Android系统10 RK3399 init进程启动(三十一) SeAndroid实战之定义策略

最新推荐文章于 2023-11-14 09:16:58 发布
原创 最新推荐文章于 2023-11-14 09:16:58 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Android Selinux #SEAndroid #Android系统 #Android驱动 #RK3399

本文档详细介绍了在Android 10.0系统上,针对FireFly RK3399设备,如何进行ROM系统开发中的进程安全策略定义。通过实例展示了如何创建并测试一个名为myse_test的进程,使其能够读写设备文件/dev/myse_dev。主要内容包括:编写myse_test.c代码、构建Android.mk编译规则、定义selinux策略文件、更新BOARD_SEPOLICY_DIRS以及编译流程。

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

之前章节将基本知识都已经讲解完了, 需要通过实战例子来验证理论, 本章节重点介绍如何定义策略。

一,目标

需要完成一个进程去操作一个文件(如设备文件),编写策略文件,并进行测试。

1, myse_test: 定义一个可执行程序, 可以读写文件,此时会设置该进程的文件上下文,以及domain,还有权限策略。

2, 新建一个被进程读写文件(如设备文件/dev/myse_dev),定义该文件的安全上下文。

实现的框图如下:

myse_test进程属于vendor分区, 策略文件也会在vendor分区。

二, 文件目录结构

device/rockchip/qh100_rk3399/test_se/

├── cmd

│   ├── Android.mk

│   └── myse_test.c   //进程对应代码

└── sepolicy    //策略目录

    ├── device.te

    ├── file_contexts

    └── myse_test.te

三,代码和策略文件辨写

 myse_test.c的代码:

test_se/cmd/myse_test.c

#include <unistd.h>

#include <string.h>

最低0.47元/天 解锁文章
Android系统10 RK3399 init进程启动(二十二) SEAndroid 框架
ldswfun的专栏
05-07 1134
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍SEAndroid(Security Enhanced for Android Selinux整体框架, 了解整体,再去看细节就容易很多. 一, 框图介绍: ​ SEAndroid框架是由用户空间和内核空间组成, 用户空间安全保护机制中主要包含安全上下文(Security...
Android系统10 RK3399 init进程启动(二十八) SeAndroid政策兼容性
ldswfun的专栏
06-28 720
Android 开始treble计划之后, vendor和system可以分开进行升级,此时就会涉及到selinux在升级过程中出现的策略兼容性问题。详细介绍可以参考谷歌官网
SEAndroid的各种策略文件
u013234805的专栏
04-30 2582
在external/sepolicy目录存放了很多SELinux策略定义文件。通过这些文件我们能了解到SEAndroid更多的细节,下面我们一起看看这些文件的内容。 1.   角色定义文件roles 角色定义文件用来定义SELinux系统的角色。文件roles的内容如下: role r; role r types domain; 从这里可以看到,SEAndroid实际上只定义了一种
Android系统10 RK3399 init进程启动(二十三) 初识Selinux 安全策略
ldswfun的专栏
05-07 1127
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux的安全策略的基本规则, 先入为主的了解最简单的东西, 然后再慢慢深入更细节东西。 一, 最简单的安全策略规则 配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK...
Binder中的SEAndroid控制
内核工匠
07-29 1387
前言Binder 也即Android独有的进程间通信方式,在 Android 系统中无处不在。区别于共享内存、socket、管道等其他进程间通信的手段,Binder 的实现较为独特。从本质上讲,Binder 是借由对/dev/binder 的一系列操作实现的,在内核中作为驱动存在,当然其权限控制可以正常借由Linux的安全模块实现。同时,由于所有系统服务都需要在Servi...
Android系统10 RK3399 init进程启动(三十二) SeAndroid实战策略更新和验证
ldswfun的专栏
07-20 1141
上一个章节介绍了如何定义策略, 并编译得到目标文件, 这些目标文件需要在开发上进行更新验证。
Android系统10 RK3399 init进程启动(二十) SEAndroid 缩写与名词解释
ldswfun的专栏
05-07 1181
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 接下来会给大家介绍Android Selinux的相关知识,讲解之前,将部分相关名词和缩写先列举出来。 一, 缩写与名词解释 DAC Discretionary Access Control,自主访问控制系统 MAC ...
Android系统10 RK3399 init进程启动(四十五) 实战Init.rc脚本中之日志永久化保存
ldswfun的专栏
12-11 1908
init.rc除了可以做开机启动的事情,还可以做行为控制,主要是可以通过action中的属性作为触发事件,这个功能非常有用,可以让我们做一些异步事件的逻辑控制。
Android系统10 RK3399 init进程启动(四十四) 实战Android开机自启动脚本
ldswfun的专栏
12-11 2026
init.rc中的命令实际是有限的, 如果需要执行常见shell的脚本, init.rc是没法满足需求的, 所以在实际开发中经常需要开机启动shell脚本的事情。上个章节介绍了如何开机启动可执行程序(代码类),本章节重点介绍如何开机启动一个shell脚本
Android系统开发】SEAndroid权限解决方法汇总
橙子和小果的博客
07-16 1417
前言: 从android5.x开始,引入严格的selinux权限管理机制,经常会遇到各种avc denied的log。 SEAndroid就是SElinux的增强型版本。 确认问题 先排查是否由SElinux策略导致的问题 串口输入:setenforce 0 串口输入:getenforce 0 即进入了permissive 1. 强制关闭SEAndroid的方法: 1.1 方法一 如果是user版本固件,则在bootcmd加入androidboot.selinux =permissive即可 如
Android 5.x SEAndroid/SElinux内核节点的读写权限
热门推荐
缥缈孤鸿影的专栏
03-19 1万+
Android 5.x下,因为采取了SEAndroid的安全机制,即使拥有root权限,或者对某内核节点设置为777的权限,仍然无法在JNI层访问。 本文将以用户自定义的内核节点/dev/wf_bt为例,手把手教会读者如何在JNI层获得对该节点的访问权限。 第一步:找到需要访问该内核节点的进程(process),笔者自己这个节点由system_server进程来访问 第二步:
[Android 基础] -- SELinux/SEAndroid 实例简述() 实例看 SELinux/SEAndroid
u014674293的博客
09-26 2457
基础知识都已经学习完了,但是还不知道怎么样,下面从不同的场景,实现了几个例子,可以参考学习一下。 对于 /extern/sepolicy 的修改如下方法编译: 1. mmm external/sepolicy 2. make bootimg 不过对于 MTK 的 Android 系统,不建议修改 external/sepolicy,而是修改 device/mediatek/common/sepolicy,在 plicy 目录下,make relab...
SELinux
DreamWendy
09-17 1555
参考网址:https://www.cnblogs.com/ly565911158/p/3622942.html
RK3399 android11 开发遇到recovery.img too large报错
Frank3908的专栏
02-25 4851
编译报错信息: FAILED: out/target/product/rk3399_Android11/recovery.img /bin/bash -c "(out/host/linux-x86/bin/mkbootimg --kernelout/target/product/rk3399_Android11/kernel--ramdisk out/target/product/rk3399_Android11/ramdisk-recovery.img --cmdline \"console...
Android进阶-SELinux
王涛的博客
06-28 5360
前一篇文章已经介绍了SELinux相关知识, https://blog.csdn.net/qq_33750826/article/details/80743035 基于 Android 4.3(宽容模式)和 Android 4.4(部分强制模式)的 Android 5.0 版本,开始全面强制执行 SELinux。 一、政策格式 政策规则采用以下形式: allow domain...
android 8.0 添加开机服务
csh86277516的博客
03-16 5185
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
Android 12 S 系统开机流程分析 - SecondStageMain(三)
weixin_41028555的博客
11-14 765
define(`', `')define(`', `')define(`', `')
SEAndroid安全机制中的进程安全上下文关联分析
810364804
07-28 582
前面一篇文章分析了文件安全上下文关联过程。但是在SEAndroid中,除了要给文件关联安全上下文外,还需要给进程关联安全上下文,因为只有当进程和文件都关联安全上下文之后,SEAndroid安全策略才能发挥作用。也就是说,当一个进程试图访问一个文件时,SEAndroid会将进程和文件的安全上下文提取出来,根据安全策略规则,决定是否允许访问。本文就详细分析SEAndroid进程安全上下文的关联过程...
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 3376
Android系统编译 报neverallow 错误的解决方法。
SELinux策略模块分析:以rk3399_android7.1_软件开发为例
"该文档是针对rk3399设备上的Android 7.1软件开发的指南,专注于分析引用策略模块,特别是netutils模块,该模块管理网络实用程序,如ping。文档解释了如何在引用策略中组织和打包策略片,以适应FC打包规范,并以...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值