浅析 VENDOR INIT
Vic.LUO@TINNO.COM
https://source.android.google.cn/security/selinux/vendor-init
推荐先阅读一下以上Google官方文章
定义vendor_init context,从这里可以看出,在odm和vendor分区的文件相关操作,其和vendor_init的关联性比较大
使用场景:
1.SystemProperties 属性加载相关
开机过程在load system property的时候,其都会走到该函数load_properties_from_file,随后会调用到LoadProperties,其有如下代码
就是当prop文件是在vendor/odm分区的时候,系统会用vendor_init的context去设置该perperity,在HandlePropertySet 函数中,会调用如下代码做selinux检查
其中source_context就是vendor_init,target_context就是要设置的属性对应的secontext(定义在property_contexts中),最后调用selinux_check_access函数来检查vendor_init对该属性的set操作是否allow
所以如果通过如下方式添加或者修改属性值
PRODUCT_PROPERTY_OVERRIDES += persist.vendor.bluetooth.modem_nv_support=true
有可能在实际操作中出现通过adb shell getprop 获取不到该值,需要注意,此时有2种可能性。
①代码中功能生效,但是adb shell getprop获取不到
针对该情况,说明属性值已经被正确的设置到系统中,只是通过adb shell getprop不能获取,原因在于shell环境的secontext是u:r:shell:s0,如果没有加上对应的selinux policy,或者有些属性本身就对shell neverallow get,那么就读取不到,譬如上文提到的
type=1400 audit(0.0:35835): avc: denied { read } for name="u:object_r:vendor_default_prop:s0" dev="tmpfs" ino=16504 scontext=u:r:shell:s0 tcontext=u:object_r:vendor_default_prop:s0 tclass=file permissive=0
对于vendor_default_prop而言,vendor_init有设置权限,通过以下selinux 规则可以知道
set_prop(vendor_init, vendor_default_prop)
但是对于shell context而言,其没有明确声明权限读取,而SELINXU policy中就是 权限默认是不允许的,除非主动声明(allow subject object:class operation),否则都视为不允许,所以如果没有声明,就是不被允许,也就会出现上面log中描述的权限被拒绝。
②代码中功能不生效,adb shell getprop也获取不到
针对该情况,说明该属性值在开机过程中并没有被成功设置到property service中,这个时候就要抓到开机log,一般情况下,说明vendor_init 没有权限去设置该属性,那么此时就需要添加vendor_init 对该属性的set权限的对应规则了。
2.service相关
在init中,我们可以发现如下代码
所以这里可以预估到在service相关以及on section相关的流程中,vendor_init也会有相应作用。
这里我们先来看一下init进程中的InitializeSubcontexts,请注意该函数的返回值std::vector<Subcontext> subcontexts; 是Subcontext的vector,不是string类型。其中
注意下,使用的是c++ 11新特新 auto结合for来使用,这里就会从paths_and_secontexts的二维数组中取出来其中一行,其中的2个元素分别为path_prefix和secontext,然后通过
subcontexts.emplace_back(path_prefix, secontext);直接将path_prefix和secontext new成一个subcontext对象,然后加入到subcontexts这个vector集合中,这里的话有2个subcontext对应,需要注意subcontext对象
New的时候会执行for函数
看完该函数我们可以发现该函数主要做了以下事情
① 创建一对socket socket_和subcontext_socket
② 在当前进程上下文(init进程)下执行fork操作,创建子进程
③ 在子进程中,重新设置进程的context,这里就是u:r:vendor_init:s0了(同时由于paths_and_secontexts是有2个,所以这里会创建2次,这样也就最终会有2个vendor_init,也就最终导致了系统有2个vendot_init context的init进程),并且传入参数(fd,secontext,init进程的路径,以及subcontext),重新执行init(vendor_init)进程
Init(vendor_init)进程中会执行以下code逻辑
将context(这里就是vendor_init)以及subcontext_socket和function_map作为变量传入SubcontextProcess,subcontext_socket保存到SubcontextProcess的init_fd_中,然后就执行死循环MainLoop,也就是2个子进程已经进入了死循环,等待命令来处理的状态,那么命令从何而来?也就是我们平时怎么切入到vendor_init的上下文环境?
④上述是子进程的逻辑,init主进程fork之前,会先创建socket_和subcontext_socket一对sockerpair,可以猜想到,init与vendor_init之间的通讯,很有可能就是通过他们俩,socket_保存在subcontext对象的变量中,这里要注意,2个subcontext对象的上下文还是在init进程,而非vendor_init子进程中,SubcontextProcess是运行在vendor_init子进程上下文里。
以上讲述了vendor_init子进程创建的过程,接下来我们就讲和subcontext紧密关联的部分code
先来看service部分(system/core/init/service.cpp),在service ParseSection的环节中
会通过service初始化传入到onrestart变量中(onrestart是一个action变量)
也就是该subcontext会和位于vendor/odm 的 rc文件中的service的onrestart操作相关联,其中vendor分区rc文件对应的vendor subcontext,odm分区对应rc文件对应odm subcontext。
当service某些原因发生了重启
ReapOneProcess->service->Reap(siginfo)->onrestart_.ExecuteAllCommands()->
command.InvokeFunc(subcontext_);
注意下invokefunc函数
其中subcontext_就是onrestart传入进去的subcontext,execute_in_subcontext_则是new command时候传入的
从代码得知,当前new command应该是在AddCommand中产生的
第二种情况传入了f的话,execute_in_subcontext_默认就是false,第一种情况,如果没有传入f的话,那么会在function_map_中去查找,其最终对应的是builtins.cpp中的
其中第一个代表command,第二,三2个数字代表可传入参数个数的范围,第四个代表就是表示execute_in_subcontext_,第五个表示最终command执行的函数。
我们再回到InvokeFunc
①如果当前subcontext_为空,也就是action对应的rc文件是在system分区,那么直接直接调用RunBuiltinFunction(func_, args_, kInitContext);就是在init进程(u:r:init:s0)中执行该函数。
②如果subcontext_,但是execute_in_subcontext_为空(也就是function_map_中那些第四个参数为false的情况),这里会先执行subcontext->ExpandArgs,请注意ExpandArgs和③中一样,也会最终调用TransmitMessage,然后会在vendor_init(SubcontextProcess)中执行,但是通过代码可以发现,其实SubcontextProcess的ExpandArgs函数并没有真正执行什么,只是做了一些strings的检查和转换,随后在SubcontextProcess返回后,又在init中执行
RunBuiltinFunction(func_, *expanded_args, subcontext->context()) ,这里我们可以看到在init进程中执行这些函数用到subcontext->context()的地方其实很少,当前只有do_restorecon_recursive,do_installkey和do_init_user0会应到args.context。
③subcontext_不为null和execute_in_subcontext_为true(就是command对应的rc为odm or vendor,并且在function_map中的参数为true),这种情况下会执行到
subcontext->Execute(args_) ---->subcontext->TransmitMessage
这里可以看到,文章一开始讲的socket_在这里排上用场了,这里就直接将args参数相关的command通过socket_传输,通讯方就是socketpair的另一个,也就是传入到SubcontextProcess中的init_fd_,这样SubcontextProcess子进程MainLoop就会从ReadMessage中唤醒过来
然后解析参数,这里subcontext_command.command_case()的类型为SubcontextCommand::kExecuteCommand,原因是在subcontext->Execute中,以下代码
mutable_execute_command会通过set_has_execute_command()将subcontext_command类型设置为kExecuteCommand(这些代码都是protobuf自动生成的,在out目录),所以这里执行Runcommand
在该函数中,可以看到熟悉的init中的执行代码,RunBuiltinFunction,也就是在vendor_init中执行command,可以发现,vendor_init中设置属性(command中setprop)的操作通过
reply->add_properties_to_set()重新回传到init进程,然后在init的subcontext->Execute函数
中重新设置,当然这里的context_是vendor_init。
这里有2点值得思考
①为什么不在SubcontextProcess子进程中执行真正的设置属性的操作,而是要回传到init中去做该操作
我个人的理解是 propertyservice是运行在init父进程中,其最终设置只能在init父进程,子进程已经没有propertyservice的运行环境。
②上述操作可否不用传来传去,直接在init进程操作,过滤对应command传入到SubcontextProcess子进程?
这个我觉得应该可行
TransmitMessage里面的数据传输使用了Google Protocol Buffer格式,使用方法等可参见
https://www.ibm.com/developerworks/cn/linux/l-cn-gpb/index.html
https://www.cnblogs.com/dkblog/archive/2012/03/27/2419010.html
3. On section相关
上面章节讨论了service相关,该节我们来看一下on section相关,rc中,on section相关的解析函数为ActionParser,其解析主函数ParseSection实现如下
通过代码我们很明显的发现,subcontexts_和2章节中一致,这里的代码涉及到2部分,on event section 以及on property section,不管是event 还是property,最终都会生成action,只是on event section是event_trigger,而on properton是property_triggers。这里说明一下event_trigger,譬如on boot,那么event_trigger就是boot。
ParseTriggers函数就是用来解析event_trigger和property_triggers,从代码逻辑来看,可以发现一个section,可以是event_trigger或者property_triggers,或
event_trigger+property_triggers;一个event section只能有一个event_trigger+0个或者多个property_triggers,譬如(on)boot 或者(on) fs等;而property_triggers可以由多个property_trigger一起触发,譬如如下代码
on property:sys.usb.config=none && property:sys.usb.configfs=0
stop adbd
在ParsePropertyTrigger中,我们可以看到有如下逻辑
这里可以看到,如果subcontext不为空(也就是rc文件不在/system/),那么property_trigger是有合法性判断的,只有属性名字在kExportedActionableProperties或者属性是以kPartnerPrefixes开头的,才被允许进行property_trigger。
Section被解析正确后,会new一个action来保存
随后解析section的command,通过以下函数将其加入到action中
最终加入到action_managerde action队列中
我们来简单看一下action的执行流程
在init的main函数中
am.ExecuteOneCommand() -> action->ExecuteOneCommand(current_command_)
->action->ExecuteCommand
流程就走到了command.InvokeFunc(subcontext_),这里是不是很熟悉?对了,在上面service流程中已经讲述了整个InvokeFunc流程,这里就不累述了。
通过以上我们可以总结以下几点
①整个android系统action(command)执行入口是在init中(am.ExecuteOneCommand())。
②subcontext code的运行上下文是在init进程,SubcontextProcess 的运行上下文是在vendor_init子进程(vendor_init context)
③对于action(section command)而言,如果其定义是在vendor/odm分区,其会有subcontext关联,但是其command是否执行在vendor_init,需要看该command的execute_in_subcontext_是否为true,也就是builtin_functions中定义的第四个参数。
④对于service而言,我们可以看到do_start以及do_class_restart的execute_in_subcontext_都为false,所以service本身的执行域都是在init中,这里可以从service起来后的ppid可以看到,其都为1;但是onrestart的command话会根据③的规则选择运行的init,vendor_init进程
⑤可以看到setprop command {"setprop",{2, 2, {true, do_setprop}}},说明setprop命令如果subcontex存在,那么其会选择vendor_init作为运行域,但是通过Page7的分析我们可以得知,其最终还是会回传给init域去做处理,这里是我不太明白的地方,这里希望你们能够帮忙解答疑惑。
以上是鄙人对VENDOR_INIT相关内容进行的初步分析,其中内容可能有误,如果发现,请帮忙告知,不甚感激,谢谢。
422
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
