Android系统10 RK3399 init进程启动(三十二) SeAndroid实战之策略更新和验证

原创 已于 2022-10-14 13:01:18 修改 · 1.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Android Selinux #Android系统 #Android系统底层

于 2022-07-20 20:54:04 首次发布
本文详细介绍了Android系统中针对RK3399开发板的ROM策略更新过程,包括如何将策略文件推送到设备,以及在permissive和enforcing模式下验证策略效果。在enforcing模式下,通过selinux日志分析并使用audit2allow工具解决了权限问题,确保程序正常运行。

 配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

上一个章节介绍了如何定义策略, 并编译得到目标文件, 这些目标文件需要在RK3399开发板上进行更新验证。

一, 更新开发板策略

编译得到的目标文件需要更新到开发板的/vendor/bin中:

out/target/product/qh100_rk3399/vendor/bin/myse_test

生成的策略文件目标文件:

ls out/target/product/qh100_rk3399/vendor/etc/selinux/

plat_pub_versioned.cil   vendor_file_contexts        vendor_property_contexts  vndservice_contexts

plat_sepolicy_vers.txt   vendor_hwservice_contexts   vendor_seapp_contexts

selinux_denial_metadata  vendor_mac_permissions.xml  vendor_sepolicy.cil

ls out/target/product/qh100_rk3399/odm/etc/selinux/

precompiled_sepolicy                                   precompiled_sepolicy.product_sepolicy_and_mapping.sha256

precompiled_sepolicy.plat_sepolicy_and_mapping.sha256

将以上文件,以文件夹为单位从源码中拷贝出来, 需要替换根文件系统中的vendor和odm分区的selinux文件, 这样的好处就是不用重新烧录整个镜像,局部更新安全策略就可以了。

操作开发板, 通过adb执行如下:

adb root

adb remount

adb push  myse_test   /vendor/bin

adb push  vendor/selinux   /vendor/etc/

adb push  odm/selinux   /odm/etc/

 

二,运行验证

 提个问题:在不使用selinux规则文件的情况下, 直接在root用户下, 通过命令启动my

最低0.47元/天 解锁文章
AndroidP SEAndroid 项目实战
android
09-08 1327
SEAndroid 项目实战1、介绍2、如何配置2.1、sepolicy的来源 1、介绍 首先什么是 SEAndroid,我们都知道 Android 是基于 linux系统搭建的,而 SELinux(Security-EnhancedLinux) 是美国国家安全局(NSA)对于强 制访问控制的实现,是 Linux 历史上最杰出的新安全子系统SEAndroid 也是基于 SELinuxAndroid 4.4平台之后加入到 Android 系统的, SEAndroidSELinux的基础上添加了
SeLinux 的编译逻辑
littleyards的博客
04-02 2015
收集 PLAT_PRIVATE_POLICY PLAT_PUBLIC_POLICY 目录下的 文件,通过transform-policy-to-conf 进行宏展开,得到plat_policy.conf文件。一文中,我们知道,在init进程Selinux的处理过程中,会将precompiled_sepolicy或者动态编译相关目录下的cil文件得到的compiled_sepolicy写入给内核。再来看一下cil文件的生成过程,以built_plat_cil 为例,其它的都类似。最终根目录系统结构为。
SEAndroid那点事
学如不及,犹恐失之
04-28 752
SEAndroid那点事 SEAndroid那点事 概述 DACMAC DAC–自主访问控制 MAC–强制访问控制 DACMAC的区分联系 权限的添加策略 SecurityContext te文件 file_contexts 案例 总结 学习资料 概述 Android平台的基础是Linux内核,android每个应用都运行在自己的沙盒中,在Android4....
解决华为手机termux安装在chroot的ubuntu系统,开启SSH 客户端连接上后无法读取写入但能删,报什么key问题之类的,设置selinux为宽容模式
最新发布
zaixingxing2539的博客
11-07 756
sepolicy-inject 是 Android 平台上的一个重要工具,主要用于修改注入 SELinux 策略规则。以下是关于该工具的详细扩展说明: 功能概述 sepolicy-inject 主要用于动态修改 SELinux 策略,允许开发者在运行时添加新的策略规则,而无需重新编译整个 SELinux 策略文件。这在调试或定制 Android 系统时非常有用。 使用场景 调试 SELinux 策略 当某个进程由于 SELinux 限制无法访问资源时,可以使用 sepolicy-inject 临时添加
android安全动态分析方法,基于SEAndroid的机顶盒安全策略动态分析与配置技术研究与设计...
weixin_36477469的博客
05-26 128
摘要:随着Android系统在教育娱乐,公共服务,移动支付等众多领域的市场份额不断扩大,针对Android系统的恶意软件漏洞攻击也越来越多.为了应对系统所面临的安全问题,Android在原有的安全机制基础上引入了强制访问控制机制,形成了一种适应自身系统的安全机制—SEAndroid,该安全机制必须制定完善的安全策略才能更有效的保障系统的安全性.在SEAndroid安全机制中,安全策略主要用于检查...
Android系统10 RK3399 init进程启动(三十) Selinux编译方法
ldswfun的专栏
07-07 3559
本章节重点介绍在Android源码中如何编译selinux模块, 以及如何查看编译日志
Android系统10 RK3399 init进程启动(三十一) SeAndroid实战之定义策略
ldswfun的专栏
07-20 1057
通过实战例子来验证理论, 本章节重点介绍如何定义策略
Android系统10 RK3399 init进程启动(二十) SEAndroid 缩写与名词解释
ldswfun的专栏
05-07 1181
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 接下来会给大家介绍Android Selinux的相关知识,讲解之前,将部分相关名词缩写先列举出来。 一, 缩写与名词解释 DAC Discretionary Access Control,自主访问控制系统 MAC ...
Android系统10 RK3399 init进程启动(二十二) SEAndroid 框架
ldswfun的专栏
05-07 1134
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍SEAndroid(Security Enhanced for Android Selinux整体框架, 了解整体,再去看细节就容易很多. 一, 框图介绍: ​ SEAndroid框架是由用户空间内核空间组成, 用户空间安全保护机制中主要包含安全上下文(Security...
Android系统10 RK3399 init进程启动(四十四) 实战Android开机自启动脚本
ldswfun的专栏
12-11 2026
init.rc中的命令实际是有限的, 如果需要执行常见shell的脚本, init.rc是没法满足需求的, 所以在实际开发中经常需要开机启动shell脚本的事情。上个章节介绍了如何开机启动可执行程序(代码类),本章节重点介绍如何开机启动一个shell脚本
AIO-3399C-AI industry 打开adb root权限
wolfnx
11-02 735
刚编译过的AIO-3399C-AI industry版本,即使编译user-debug版本,在执行adb root时会发现并不能生效。那我们就不能执行adb remount,因此也就不能修改其中的数据。例如push一个apk进去。下面就介绍一下如何打开adb root。
rk3399 android9.0 开机出现问题
YY2065的博客
04-22 876
1. 开机弹出 "There’s an internal problem with your device. Contact your manufacturer" 调试屏幕显示的时候一切正常,在调试屏幕触摸后出现这个问题,开始我以为是因为dtsi配置错了导致这个问题的出现,触摸也一直未调试成功,我也一直在触摸驱动dtsi配置上寻找问题,一筹莫展的好几天,最终在百度上借鉴了这个方法,屏蔽后,触摸驱动正常。 2.\sdk-9.0\frameworks\base\services\core\java\com
RK3399 Android7.1关机后按电源键开机无反应
u011774634的博客
06-28 1552
eMMC问题导致关机后无法开机
rk3399启动卡在android动画,rk3399 Android 7.1.2 添加开机执行的.sh
weixin_30531707的博客
05-26 512
Platform: RK3399OS: Android 7.1.2Kernel: v4.4.126首先在Init.rc中添加开机服务我们这里是在system/core/rootdir/init.rc中添加 组用户都是root,只执行一次.条件是在开机完成后启动服务-start fbchangeAndroid 5.0之后Android 系统强化了SELINUX 功能,涉及到许多权限问题.因此添加...
RK3399 android9.0 调试屏幕进入系统桌面显示异常问题
Y在想什麽的博客
02-22 1108
目的:用于降低媒体系统中的带宽。引用:GPU、视频处理器显示处理器之间的交互。其中一个带宽最密集的用例是视频后处理。在许多用例中,GPU 在将视频流用作 2D 或 3D 场景中的纹理时需要读取视频并应用特效。在这样的情形中,ARM 帧缓冲压缩 (AFBC) 这种具备精细随机访问能力的无损图像压缩协议格式能够最大程度地减少 Soc 内 IP 块之间的数据传输量,将系统级别的总体带宽功耗最多降低 50%。
rk3399启动卡在android动画,Videostrong RK3399板卡启动模式说明
weixin_42134769的博客
05-26 998
该楼层疑似违规已被系统折叠隐藏此楼查看此楼Videostrong RK3399板卡启动模式说明前言RK3399 有灵活的启动方式。一般情况下,除非硬件损坏,VS-RK3399 开发板是不会变砖的。如果在升级过程中出现意外,bootloader 损坏,导致无法重新升级,此时仍可以进入 MaskRom 模式来修复。加载方式RK3399 有 32KB 的 BootRom 200KB 的内部 SRA...
嵌入式开发Rk3399过程中遇到的问题解决方案
wxm_forever_love的博客
05-03 1558
在华硕的rk3399核心板中安装了Android 10系统版本,为了使用其Root权限,我们为其刷入Magisk来获得root权限。其中遇到的问题:刷入Magisk工具后,使用指令 $ adb reboot bootloader 无法重启到fastboot模式。 解决方式: 首先利用fastboot devices查看有无设备 $ fastroot devices no permissions(user in plugdev group ;are your udev rule...
Android P SELinux () 权限检查原理与调试
headwind的博客
08-15 5133
目录引子一、权限检测原理1、拥有的权限2、需要的权限3、裁决4、其他二、avc denied信息分析三、调试1、快速编译替换1.1 编译替换1.2 load_policy2、尽量使用宏3、使用属性4、setools工具四、参考文章 引子 我们在处理SELinux权限问题的时候,avc denied信息是最关键的,那么avc denied 的打印信息要怎么看、里面的内容每一个字段是什么意思?kernel log的avc denied信息是哪里打印出来的? 以前有个想法,我们系统的操作、命令都是有限的,那其
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值