Init进程设置SELinux的Policy

最新推荐文章于 2024-09-20 10:27:00 发布
最新推荐文章于 2024-09-20 10:27:00 发布
阅读量3.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Android安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013234805/article/details/24796599
本文详细介绍了Android系统中Init进程如何初始化SELinux Policy,包括设置回调函数、加载Policy的过程,以及相关函数的实现细节,如selinux_set_callback、selinux_initialize、selinux_android_load_policy等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

新书上市《深入解析Android 5.0系统》

 以下内容节选自本书


Init进程的main()函数有一段代码用来初始化SELinux,如下所示:

int main(......) {

 ......

  //设置SELinux的回调函数

union selinux_callback cb;

cb.func_log = klog_write;                         

selinux_set_callback(SELINUX_CB_LOG,cb);

cb.func_audit = audit_callback;                   

selinux_set_callback(SELINUX_CB_AUDIT,cb);

// 初始化SELinux

selinux_initialize();   

// 恢复下面目录的安全上下文为系统原始设置

restorecon("/dev");

restorecon("/dev/socket");

restorecon("/dev/__properties__");

restorecon_recursive("/sys");

......

}

这里调用的函数selinux_set_callback()的代码位于目录external/libselinux下。我们先看看函数selinux_set_callback()的代码:

voidselinux_set_callback(int type, union selinux_callbackcb)

{

switch(type) {

caseSELINUX_CB_LOG:

    selinux_log = cb.func_log;

    break;

caseSELINUX_CB_AUDIT:

    selinux_audit = cb.func_audit;

    break;

caseSELINUX_CB_VALIDATE:

    selinux_validate = cb.func_validate;

    break;

caseSELINUX_CB_SETENFORCE:

    selinux_netlink_setenforce =cb.func_setenforce;

    break;

caseSELINUX_CB_POLICYLOAD:

    selinux_netlink_policyload =cb.func_policyload;

    break;

}

}

selinux_set_callback()的作用是对一些全局的函数指针赋值,前面Init进程的main()代码中调用函数selinux_set_callback()的结果是将selinux_log的值设置成klog_write,将selinux_audit的值设置成audit_callback,这两个回调函数并没有太多实际的作用。下面再看看selinux_initialize()函数的代码:

staticvoid selinux_initialize(void)

{

   if (selinux_is_disabled()) {

       return;                                 // 如果SELinux没有enable,退出。

   }

if(selinux_android_load_policy() < 0) { //装载并向内核设置Policy

   // 如果装载SELinuxpolicy失败,重启Android

       android_reboot(ANDROID_RB_RESTART2, 0,"recovery");

       while (1) { pause(); } 

   }

   selinux_init_all_handles();             // 装载文件和属性的安全上下文

   bool is_enforcing =selinux_is_enforcing();

   security_setenforce(is_enforcing);

}

selinux_initialize()函数的主要作用是从文件中读取SELinux的配置文件,然后把它设置到内核中,这样SELinux才能开始工作。我们先看看selinux_is_disabled()函数是如何工作的:

staticbool selinux_is_disabled(void)

{

   char tmp[PROP_VALUE_MAX];

   if (access("/sys/fs/selinux", F_OK) != 0){

       return true;  // 如果目录/sys/fs/selinux不可以访问,说明SeLinuxdisable了。

}

   if((property_get("ro.boot.selinux", tmp) !=0)&&(strcmp(tmp, "disabled")== 0)){

       return true;   //如果ro.boot.selinux等于disabled,说明配置中disableSELinux

   }

   return false;

}

selinux_is_disabled()函数先判断目录/sys/fs/selinux是否可以访问,因为这个目录是SELinux的虚拟文件系统所在的目录,不能返回说明SELinuxdisable了。同时还要判断属性ro.boot.selinux是否等于“disabled”,这个属性值表示SELinux的状态。

selinux_android_load_policy()函数代码如下:

intselinux_android_load_policy(void)

{

   char*mnt = SELINUXMNT;           // mnt设置为/sys/fs/selinux

   intrc;

// 挂载文件系统selinuxfs到目录/sys/fs/selinux

   rc =mount(SELINUXFS, mnt, SELINUXFS, 0, NULL); 

   if(rc < 0) {

      if (errno == ENODEV) {

           return -1;               // 如果mount返回的错误是没有设备,返回。

      }

      if (errno == ENOENT) {        // 如果mount返回的错误表示目录不存在

           mnt = OLDSELINUXMNT;     // 则讲mnt设置为/selinux

           rc = mkdir(mnt, 0755);   // 创建目录

           ...... // 错误处理

// 挂载文件系统selinuxfs到目录/selinux

           rc = mount(SELINUXFS, mnt, SELINUXFS, 0, NULL);     }

  }

...... // 错误处理

  set_selinuxmnt(mnt);                   // mnt的值赋给selinux_mnt

  return selinux_android_reload_policy(); //装载SELinux的策略

}

selinux_android_load_policy()函数首先把SELinux的虚拟文件系统selinuxfs挂载到目录/sys/fs/selinux,如果不成功,再尝试挂载到目录/selinux。挂载成功后,调用selinux_android_reload_policy()函数来装载策略,函数代码如下:

intselinux_android_reload_policy(void)

{

   intfd = -1, rc;

  struct stat sb;

   void*map = NULL;

   inti = 0;

  // 打开一个policy文件

  while (fd < 0 && sepolicy_file[i]){

      fd = open(sepolicy_file[i], O_RDONLY |O_NOFOLLOW);

      i++;

  }

......      // 错误处理

   if(fstat(fd, &sb) < 0) {

      ......  // 错误处理

  }

   map= mmap(NULL, sb.st_size, PROT_READ, MAP_PRIVATE, fd, 0);//mmap文件到内存中

  ......      // 错误处理

   rc =security_load_policy(map, sb.st_size); //装载policy

......     // 错误处理

  munmap(map, sb.st_size);

  close(fd);

  return 0;

}

selinux_android_reload_policy()函数首先打开policy文件,然后把它mmap进内存,最后调用函数security_load_policy()policy设置到内核中。policy文件的文件名保存在数组constsepolicy_file中,定义如下:

staticconst char *const sepolicy_file[] = {

       "/data/security/current/sepolicy",

       "/sepolicy",

       0 };

这两个文件找到一个就可以了,通常是根目录下的sepolicy文件。这个文件就是从源码的external/sepolicy目录下的规则文件编译得到的。

最后我们看看security_load_policy()函数的实现:

intsecurity_load_policy(void *data, size_tlen)

{

   charpath[PATH_MAX];

   intfd, ret;

...... // 检查参数

  snprintf(path, sizeof path, "%s/load", selinux_mnt); 

   fd =open(path, O_RDWR);

  ...... // 错误检查

   ret= write(fd, data, len);  //写入文件

  close(fd);

   if(ret < 0) return -1;

  return 0;

}

security_load_policy() 函数很简单,打开 SELinux 虚拟目录(通常是 /sys/fs/selinux )下的“ load ”文件,然后把策略数据写到文件中。

load_policy命令详解与实例
phmatthaus的专栏
11-30 792
load_policy命令详解与实例
Android SELinux——Sepolicy基础语法(四)
小旭的专栏
10-11 1322
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
Linux系统:selinux规则配置详解
十七拾的博客
03-07 7305
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
SElinux init.rc 详细解释
03-11 1705
http://blog.youkuaiyun.com/eliot_shao/article/details/53163522 http://blog.youkuaiyun.com/wince_lover/article/details/50164969 inic sepolice 详细解释 *****************Android启动脚本init.rc简介 http://blog.youkuaiyun.com/dash
Android源码之init.rc文件详解(SELinux详解)
m0_63526467的博客
09-20 2243
Android源码之init.rc文件详解(SELinux详解)
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 3180
Android系统编译 报neverallow 错误的解决方法。
Android 11 init进程Selinux的处理
littleyards的博客
04-02 863
查找的流程是 先找/odm/etc/selinux/precompiled_sepolicy,如果没有,再找/vendor/etc/selinux/precompiled_sepolicy (具体可分析FindPrecompiledSplitPolicy函数)。selinux_android_load_policy_from_fd在libselinux库中,源码路径是external/selinux/libselinux/src/android/android_platform.c。
添加selinux policy怎么操作
03-13
首先,SELinux是Linux的安全模块,通过策略来控制进程和文件的访问权限。添加策略通常是因为默认策略不允许某些操作,导致权限问题。 用户可能需要解决某个服务或应用被SELinux阻止的情况。常见的例子是自定义服务...
Failed to load SElinux policy, freezing
最新发布
07-23
SELinux(Security-Enhanced Linux)是一个Linux内核安全模块,它通过策略规则控制进程对系统资源的访问。当系统启动时,SELinux策略必须被加载到内核中。如果策略加载失败,系统可能会冻结或无法正常启动。 可能的...
Android系统10 RK3399 init进程启动(二十三) 初识Selinux 安全策略
澎湖Java架构师的博客
05-13 590
配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统:Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLUS) 前言 本章节介绍Selinux的安全策略的基本规则, 先入为主的了解最简单的东西, 然后再慢慢深入更细节东西。 一, 最简单的安全策略规则 配套系列教学视频链接: 安卓系列教程之ROM系统开发-百问100ask 说明 系统:Android10.0 设备: FireFly RK3399 (ROC-RK3399-PC-PLU
init.rc文件中执行shell命令
Android framework
03-22 1044
init.rc文件中执行shell命令
Linux中基础配置selinux的方法如下:
weixin_44400506的博客
02-22 886
SELinux(Security-Enhanced Linux)的简单配置,涉及SELinux的工作模式、配置文件修改、查看和修改上下文信息,以及恢复文件或目录的上下文信息。这篇文章主要介绍了Linux中selinux基础配置,需要的朋友可以参考下   selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 ...
android init.rc文件语法详解(续)
wince_lover的专栏
12-03 1万+
    在“上一篇android  init.rc文件语法详解”,但是到了android5.0之后,按照上面的方法做,可能我们要启动的服务就起不来了。这是因为采用了新的安全机制了——SEAndroid/SElinux的安全机制。     下面就介绍下,在SEAndroid/SElinux如何配置才能启动init.rc里面定义的服务。     下面我们在rc文件里面定义一个服务     ser...
linux中调节init进程的优先级,Init进程设置SELinuxPolicy
weixin_36446632的博客
04-29 474
Init进程的main()函数有一段代码用来初始化SELinux,如下所示:int main(......) {......//设置SELinux的回调函数union selinux_callback cb;cb.func_log = klog_write;selinux_set_callback(SELINUX_CB_LOG,cb);cb.func_audit = audit_callback;...
对Android 平台下SElinux的理解及遇到过的相关问题解决方法总结
热门推荐
学无止境,静下心来!
09-06 1万+
笔者在工作中多次遇到和SELinux相关的问题,初次遇到时一头雾水,走了很多弯路,也耗费了很多时间精力。后来看了不少资料和博客,也研究了相关代码,对SELinux有了些认识。所以用本文来做个总结,加深理解。 本文将从下面五个方面来逐步认识和理解Android 下SELinux。 什么是SELinux为什么需要SELinuxSElinux 工作原理android 上的实现曾经遇到过的问题
【干货】Android系统定制基础篇:第五部分(Android关闭selinux、Android设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 3220
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
Android7.1添加开机启动服务程序关于Selinux权限问题说明
Venus 的博客
04-13 1459
当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作: 第一步,我们可以在init.rc中添加了如下代码行: service xxxx /system/bin/xxxx class main user root group root oneshot seclabel u:r:xxxx:s0 #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务 编译img后烧到机器,发现服务xxx无法启动,kernel log中有如下提示(例如这里新加的
深入理解SELinux SEAndroid(最后部分)
Venus 的博客
12-21 2257
接第二部分的内容 深入理解SELinuxSEAndroid(结局) 二 SEAndroid源码分析 有了上文的SELinux的基础知识,本节再来看看Google是如何在Android平台定制SELinux的。如前文所示,Android平台中的SELinux叫SEAndroid。 先来看SEAndroid安全策略文件的编译。 1. 编译sepolicy Android平台中: external/sepolicy:提供了Android平台中的安全策略源文件。同时,该目录下的tools还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值