Android 车机开发 ServiceManager Selinux 权限配置说明

最新推荐文章于 2024-09-27 11:26:43 发布
最新推荐文章于 2024-09-27 11:26:43 发布
阅读量2.2k 收藏 7
点赞数 2
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinhunzw/article/details/107231901
版权

添加编译时Lunch option aosp_car_x86_64-eng

\device\generic\car\vendorsetup.sh

在文件最后添加

add_lunch_combo aosp_car_x86_64-eng

 

 

Selinux两种模式

Enforcing:强制模式,SELinux 运作中,且已经正确的开始限制 domain/type

Permissive:宽容模式,SELinux 运作中,仅会有警告讯息并不会限制 domain/type 的存取

userdebug 版本开机后,可以通过adb命令来查看或设置SELinux模式(设置后需重启shell才真正生效,手机重启后恢复),可以用此方法排除问题:

 adb shell getenforce,        #会返回 Enforcing 或 Permissive 
 adb shell setenforce 1或0,   #设置其为 Enforcing 或 Permissive

 

ServiceManager.addService后添加selinux权限

例如服务名为“com.abc” ServiceManager.addService("com.abc", xxx);

  1. /packages/services/Car/car_product/sepolicy/public/service.te

添加

type abc_service, app_api_service, service_manager_type;

定义服务名称和属性

  1. /packages/services/Car/car_product/sepolicy/private/service_contexts.te

添加

com.abc  u:object_r:abc_service:s0

用于为 Android Binder 服务分配标签,以便控制哪些进程可以为相应服务添加(注册)和查找(查询)Binder 引用。在启动期间,servicemanager 进程会读取此配置。

  1. /packages/services/Car/car_product/sepolicy/private/carservice_app.te

添加

allow carservice_app abc_service:service_manager add;

允许carservice_app 中调用添加ServiceManager.addService("com.abc", xxx); 添加abc_service

说明

以上是参照CarService以及以下三项东拼西凑的结果๑乛◡乛๑

在 /system/sepolicy/private/untrusted_app_all.te

中有一句为

allow untrusted_app_all app_api_service:service_manager find;

允许普通app find app_api_service,

在/system/sepolicy/private/app_neverallows.te 中

neverallow all_untrusted_apps service_manager_type:service_manager add;

禁止不受信任的应用添加系统服务

在/system/sepolicy/private/priv_app.te

neverallow priv_app service_manager_type:service_manager add;

禁止特权应用程序添加系统服务

 

问题解决:

确认是 SELINUX 相关之后就可以抓 log 查看 log 文件中的 avc: log

标志性 log: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0

在相应源类型.te 文件,添加如下格式的一行语句:(结尾别忘了分号) 格式:allow 源类型 目标类型:访问类型 {操作权限};

如下: 07-10 14:06:32.780 9043 9043 W com.filemanager: type=1400 audit(0.0:104): avc: denied { read } for name="u:object_r:curef_set_prop:s0" dev="tmpfs" ino=1334 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:curef_set_prop:s0 tclass=file permissive=0

可以得到如下 sepolicy:添加到 platform_app.te 文件 allow platform_app curef_set_prop : file { read };

yinhunzw
关注
专栏目录
Android SELinux——上下文Context源码(十)
小旭的专栏
10-16 951
通过前面的文章我们知道,SELinux 中的上下文(contexts)包含很多类型,这里我们就来看看Androd 源码中 上下文 SELinux Contexts 的代码结构。
Android SELinux——上下文Context介绍(九)
最新发布
小旭的专栏
10-15 722
前面文章中介绍 allow 语句中所说的 "映射",即将一个进程关联到一个 type,或者将一个文件关联到一个 type,是通过 context 来完成的。1、进程Context在 SELinux 中,进程的上下文(context)包含了多个字段,用于描述该进程的安全属性。user=_app:user 标识了拥有该进程的 SELinux 用户,_app 通常是 Android 系统中应用程序的默认用户,表示这是一个常规的 app。
Android】一文总结Android系统服务大管家-ServiceManager
iriczhao的博客
04-08 2475
ServiceManager是一个由C/C++编写的系统服务,源码位于/framework/native/cmds/servicemanager中,本文简要讨论servicemanager的实现和功能。
Android中使用"hacker"方式解决ServiceManager权限限制问题(1)
TonyHo's NotePad
08-02 2716
缘由 有一个系统,需要我们的解决方案,但是却没有提供BSP的源码。 我们的方案有一个So文件,并在其中有注册service,但是启动后发现service并没有注册成功,查询log发现是: E/ServiceManager﹕ add_service('XXXX',0x48) uid=YYY - PERMISSION DENIED看起来是我们不具备权限,然后确定了一下SElinux的状态,发现是
车载测试之adb命令篇(5)
m0_69215356的博客
09-27 610
一、车载系统权限的获取-----adb root 1.为什么要获取车载系统权限? 1.首先我们安卓底层Linux系统文件权限分为可读(r)、可写(w)、可执行(x),对于我们一般登录的用户来说,很多文件、系统分区是没有读写权限的,我们无法去查看或者写入某些路径下的文件。但是我们工作中又无可避免的要用的这些权限去操作某些数据,比如(工作中向系统推包、安装某些应用、向电脑拉取某些数据、删除某个文件等等都要涉及到权限问题,这个时候,我们就必须获取最高权限root
android service权限,Android..PackageManagerService权限校验
weixin_36071439的博客
05-27 1200
android系统中,应用程序如果想操作系统资源,往往都需要去申请权限。比如:如果想去操作摄像头,那么就需要去申请下面的权限android系统是怎么去做这个权限的校验呢?在了解应用程序权限校验之前,先了解每个应用程序权限数据存储结构、权限的解析。我们的应用在第一次安装的时候,都是会经过PKMS来解析,然后在PKMS中会去保存每个应用需要用的权限。1、权限数据结构保存权限的相关数据结构如下图:应...
Android-ServiceManager
青豆——廖
06-25 1043
ServiceManager在init进程启动之后启动,用来管理系统中的service,那么首先理解一下在init进程启动之后启动这句话类: 一般开机过程分为三个阶段: 1. OS级别,由bootloader载入linux内核后,内核开始初始化,并载入built-in的驱动程序,内核完成开机后,载入init process,切换至user-space后,结束内核的循序过程,进入排成模式。 2. A...
Android Binder 之 ServiceManager (基于android 12.0/S)
低头赶路,敬事如仪
10-07 2422
android S/12.0 binder中的ServiceManager
ServiceManager add_service SELinux Permission Denied
热门推荐
Eliot_shao的专栏
06-27 1万+
问题点: 在systemserver.java中添加如下代码,向servicemanager进程中添加一个service try { Slog.i(TAG, "Hello Service"); ServiceManager.addService("hello", new HelloService());// } catch (Throwable e) {
SeLinux权限配置心得总结
u013357557的专栏
02-20 4962
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
linux 安卓 权限获取,为Android自定义服务配置SElinux权限
weixin_34530489的博客
05-06 906
1,配置服务类型这里有两种选择:使用已有的服务类型:// /device/xxx/common/sepolicy/private/service_contexts// “hatpreview”是自定义服务的服务名,即注册到ServiceManager的服务名hatpreview u:object_r:default_android_se...
Android 添加SELinux权限
jn9547的博客
09-29 352
文件类型:*.te,通常位于 */system/sepolicy/vendor 目录下 示例: selinux权限报错: avc: denied { read } for pid=1831 comm="servicemanager" name="current" dev="proc" ino=62432 scontext=u:r:servicemanager:s0 tcontext=u:r:networkserver:s0 tclass=file permissive=1 解析: scontex: 源对
Android13配置selinux让system应用可读sys,proc,SN号
zmlovelx(帅得不敢出门 程序员群31843264)
01-08 1328
Android13预置的system应用,需要读/sys, /proc目录,读(SN)serial number号, 需要修改selinux配置,否则会报avc错.其修改方法会比Android11复杂一些.。
android 服务 权限不够,Android权限不够问题
weixin_29798625的博客
05-26 677
很多应用程序在调用Runtime.exec的时候或者创建服务的时候都会遇到权限不够的情况。可采用以下解决方案:AndroidManifest.xml:package="com.mokoid.LedTest"android:sharedUserId="android.uid.system">原来,ServiceManager 会去检查应用的权限Android系统会根据User ID做权限管理...
service_manager 强制让这些权限通过
Android framework
03-03 300
service_manager 强制让这些权限通过
android selinux权限添加
weixin_46027271的博客
01-15 2768
本文基于Android10版本举例介绍selinux的添加方法
添加Selinux权限
Sunxiaolin2016的博客
08-26 1166
遇到一个selinux权限报错问题。 报错信息如下: 2037-12-25 00:36:12.244 2362-2362/? E/SELinux: avc: denied { find } for service=media.metrics pid=3713 uid=1002 scontext=u:r:bluetooth:s0 tcontext=u:object_r:mediametrics_service:s0 tclass=service_manager permissive=0 发现system/
Android 添加service selinux
dk_work的博客
06-15 1844
1. android-dev\external\sepolicy\service.te Add: type mytest_service, system_api_service, system_server_service, service_manager_type; 2. android-dev\external\sepolicy\service_contexts Add: ...
service获取selinux权限_Android : 为系统服务添加 SeLinux 权限 (Android 9.0)
weixin_42573113的博客
12-29 956
一、SElinuxAndroid 8.0后的差异:从Android 4.4到Android 7.0的SELinux策略构建方式合并了所有sepolicy片段(平台和非平台),然后在根目录生成单一文件,而Android 8.0开始关于selinux架构也类似于HIDL想把系统平台的selinux策略和厂商自己维护的策略剥离开来, 允许合作伙伴单独自己的策略,构建他们的镜像(.img)引导,这样便可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yinhunzw

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值