Android系统10 RK3399 init进程启动(二十六) Selinux TE文件和语法

原创 已于 2024-01-03 19:55:40 修改 · 3k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Android selinux #SEAndroid #Android底层 #Android驱动

于 2022-06-01 20:51:18 首次发布
本文详细解读Android 10.0的TypeEnforce文件,涉及规则名、源类型、目标类型、object_class和perm_set等关键概念,教你理解并编写系统权限策略。通过实例演示如何设置adbd域的文件访问权限,适合初学者和高级开发者深入理解Android ROM定制。

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

te文件:Type Enforce文件, 该文件主要完成策略的制定, 文件中有非常多的语句, 我们需要基本掌握和理解其中的语法和语义,这样才能有利于我们进行开发。

一, 框图

上图是整个框图, 具体意思,请参考视频教程和之前的文章, 上面打星的地方就是本章节重点介绍的。

二,初识基本语法

Te文件中一般经常出现如下语句: 在system/sepolicy/private/adbd.te文件中

# adb pull /data/anr/traces.txt

allow adbd anr_data_file:dir r_dir_perms;

allow adbd anr_data_file:file r_file_perms;

以上意思:

允许adbd域(domain), 对安全上下文为anr_data_file的目录(dir)有读目录权限

允许adbd域(domain), 对安全上下文为anr_data_file的文件(file)有读文件权限

完整的allow相关的语句格式为:

rule_name source_type target_type :object_class perm_set

描述:

rule_name:规则名,分别有allow,dontaudit,auditallow,neverallow等

source_type:源类型,主要作用是用来填写一个域(domain),一般都是一个进程, 也叫做scotonext

target_type:目标的类型,一般都是客体的上下文标签,当然进程也是可以做为客体,比如一个进程给另外一个进程发送信号,获取另外一个进程pid等,

object_class:类别,目标(客体)是哪种类别,主要有file,dir,socket, process, SEAndroid还有binder等,在这些基础上又细分出设备字符类型(chr_file),链接文件(lnk_file)等。

perm_set:权限集合, 如read, write等。

更加复杂的格式为:

rule_name {source_type1 source_type2 ...}  { target_type1 target_type2 ... } :object_class  {perm_set}

基本语法对应的文件结构如下:

三 ​​​​​​,rule_name&

最低0.47元/天 解锁文章
rk3568 HAL3--Camera seLinux权限
weixin_35723192的博客
12-26 1319
rk3568 Android11 在特定场景发现 camera HAL3 的 RGA 无法正常调用,查看内核日志会发现某些服务缺少相关 seLinux 权限致使调用失败,按照正常情况则需要补齐就好。某些场景则需要增加新权限才能匹配相应功能;如果在 HAL 增加系统属性读取,就需要增加专属的 seLinux 权限申请。
浅谈SEAndroid安全机制及应用方法
阿路
04-05 1235
浅谈SEAndroid安全机制及应用方法 内容提纲: ➢SEAndroid/SELinux简介 ➢SEAndroid/SELinux框架 ➢SELinux Policy介绍 ➢安全策略文件(TE文件)SELinux安全问题分析 ​ ➢SELinux设备文件权限解决办法 ​ ➢SELinux服务权限解决办法 ​ ➢SELinux可执行权限解决办法 ➢补充 ​ ➢客体类型添加 一.SEAn...
SeLinux 常见的宏
最新发布
littleyards的博客
04-01 1205
意味着该声明是可以描述主体客体的类型切换的, 比如客体文件类型切换, 或者主体进程域的type 切换(上下文切换), 注意:此时只是描述了从哪里切换到哪里的问题。注意:该宏只是申请允许切换,相当于为type_transition申请切换的权限。申请在某个domain(进程)在安全上下文为dir_type的目录下,创建文件,新文件的安全上下文为file_type的权限。允许domain(进程)对安全上下文为type的目录有r_dir_perms权限,文件lnk_file 有r_file_perms权限。
Andorid SELinux策略、te语法、avc权限总结
繁鑫..的博客
02-16 4777
浅谈te语法前言1.引言2.基本定义2.1 用type关键字定义类型2.2 用typealias声明别名2.3 attribute关键字声明属性/域2.4 类型与属性/域相关联3.基本语法3.1 rule_name3.2 source_type3.3 target_type3.4 class3.5 perm_set4.通常avc权限配置 前言 好久没更新了,去年忙到年底,终于闲下来了,现在开始对近期的学习做一个总结 1.引言 SElinux是Google在android4.3版本上引入的,只不过是默认关闭
SELinux 权限添加
wangzhiruiyingmuxt的博客
05-22 684
通过adb shell getenforce 可以获取SELinux的工作模式,Enforcing表示打开,Permissive表示关闭。 当有权限未被允许时,kernel log 会提示,比如我遇到的是: type=1400 audit(1590114336.309:8): avc: denied { search } for pid=1582 comm="ip" name="net" dev="mmcblk1p16" ino=16 scontext=u:r:sysCfg:s0 tcontext=u:ob
android-te文件语法
Paper_Love的博客
12-11 1339
【代码】android-te文件语法
AndroidSeLinux权限 .te文件编写
热门推荐
x2017x的博客
09-05 2万+
  在android中添加一个LocalSocket通信,权限部分折腾了好几天,终于搞定了.   首先在root权限下使用setenforce 0命令放开selinux权限,看看需要的操作是否能成功.如果可以,证明是Selinux的设置问题.仅使用该命令,手机重启又会恢复为enforce为1的状态.为了长久更改此权限,需更改如下.   /device/qcom/sepolicy 目录下找到对应...
Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录
ldswfun的专栏
06-28 1794
本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录文件,以及编译规则
SELinux策略模块分析:以rk3399_android7.1_软件开发为例
"该文档是针对rk3399设备上的Android 7.1软件开发的指南,专注于分析引用策略模块,特别是netutils模块,该模块管理网络实用程序,如ping。文档解释了如何在引用策略中组织打包策略片,以适应FC打包规范,并以...
SELinux策略语言--编写TE规则
u014674293的博客
08-02 1251
SELinux策略大部分都是一套声明规则一起定义的类型强制TEType Enforcement策略一个定义良好、严格的TE策略可能包括上千个TE规则TE规则数量的巨大并不令人惊奇因为它们表达了所有由内核暴露出的允许对资源的访问权这就意味着每个进程对每个资源的访问尝试都必须至少要有一条允许的TE访问规则如果我们仔细思考一下现代Linux操作系统进程资源的数量就明白为什么在策略中有那么多的TE规则了。neverallow规则也支持通配符来代表所有的类型求补算操作符~也表示所有的类型除了明确列出的之外。
简述AndroidSELinuxTE
01-04
一、SELinux资源访问基本概念  SELinux使用类型强制来改进强制访问控制。所有的主体(程序进程)对客体(文件/socket等资源)的访问都有一条TE规则来许可。当程序访问一个资源的时候,系统会搜索所有的TE规则集,并根据结果进行处理。这个规则集是由访问向量规则(AV, Access Vector)来描述的。 内核向外部暴露允许访问的资源权限,由TE来描述主体拥有什么样的访问权。SELinux定义了30个不同的客体类别: security process system capability filesystem file dir fd lnk_file chr_file blk_fi
SElinux 读懂.te 定义自己的 .te
03-11 1万+
后面会持续补充一、 .te 文件定义中的一些宏1.1 unix_socket_connect(1,1 ,2, $3 ) 这个其实是一个宏。它定义在 te_macros(android系统,mtk qcom 下面都有) 的文件里面的: ##################################### android 系统 te_macros 文件中的定义
Android 6.0中SELinuxTE简介
DODO~下雨不打伞
09-07 9484
在开发中,偶尔会碰到一些TE后缀的文件的修改查看。google借鉴了SELinux安全机制,在Android内包含了该机制,而TESELinux中描述程序访问资源的语言。本文的目的是让大家在Android开发中,碰到相关问题时能够看懂相关的TE文件。在下面的内容中将描述SELinux基本的TE编写规则Android中的应用。 SELinux资源访问基本概念SELinux使用类型强制来改进强制
Android SELinux 的认知以及 init 的相关知识,Linux 环境利用这2个模块进行白名单测试 -- 架构分析
Engineer-Jsp的专栏
06-21 2369
Android SELinux 的认知以及 init 的相关知识,Linux 环境利用这2个文件进行自己的测试 -- 架构分析
SELinux/SEAndroid 实例简述(二) TE语言规则
shell812的专栏
02-08 6768
/************************************ Author:刘江明 * Environment:MTK Android 6.0* Date:2016年11月05日***********************************/ 一. 基本语法 很多te文件集中在\external\sepolicy文件夹下,MTK也有很多自定义的在\
android SElinux
橘子熊v
05-05 1796
android SElinux
android8 .te文件,te文件
weixin_42474537的博客
05-28 2456
模块中定义的sepolicy策略文件目录如下加入到系统编译中:在BoardConfig.mk中找BOARD_SEPOLICY_DIRS,将你的sepolicy目录加到这个变量中,如下所示:BOARD_SEPOLICY_DIRS := \device/fsl/imx8/sepolicy \packages/services/Car/evs/sepolicy \device/fsl/mek_8q/se...
Android系统启动流程从Kernel到init进程源码解析
Android的`init`程序不仅负责挂载文件系统、解析`init.rc`脚本、启动zygote、surfaceflinger、servicemanager等关键守护进程,还实现了属性服务、SELinux策略加载、设备节点管理等功能。正是通过这一系列动作,系统...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值