linux中调节init进程的优先级,Init进程设置SELinux的Policy

最新推荐文章于 2025-05-15 23:52:40 发布
转载 最新推荐文章于 2025-05-15 23:52:40 发布 · 496 阅读 · 1
文章标签:

#linux中调节init进程的优先级

本文详细介绍了SELinux在Linux系统中的启动过程,包括初始化、设置回调函数、加载策略文件等关键步骤,并解释了如何判断SELinux是否被禁用。

Init进程的main()函数有一段代码用来初始化SELinux,如下所示:

int main

(......) {

......

//

设置SELinux的回调函数

union selinux_callback cb;

cb.func_log = klog_write;

selinux_set_callback(SELINUX_CB_LOG,

cb);

cb.func_audit = audit_callback;

selinux_set_callback(SELINUX_CB_AUDIT,

cb);

// 初始化SELinux

selinux_initialize();

// 恢复下面目录的安全上下文为系统原始设置

restorecon("/dev");

restorecon("/dev/socket");

restorecon("/dev/__properties__");

restorecon_recursive("/sys");

......

}

这里调用的函数selinux_set_callback()的代码位于目录external/libselinux下。我们先看看函数selinux_set_callback()的代码:

void

selinux_set_callback(int type, union selinux_callback

cb)

{

switch

(type) {

case

SELINUX_CB_LOG:

selinux_log = cb.func_log;

break;

case

SELINUX_CB_AUDIT:

selinux_audit = cb.func_audit;

break;

case

SELINUX_CB_VALIDATE:

selinux_validate = cb.func_validate;

break;

case

SELINUX_CB_SETENFORCE:

selinux_netlink_setenforce =

cb.func_setenforce;

break;

case

SELINUX_CB_POLICYLOAD:

selinux_netlink_policyload =

cb.func_policyload;

break;

}

}

selinux_set_callback()的作用是对一些全局的函数指针赋值,前面Init进程的main()代码中调用函数selinux_set_callback()的结果是将selinux_log的值设置成klog_write,将selinux_audit的值设置成audit_callback,这两个回调函数并没有太多实际的作用。下面再看看selinux_initialize()函数的代码:

static

void selinux_initialize(void)

{

if (selinux_is_disabled()) {

return;

// 如果SELinux没有enable,退出。

}

if

(selinux_android_load_policy() < 0) { //

装载并向内核设置Policy

// 如果装载SELinux的policy失败,重启Android

android_reboot(ANDROID_RB_RESTART2, 0,

"recovery");

while (1) { pause(); }

}

selinux_init_all_handles();

// 装载文件和属性的安全上下文

bool is_enforcing =

selinux_is_enforcing();

security_setenforce(is_enforcing);

}

selinux_initialize()函数的主要作用是从文件中读取SELinux的配置文件,然后把它设置到内核中,这样SELinux才能开始工作。我们先看看selinux_is_disabled()函数是如何工作的:

static

bool selinux_is_disabled(void)

{

char tmp[PROP_VALUE_MAX];

if (access("/sys/fs/selinux", F_OK) != 0)

{

return true;

// 如果目录/sys/fs/selinux不可以访问,说明SeLinux被disable了。

}

if((property_get("ro.boot.selinux", tmp) !=

0)&&(strcmp(tmp, "disabled")== 0))

{

return true; //

如果ro.boot.selinux等于disabled,说明配置中disable了SELinux

}

return false;

}

selinux_is_disabled()函数先判断目录/sys/fs/selinux是否可以访问,因为这个目录是SELinux的虚拟文件系统所在的目录,不能返回说明SELinux被disable了。同时还要判断属性ro.boot.selinux是否等于“disabled”,这个属性值表示SELinux的状态。

selinux_android_load_policy()函数代码如下:

int

selinux_android_load_policy(void)

{

char

*mnt = SELINUXMNT;

// mnt设置为/sys/fs/selinux

int

rc;

// 挂载文件系统selinuxfs到目录/sys/fs/selinux

rc =

mount(SELINUXFS, mnt, SELINUXFS, 0, NULL);

if

(rc < 0) {

if (errno == ENODEV) {

return -1;

// 如果mount返回的错误是没有设备,返回。

}

if (errno == ENOENT) {

// 如果mount返回的错误表示目录不存在

mnt = OLDSELINUXMNT;

// 则讲mnt设置为

/selinux

rc = mkdir(mnt, 0755);

// 创建目录

...... // 错误处理

// 挂载文件系统selinuxfs到目录/selinux

rc = mount(SELINUXFS, mnt, SELINUXFS, 0, NULL);

}

}

...... // 错误处理

set_selinuxmnt(mnt);

// 将mnt的值赋给selinux_mnt

return selinux_android_reload_policy(); //

装载SELinux的策略

}

selinux_android_load_policy()函数首先把SELinux的虚拟文件系统selinuxfs挂载到目录/sys/fs/selinux,如果不成功,再尝试挂载到目录/selinux。挂载成功后,调用selinux_android_reload_policy()函数来装载策略,函数代码如下:

int

selinux_android_reload_policy(void)

{

int

fd = -1, rc;

struct stat sb;

void

*map = NULL;

int

i = 0;

// 打开一个policy文件

while (fd < 0 && sepolicy_file[i])

{

fd = open(sepolicy_file[i], O_RDONLY |

O_NOFOLLOW);

i++;

}

......

// 错误处理

if

(fstat(fd, &sb) < 0) {

......

// 错误处理

}

map

= mmap(NULL, sb.st_size, PROT_READ, MAP_PRIVATE, fd, 0);//

mmap文件到内存中

......

// 错误处理

rc =

security_load_policy(map, sb.st_size); //

装载policy

......

// 错误处理

munmap(map, sb.st_size);

close(fd);

return 0;

}

selinux_android_reload_policy()函数首先打开policy文件,然后把它mmap进内存,最后调用函数security_load_policy()把policy设置到内核中。policy文件的文件名保存在数组const

sepolicy_file中,定义如下:

static

const char *const sepolicy_file[] = {

"/data/security/current/sepolicy",

"/sepolicy",

0 };

这两个文件找到一个就可以了,通常是根目录下的sepolicy文件。这个文件就是从源码的external/sepolicy目录下的规则文件编译得到的。

最后我们看看security_load_policy()函数的实现:

int

security_load_policy(void *data, size_t

len)

{

char

path[PATH_MAX];

int

fd, ret;

...... // 检查参数

snprintf(path, sizeof path, "%s/load", selinux_mnt);

fd =

open(path, O_RDWR);

...... // 错误检查

ret

= write(fd, data, len); //

写入文件

close(fd);

if

(ret < 0) return -1;

return 0;

}

security_load_policy()函数很简单,打开SELinux虚拟目录(通常是/sys/fs/selinux)下的“load”文件,然后把策略数据写到文件中。

孤雁寒窗
关注
OpenHarmony源码解析之init进程
myxuan475的专栏
08-06 194
鸿蒙系统启动流程概述 鸿蒙系统启动流程主要包括以下关键步骤: 内核加载:通过bootloader启动内核,配置init进程位置 基础环境准备:init进程挂载tmpfs/procfs等文件系统,创建基本设备节点 分区挂载:根据fstab.required挂载system/vendor等分区 服务启动:启动samgr服务注册中心,各SA服务向samgr注册 应用管理:foundation框架管理应用生命周期,appspawn孵化应用进程 系统采用分阶段初始化策略,通过FD代持机制实现按需启动服务间的文件描
Framework基础——init进程(四)
小旭的专栏
07-25 295
可以看到,Android 12 主要是是将 Android 9.0 的 init.cpp 中 main() 函数不同功能进行了拆分,分别完成初始化工作。
Init进程设置SELinuxPolicy
u013234805的专栏
04-30 3501
Init进程的main()函数有一段代码用来初始化SELinux,如下所示: int main (......) {   ......   // 设置SELinux的回调函数 union selinux_callback cb; cb.func_log = klog_write;                          selinux_set_callback(SELINUX
linux调节init进程优先级为15,学习 Linux,101: 进程执行优先级
weixin_39623050的博客
05-02 864
本文深入介绍基础的 Linux 进程管理技术。您将学习如何:理解进程优先级设置进程优先级更改进程优先级本文帮助您准备 Linux Professional Institute's Junior Level Administration (LPIC-1) 考试 101 的 103 主题下的 103.6 考核目标。该考核目标的权值为 2。为了从本文获得最大的收益,您应该具备基础的 Linux 知识,并...
Android系统10 RK3399 init进程启动(二十四) Selinux三种模式
ldswfun的专栏
05-18 2923
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统:Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux工作的三种模式,并知道如何切换三种模式。 一, Selinux三种模式介绍 selinux一般有三种模式, Disabled、Permissive 和 Enforcing,SEAndroid是基于SElinux, 所以也是一样有这三种模式。 1, Disab...
Linux进程优先级
weixin_34384681的博客
05-08 105
Linux採用两种不同的优先级范围,一种是nice值。还有一种是实时优先级。 1.nice值 nice值得范围是-20~19,默认值是0。越大的nice值意味着更低的优先级。也就是说nice值为-20的优先级最高。 2.实时优先级 实时优先级的范围是0~99。其值得意义与nice值相反。即:越高的实时优先级数值意味着进程优先级越高。Linux进程可分为普通进程和实时进程。实时进程...
默认进程优先级linux,设置Linux进程优先级
weixin_33313117的博客
05-10 316
Linux内核的三种调度策略:SCHED_OTHER 分时调度策略,SCHED_FIFO实时调度策略,先到先服务。一旦占用cpu则一直运行。一直运行直到有更高优先级任务到达或自己放弃SCHED_RR实时调度策略,时间片轮转。当进程的时间片用完,系统将重新分配时间片,并置于就绪队列尾。放在队列尾保证了所有具有相同优先级的RR任务的调度公平设置和获取优先级通过以下两个函数int pthread_att...
Android SELinux 的认知以及 init 的相关知识,Linux 环境利用这2个模块进行白名单测试 -- 架构分析
Engineer-Jsp的专栏
06-21 2337
Android SELinux 的认知以及 init 的相关知识,Linux 环境利用这2个文件进行自己的测试 -- 架构分析
【Android】系统启动流程分析 —— init 进程启动过程
Creativity + Efficiency = Success
03-21 1321
本文基于 Android 14.0.0_r2 的系统启动流程分析。
Android 进阶——系统启动之Android init进程的创建和启动(三)
最美不过,心中有梦,身旁有你!
05-12 2501
系统启动之Android init进程的创建和启动
Linux操作系统:Linux进程管理
天涯雨的博客
05-15 1010
Linux进程管理
SElinux init.rc 赋予 脚本执行权限
03-11 5434
我们前面看到了,可以编写自己的 .te 文件, 定义自己的类型。 目标案例可以参考, 高通或者 mtk 平台下自带的 system\core\init\readme.txt一、 init.rc 1.1 如何写服务 在android源码根目录下有android/system/core/rootdir/init.rc文件, 有很多地方都有 .rc 文件, 类似 init.target.rc
selinux 初始化
sir_zeng的专栏
01-08 1108
详细看一下selinux_initialize()函数: static void selinux_initialize(bool in_kernel_domain) { // 区分内核态和用户态 Timer t; //使用Timer计时,计算selinux初始化耗时 selinux_callback cb; cb.func_log = se
SELinux、运行级别init、防火墙iptables
weixin_34029949的博客
04-10 141
SElinux是美国国家安全局对于强制访问控制的实现。修改配置文件,使关闭SELinux永久生效:(重启生效)[root@wuyike ~]# cat /etc/selinux/config# This file controls the state of SELinux on the system.# SELINUX= can take one of these thre...
selinux
windowsworld的博客
05-06 787
selinux级别的不同对服务的影响 selinux是内核上的一个插件 vim /etc/sysconfig/selinux 配置文件 SELINUX=XXXX(disabled,enforcing) 作用: 1.给文件加上一个标签,不符合标签的文件无法访问 2.给功能加上一个开关 未修改selinux为强制前(disabled),可以上传文件,新建的文件也可以看到 修改selinix为强制...
SELinux介绍
热门推荐
内核工匠
06-04 1万+
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Po...
selinux 介绍
老鹰不捉小鸡
06-13 1018
DAC和MAC的区别:DAC核心思想:进程理论上所拥有的权限与执行它的用户的权限相同。比如,以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情。MAC核心思想:即任何进程想在SELinux系统中干任何事情,都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限,进程就没有该权限 ...
在开机阶段创建文件夹不成功
zhoumin090508的专栏
10-14 2380
xx项目双摄倾斜度校验功能需要在开机阶段创建/mnt/vendor/persist/camera目录,但一直创建不成功 解决过程: 1.init.project.rc中on post-fs-data这个阶段增加这一行:mkdir /mnt/vendor/persist/camera 0744 cameraserver cameraserver 编译vendorimage,将out目录中的vendor/etc/init/hw/init.project.rc push到手机里开机依然没有在/mnt/ve
init: Relaunched snapuserd
最新发布
11-07
嗯,用户这次询问的是Android系统启动日志中"init: Relaunched snapuserd"的含义和解决方案。从日志上下文看,用户可能遇到了系统启动问题,之前还显示SELinux策略加载失败和APEX SEPolicy文件缺失的错误。 用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值