Android L1版本上的kernel module加载:sepolicy, kernel, .ko

最新推荐文章于 2023-04-12 12:04:09 发布
原创 最新推荐文章于 2023-04-12 12:04:09 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细探讨了在Android L1版本中,如何通过sepolicy来管理和控制kernel module的加载过程。理解这一过程对于确保系统的安全性至关重要,涉及到内核与用户空间之间的交互以及权限管理。

背景在Android KK 4.4 版本后,Google 有正式有限制的启用SELinux, 来增强android 的安全保护。
SELinux 分成enforcing mode 和 permissive mode, enforcing mode 会强制性限制访问; 而
permissve mode 只审查权限, 但不限制, 即不会产生实质性影响.
KK 版本, Google 只有限制的启用SELinux, 即只有针对netd, installd, zygote, vold 以及它们
直接fork 出的child process 使用enforcing mode, 但不包括zygote fork的普通app.
从L版本起,全面开启SELinux, 几乎所有的process 都使enforcing mode。
项目修改原因1. 项目新增红外设备;
2. IR驱动是作为ko加载;

上述两项,都会因为SELinux而出现失败情况。
修改方法设备:device/mediatek/common/sepolicy/device.te
 type mmcblk1_block_device, dev_type;
 type mmcblk1p1_block_device, dev_type;
 type spm_device, dev_type;
+type ir_scx_device, dev_type;
 
 
工厂测试模式中的设备:device/mediatek/common/sepolicy/factory.te
 allow factory mtd_device:chr_file rw_file_perms;
 allow factory self:capability sys_resource;
 allow factory pro_info_device:chr_file { read write ioctl open};
+
+# Date 2015.9.22
+# Add by 
+allow factory ir_scx_device:chr_file { read write ioctl open };
 
 
文件系统中的设备:device/mediatek/common/sepolicy/file_contexts
 /dev/ttyACM0        u:object_r:ttyACM_device:s0
 /dev/hrm       u:object_r:hrm_device:s0
+### Add by 
+/dev/ir_scx(/.*)? u:object_r:ir_scx_device:s0
 
 
META测试中的设备:device/mediatek/common/sepolicy/meta_tst.te
 # Date: WK15.18
 # Purpose: CCT open lens driver fail
 allow meta_tst lens_device:chr_file { read write open ioctl };
+
+# Date 2015.9.22
+# Add by 
+allow meta_tst ir_scx_device:chr_file { read write ioctl open };
 
 
给予system process操作设备的权限:device/mediatek/common/sepolicy/system_server.te
 allow system_server nvdata_file:dir search;
 allow system_server nvdata_file:file { read getattr open };
+# Date: 2015.9.22
+# add by 
+allow system_server ir_scx_device:chr_file { read write ioctl open };
设置ueventd的设备属性:device/{vendor}/{project}/ueventd.{chip}.rc
 /dev/devmap             0440   root         system
 /dev/mali0              0666   system      graphics
 /dev/gps                0660   gps          system
+/dev/ir_scx                            0660   system           system
 
在init.project.rc中执行insmod操作:device/{vendor}/{project}/init.project.rc
     chmod 0660 /dev/ttyMT2
     chown system system /dev/ttyMT2
# Add for Consumer IR
    chmod 0777 /system/lib/modules/ir_scx.ko
    insmod /system/lib/modules/ir_scx.ko
ko insmod操作:device/mediatek/common/sepolicy/init.te
allow init frp_block_device:blk_file relabelto;
allow init userdata_block_device:blk_file relabelto;
# Date : 2015.9.23
# Operation : Migration 
# Purpose : support to load kernel modules.
allow init self:capability { sys_module };

MT7915 ERROR: “warp_ser_handler“ [/mt_wifi/embedded/plug_in/warp_proxy/mtk_warp_proxy.ko] undefined!
wgl307293845的博客
05-15 586
查看函数定义在如下模块。然后再次编译,可以正常。
基于open-gpu-kernel-modules的p2p vram映射bar1提高通信效率
知本知至的博客
09-18 1684
bar1 Base Address Register 1 用于内存映射的寄存器,定义了设备的内存映射区域,BAR1专门分配给gpu的一部分内存区域,允许cpu通过pcie总线直接访问显存VRAM中的数据。但bar1的大小是有限的,在常规的4090上,bar1只有256M,基于nvidia开源的open-gpu-kernel-modules模块通过将bar1的寄存器地址增大至32G来提高计算效率。因为机器上的CC和编译内核使用的gcc不是同一个版本,所以这里手工指定make使用哪个gcc。
android源码:在kernel目录下增加一个驱动
qq_20797325的博客
04-10 1580
1.kernel/msm-4.4/drivers文件夹中增加一个frist_driver文件夹 对应有以下文件: frist_driver/ ├── frist_driver.c //源代码 ├── Kconfig //config控制脚本 └── Makefile //该目录的编译规...
添加驱动模块
wyymaomi的专栏
04-09 1401
转载自: http://www.hovercool.com/en/%E6%B7%BB%E5%8A%A0%E9%A9%B1%E5%8A%A8%E6%A8%A1%E5%9D%97#a_.E4.B8.80.E3.80.81.E7.BC.96.E5.86.99.E9.A9.B1.E5.8A.A8.E6.A0.B8.E5.BF.83.E7.A8.8B.E5.BA.8F 1
android androidkernel.mk,AndroidKernel.mk
weixin_36073654的博客
05-27 153
#Android makefile to build kernel as a part of Android BuildPERL= perlKERNEL_TARGET := $(strip $(INSTALLED_KERNEL_TARGET))ifeq ($(KERNEL_TARGET),)INSTALLED_KERNEL_TARGET := $(PRODUCT_OUT)/kernelendifT...
MTK android内核独立模块编译与加载
a7665302511的专栏
05-05 2776
1.在xxx/alps/kernel/drivers目录下新建文件夹名字是驱动的名字 2.把需要的编译的驱动程序拷贝到     xxx/alps/kernel/drivers 3.在新建的文件夹下面增加Makefile文件,并且写入 obj-m :=xxx.o 4.回到driver目录下,更改Makefile 在最后增加 obj-y +=(驱动文件夹的名字)/ 5.编译,回到alps目录下
RK3588平台正基AP6275HH3芯片Bring Up
franc521的博客
04-12 3535
平台:RK3588/Android 12芯片模组:AP6275HH3。
linux 查看目前加载ko命令
04-02
好的,用户需要查找在Linux中查看当前已加载内核模块的命令,也就是列出已加载.ko模块的命令。首先,我得回忆一下相关的Linux命令。记得之前学过的,管理内核模块的命令有lsmod、modprobe、insmod、rmmod等。其中...
Hi3531D加载TVP7002驱动模块——新手全过程记录
L315471327的博客
09-24 1620
最近尝试给海思开发板加载了TVP7002的驱动模块,已经成功生成.ko文件insmod进开发板了。虽然目前开发板没有相应硬件接口可以做测试,不知道驱动是否有问题,但是从一头雾水到处抓瞎到成功加载驱动进开发板,整个过程还是学到了很多东西,特此整理记录,也希望能帮助到有需要的人。
MTK配置文件参数说明MTK配置文件参数说明
06-20
MTK配置文件参数说明MTK配置文件参数说明 MTK配置文件参数说明MTK配置文件参数说明 MTK配置文件参数说明 MTK配置文件参数说明
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性)
02-05
Android8.0 sepolicy权限新特性介绍,sepolicy权限再Android8.0上面新的变化
Android 获得对一个设备节点的访问权限
随心所记
06-04 5465
Android 获得对设备节点的访问权限       Android 5.0 下,因为采取了 SEAndroid/SElinux 的安全机制,即使拥有 root权限,或者对某内核节点设置为 777 的权限,仍然无法在 JNI 层访问。        本文将以用户自定义的内核节点 /dev/wf_bt 为例,手把手教会读者如何在 JNI 层获得对该节点的访问权限。可分为以下四个步骤: 第一步:找到
Android系统的ko模块加载
abcdefg的专栏
09-04 5655
1、在Android源码的Android/device路径下可以找到相关项目的文件夹,包括intel、moto、huawei、lge等。 选择自己选择的项目的处理器芯片的文件目录(forexample : intel),再在下面选择项目: Android/device/intel/ spectralite Android/device/intel/ spectralite-kernel
Android平台单独编译内核模块ko && insmod
热门推荐
wang 恒 的博客
02-20 1万+
第一次在android平台上单独编译内核模块并且insmod,过程比较难受,毕竟啥事第一次做都不怎么顺畅! 本文基于Android5.1 msm8909 因为笔者使用的平台物理串口只有两个,一个已经作为系统的debug调试串口,那就相当于只有一个串口供使用了,这样因为串口个数需求远大于一个,需要添加虚拟串口的驱动。 采取如下方法实现: 编写虚拟串口驱动 单独编译的时候, 1...
android 安装内核module,提示Required key not available
lyf's blog
10-21 1万+
最近在调试一个驱动的时候,用insmod加载.ko的时候,提示Required key not available,第一反应是签名有问题,内核模块也开始使用类似apk的签名了吗?查资料后果然是这样。这个问题可以说不算是android的问题,而应该是linux系统的问题,android本身就是个linux系统。下来一步一步分析问题的所在。内核配置内核从3.7后开始支持模块签名,这个功能使能以后,内核只
RK3566 android11 增加新的分区,恢复出厂数据不会清除
QliumengQ的博客
07-28 6931
android11自定义分区说明
Andriod编译内核模块*.ko
janlin的专栏
08-11 4958
在单独编译Android的内核模块之前,必须要成功配置编译过整个Android系统(至少要编译成功boot.img),生成正确的out目录。 1.编写Makefile。按照以下格式编写Makefile。     1 obj-m += aaa.o   2 #obj
Rebuild target 'Target 1' assembling STARTUP.A51... compiling main.c... compiling delay.c... compiling uart.c... linking... *** WARNING L1: UNRESOLVED EXTERNAL SYMBOL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) *** WARNING L1: UNRESOLVED EXTERNAL SYMBOL SYMBOL: RECV MODULE: .\Objects\main.obj (MAIN) *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) ADDRESS: 00E2H *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) ADDRESS: 00E4H *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) ADDRESS: 00E6H *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) ADDRESS: 00EEH *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) ADDRESS: 00F0H *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) ADDRESS: 00F4H *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: COUNT MODULE: .\Objects\main.obj (MAIN) ADDRESS: 00F9H *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: RECV MODULE: .\Objects\main.obj (MAIN) ADDRESS: 004AH *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: RECV MODULE: .\Objects\main.obj (MAIN) ADDRESS: 004CH *** WARNING L1: UNRESOLVED EXTERNAL SYMBOL SYMBOL: RECV MODULE: .\Objects\uart.obj (UART) *** WARNING L2: REFERENCE MADE TO UNRESOLVED EXTERNAL SYMBOL: RECV MODULE: .\Objects\uart.obj (UART) ADDRESS: 001DH Program Size: data=12.0 xdata=0 code=393 creating hex file from ".\Objects\mcu51"... ".\Objects\mcu51" - 0 Error(s), 13 Warning(s). Build Time Elapsed: 00:00:02
最新发布
07-31
在Keil C51项目中,如果链接阶段报告“Unresolved external symbol COUNT”和“REFCV”(假设RECV拼写错误为REFCV),这通常意味着链接器在所有目标文件和库中找不到这些符号的定义。以下是可能导致此问题的原因和...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值