以随便放,但实际上是不可以的,必须按结构目录来放置,不然无法使用hidl-gen生成c+
android sepolicy system_app,新增HIDL service需要修改的sepolicy文件整理
weixin_39552874的博客
05-27 786
以添加 “android.hardware.lightnew@1.0-service” 为例,替换 lightnew 为自定义名称即可1. system/sepolicy/public/attributes2.system/sepolicy/prebuilts/api/29.0/public/attributes+hal_attribute(lightnew);//hal_attribute...
Android HIDL单模块,多接口,c++服务
jamecer的博客
10-07 1448
接上一篇文章,使用多个接口。
Android 8.0 添加HIDL
dk_work的博客
09-27 5522
##1.编写hal文件并编译 在hardware/interfaces/目录下创建led文件夹和基版本1.0,这个版本号分为两部分,major.minor。major版本不变得话,只能添加api,不能修改。 创建ITest.hal和types.hal hardware/interfaces/test/1.0/ITest.hal package android.hardware.test@1.0; ...
Android O Treble HIDL
11-03
Android O Treble HIDL 是 Android 8.0 中引入的一种接口定义语言,用于描述 HAL(Hardware Abstraction Layer)和它的用户之间的接口。HIDL 通过 hidl-gen 工具可以自动编译生成对应的 C++ 或 Java 源文件。 HIDL ...
Android R 11.txt
07-02
Android 11.0 Preview 4源码,下载文件中有网盘链接及提取码,资源文件已被分卷压缩,文件较大。有问题请私信我
Android O HIDL总结
09-13
Android O 项目中总结的,分享给有需要的开发者学习。
Android】广播机制
2301_79977698的博客
07-24 809
Android中,广播(Broadcast)是一种消息,任何应用程序都可以发送广播消息,任何应用程序也都可以接收广播消息。广播通常用于通知应用程序某些事件的发生,比如系统启动、电量低、网络状态改变等。Broadcast Receiver(广播接收器):用于接收广播消息并响应这些消息的组件。Intent(意图):用于传递广播消息的数据结构。标准广播(Normal Broadcast)是完全异步的,所有接收器几乎同时接收广播,并且接收顺序是不确定的。
蚂蚁集团Android一面凉经(2024)
最新发布
景叁的专栏
07-25 370
笔者作为一名双非二本毕业7年老Android, 最近面试了不少公司, 目前已告一段落, 整理一下各家的面试问题, 打算陆续发布出来, 供有缘人参考。今天给大家带来的是《蚂蚁集团Android一面凉经(2024)》。
Android笔试面试题AI答之Android系统与综合类(1)
学无止境,止于至善
07-25 895
答案仅供参考,来着文心一言、Kimi.ai。
Android应用 如何使用HIDL服务
07-28
要在Android应用程序中使用HIDL服务,需要先了解HIDL服务的接口和功能。通常,HIDL服务会提供一个HIDL接口,该接口定义了与硬件模块通信的方法和功能。 下面是使用HIDL服务的一般步骤: 1. 包含HIDL服务的依赖:在应用程序的build.gradle文件中,添加对包含HIDL服务的库的依赖项。例如,如果HIDL服务位于"com.example.hidl"包中,可以添加以下依赖项: ```groovy implementation 'com.example.hidl:hidl-service:1.0' ``` 2. 获取HIDL服务的引用:在应用程序的代码中,使用ServiceManager来获取HIDL服务的引用。ServiceManager是Android系统中的系统服务,它允许应用程序获取和管理系统的各种服务。 ```java import android.os.ServiceManager; // 获取HIDL服务的引用 IBaseHidlService hidlService = IBaseHidlService.getService(); ``` 3. 调用HIDL服务的方法:通过获取到的HIDL服务引用,可以调用其定义的方法来与硬件模块进行交互。 ```java // 调用HIDL服务提供的方法 hidlService.doSomething(); ``` 需要注意的是,具体的HIDL接口和方法名称会根据你所使用的HIDL服务而有所不同。你需要查阅相关文档或源代码以了解具体的接口和方法定义。 此外,还需要确保在AndroidManifest.xml文件中声明必要的权限和服务,以便应用程序可以访问HIDL服务。 总之,使用HIDL服务的关键是获取HIDL服务的引用,并调用其定义的方法来与硬件模块进行交互。具体的步骤和方法会根据你使用的HIDL服务而有所不同,需要参考相关文档或源代码进行实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值