Android Selinux 自定义Java系统服务

已于 2024-07-04 17:38:17 修改
阅读量272 收藏 3
点赞数 6
分类专栏: SELinux 文章标签: android
于 2024-06-27 20:00:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014401044/article/details/140020158
版权

自定义一个java service,并添加到系统服务中。

我们主要就是围绕:允许自定义的应用,将自定义的服务,添加到系统服务中。

具体selinux的配置如下:

假设自定义服务的包名为com.test.myservice

自定义的系统服务为test_myservice

1. 为服务添加selinux上下文

# service_contexts
# 给test_myservice关联一个test_myserver的上下文

test_myservice u:object_r:test_myserver:s0

     定义和说明test_myserver

# service.te

type test_myserver, service_manager_type;

2. 为应用定义安全上下文

com.test.myservice本来就是system app,其实完全可以添加下面一句就完事儿:

allow system_app test_server:service_manager { find add };

但是如果这么做的话,就相当与允许了所有system_app来向系统注册test_server了,显然这样做是不合理的。

因此需要为com.test.myservice定义一个自己的selinux app上下文

# seapp_contexts

# 说明:
# user=system seinfo=platform 表示是系统应用,并有签名
# name: 应用包名
# domain:我们自己起的域名
# type:关联到system_app_data_file

user=system seinfo=platform name=com.test.myservice domain=testserver_app type=system_app_data_file

user=_app, seinfo=untrusted

untrusted_app 第三方app,没有Android平台签名,没有system权限;

user=_app, seinfo=platform

platform_app 有Android平台签名,没有system权限;

user=system, seinfo=platform

system_app 有android平台签名和system权限。

# testserver_app.te

type testserver_app, domain, coredomain;

# app_domain是一个宏定义,在public/te_macros中,
# 这个宏主要给我们填写的参数关联到appdomain, 系统的Selinux会给appdomain定义一系列权限和规则

app_domain(testserver_app)

allow testserver_app test_server:service_manager { find add };
3. 编译

将上面的四个文件放到某个目录下,比如/device/test/sepolicy/mytest/下,

在.mk中追加:

BOARD_SEPOLICY_DIRS := \

        device/test/sepolicy/mytest 

make selinux_policy

Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 988
Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
自定义系统服务】【android13】添加自定义java系统服务
龚礼鹏的博客
08-18 680
Binder默认可以传输基本类型的数据,如果要传递类对象,则这个类需要实现序列化。我们先定义一个序列化的自定义类型,用于binder间参数传递。主要分为两步:创建自定义类型,实现Parcelable接口// 注意定义成员变量的顺序,后面读取和写入都必须按这个顺序// 注意定义成员变量的顺序@NonNullmAge = age;//@Override// 注意定义成员变量的顺序。
android selinux权限添加
weixin_46027271的博客
01-15 3232
本文基于Android10版本举例介绍selinux的添加方法
Android SELinux 权限配置
qq_44844314的博客
04-02 289
例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
自定义系统服务添加SELinux权限
海豚的成长日记
01-07 1769
目录 1.为设备节点添加SELinux权限 2.为JAVA层的系统服务添加SELinux权限 3.为Native层的系统服务添加SELinux权限 4.自定义Native层系统服务如何跟随系统ROM一起编译并烧录到设备且开机自启动 SELinux权限的基础理论 https://blog.youkuaiyun.com/Innost/article/details/19299937 https://blog.youkuaiyun.com/Innost/article/details/19641487 简单理解:系.
Android seLinux 设置
weixin_34138139的博客
03-06 408
android O上添加服务。在访问一些路径的时出现了权限的问题,将seLinux关闭之后运行成功。所以需要设置相关的权限。 参考文档: http://blog.youkuaiyun.com/tung214/article/details/72734086 主要查看dmsg中关于avc的错误,根据对应的错误在对应的文件中添加权限。 关于权限的文件位于device/xxxx/sepolicy/common目录...
Android SELinux配置
zxlworking1的专栏
03-06 2218
文章目录1.权限警告2.权限警告语法3.权限配置语法4.配置普通权限5.配置ioctl特殊权限6.配置新增节点权限 1.权限警告 最近在调试Androidselinux配置,主要出现了一下三种权限警告,在此记录一下 avc: denied { create } for pid=2984 comm=“test_app” path="/dev/socket" scontext=u:r:tes...
Android12 自定义系统服务
最新发布
u013009899的博客
04-15 1089
参考AMS,命名为AssistantManager,功能只是打印一句日志。/*** {@hide}*/这里需要注意,{@hide}注解必须带上,否则编译会报错!!!自此,完成了简单的系统服务创建流程。
Android SELinux——neverallow问题处理(十六)
小旭的专栏
10-22 1648
遇到 neverallow 规则问题,千万别急着去注释/剔除里面原有的规则(原生的尽量别动)。增加 allow 规则是常见的解决办法,但是随着 android 版本的升级,系统SELinux 的管控越来越严,增加了大量的 neverallow。一般情况下,向默认标签授予权限的做法是错误的,其中许多权限都是 neverallow 规则所不允许的。按照上面方法去添加 SELinux 可能会违反了 neverallow 规则,编译时候会报 neverallow 相关的错误。
Android 11.0 12.0添加自定义服务,并生成jar给第三方app调用
安卓兼职framework和app工程师的博客
05-17 3106
在11.0定制化开发中,由于需要新增加自定义的功能,所以要增加自定义服务,上层通过调用服务,来调用相应的功能,所以系统需要先生成jar,然后生成jar 给上层app调用 从而来实现所需要的功能 第一步: 添加自定义服务 1.创建aidl 2.在frameworks\base\Android.bp中添加我们的AIDL,让其编译进系统 3.在frameworks\base\services\core\java\com\android\server\下创建自己的文件夹lgy,并创建自己的service 4.在fr
android 12.0 添加自定义系统服务接口给app调用
安卓兼职framework和app工程师的博客
06-01 2908
12.0 定制化开发中,在app需要调用系统层的一些功能的时候,由于受限于系统api权限或者某些api被隐藏了,所以需要添加自定义系统服务给app调用 首先要自定义服务 然后给app调用就好
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
Android selinux配置
peilong1988的专栏
05-28 582
最近项目上遇到Android selinux权限配置的问题,Android O之前的版本与Android O及之后的版本有较大的差异。Android O引入了Treble机制,为了防止system.img和vendor.img 中的数据、服务、应用等相互依赖、调用和 引用,谷歌大幅度的更新了selinux权限管理,在Android O及以后的版本中,sepolicy进行了分离,与system相关的...
centos7安装及配置mysql
ABCDEFG
09-08 390
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 安装记录一、获取rpm包二、yum搜索三、安装mysql client四、安装mysql server五、mysql配置5.1 密码设置5.1.1 关闭mysql服务5.1.2 修改配置文件5.1.3 开启mysql服务5.1.4 空密码登录mysql5.1.5 设置mysql密码5.1.6 还原配置文件5.2 远程配置1.引入库2.读入数据总结 一、获取rpm包 rpm -ivh https://repo.mysql.com//mysq
android 9.0 selinux 策略配置
zhbpd的专栏
10-19 2288
主要配置: (1)文件; 在 file.te 中声明一个文件类型; type my_file, file_type, data_file_type, core_data_file_type; 在 file_contexts 文件中关联实际的文件路径和文件类型; /data/my_file(/.*)? u:object_r:my_file:s0 注意 my_file 的类型,如果是data目录下的,要添加 core_data_file_type; 是 vendor目
Android SELinux
weixin_45754428的博客
03-11 1101
MAC 权限由系统策略强制管理,即使 Root 进程也需遵守规则。,其核心目标是通过细粒度的权限策略限制进程和资源访问,即使进程拥有 Root 权限也无法绕过规则。• MAC 场景:即使恶意应用有 Root 权限,若 SELinux 策略禁止其访问。:掌握安全上下文、策略语言(TE)、调试工具链(audit2allow)。• DAC 场景:某恶意应用获取 Root 权限后,可任意删除系统文件。:多级安全(MLS)策略中的安全级别(Android 默认未启用)。,决定进程域与资源类型的访问权限。
android SELinux权限适配
龚礼鹏的博客
09-29 1105
添加权限(sepolicy 1),然后编译,刷机,重新验证。这时候又遇到(sepolicy 2)的权限策略,又需要进行添加权限的设置。如果程序需要多个权限,就需要反复进行设置权限。对于将selinux设置为permission mode,分二种方法:1,执行setenforce 0命令即可。2,修改init代码,在初始化的时候设置为permission mode,不同版本方式不一样。遇到neverallow问题需要自定义权限域,如下是添加到vendor_sysfs_usb_supply权限域中。
android SElinux 总结--启用,关闭以及配置文件说明,很详细,值得学习
热门推荐
lqxandroid2012的专栏
08-21 2万+
转自 http://blog.youkuaiyun.com/bin_linux96/article/details/44993819  1. 禁止selinux  1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX 1.2 还可以在system.prop中定义ro.boot.selinux=disable 这两种方法都可以禁用selinux,也可以设置成ro.bo
MTK Android为某个APP单独添加selinux配置文件
zmlovelx(帅得不敢出门 程序员群31843264)
03-15 1381
test是一个system APP, 涉及到许多个selinux的权限,不想影响所有的system APP的权限,需要单独为test设定selinux
Android Activity绕过系统验证的Hook技术解析
- **系统安全机制**:随着Android系统安全性的加强,如ART、SELinux等安全机制对Hook技术的支持有所限制。 - **性能开销**:Hook技术可能会引入额外的性能开销,影响应用性能。 - **稳定性风险**:不当的Hook实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值