Android R(11)HIDL服务的sepolicy(五)

已于 2022-01-22 20:45:15 修改
阅读量2.5k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: AndroidHIDLAbout 文章标签: android cpp aidl framework hardware
于 2022-01-03 22:08:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014787262/article/details/122293699
本文介绍了Android从4.4版本开始引入的强制访问控制(MAC)框架——SELinux,它与传统的自主访问控制(DAC)结合,提升了系统文件和程序的安全性。SELinux通过严格的策略规则限制进程访问,支持调试和产品两种模式。文章详细阐述了SELinux的基本概念,如DAC与MAC的区别、标签系统和域类型,并展示了如何在Android中添加自定义的sepolicy规则。此外,还提供了查看系统标签的工具和示例,帮助理解SELinux在实际操作中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  在Android安全组件中,除了使用传统DAC(Discretionary Access Control)的方式来保护系统文件。但在版本4.4及以后还引入并开启了MAC(Mandatory Access Control)安全框架,使用DAC+MAC组合的方式来保护系统文件及可执行程序的安全。其中被Android所采用的MAC保护框架为SELinux(Security-Enhanced Linux)。

1.Security-Enhanced Linux in Android

  开启了MAC框架后,即使是Root用户或具备super权限的进程也会需要完全遵照sepolicy的规则来访问文件。SELinux可以为Android带来如下好处
  a).更好地保护和限制系统服务。
  b).控制对应用数据和系统日志的访问、降低恶意软件的影。
  c).保护用户免遭移动设备上的代码可能存在的缺陷的影响。

  SELinux设计时的控制原则为:任何没有被规则允许的操作都会被禁止。但是SELinux框架是支持两种控制模式的
  1.Permissive mode, 在不被允许的操作发生后,只是log方式提示,但不禁止。这种模式也只用于调试阶段。
  2.Enforcing mode, 在不被允许的操作发生后,除了log方式提示,并且禁止该操作。这种模式则是产品阶段。

2.SELinux 的基本概念

2.1 DAC和MAC的区别

  DAC方式,存在所有权的概念,即特定资源的所有者可以控制与该资源关联的访问权限。这种系统通常比较粗放,并且容易出现无意中提权的问题。MAC框架方式则会严格按照预先定义好的sepolicy来允许/拒绝操作。受DAC和MAC同时保护的系统中不会出现获取root的进程能为所欲为的场景。例如,软件通常情况下必须以Root用户帐号的身份运行,才能向原始块设备写入数据。但在基于DAC的传统系统中,如果Root用户遭到入侵,攻击者便可以利用该用户身份向每个原始块设备写入数据。但是在MAC系统中可以使用sepolicy为这些设备添加标签,即使被分配了 Root权限的进程也只可以向相关政策中指定的设备写入数据。这样一来,该进程便无法重写特定原始块设备之外的数据和系统设置。

2.2 Labels, rules, and domains

  SELinux依靠标签(Labels)来匹配操作和政策。标签用于决定允许的事项。套接字(socket)、文件(file)和进程(process)在SELinux中都有标签。SELinux在做决定时需参照以下两点:
  a)为对象(socket/file/process/etc…)分配正确的标签。
  b)定义对象的交互政策。

  在 SELinux 中,标签采用以下形式
user:role:type:mls_level,主要注意下type就行了。一个基本的规则如下

allow domains types:classes permissions;

其中:
  Domain: 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型。
  Type: 一个对象(例如,文件、套接字)或一组对象的标签。
  Class: 要访问的对象(例如,文件、套接字)的类型。
  Permission: 要执行的操作(例如,读取、写入)。
下面则是一个具体的使用实例

allow appdomain app_data_file:file rw_file_perms;

这表示所有appdomain都可以读取和写入带有 app_data_file 标签的文件。一个 domain 通常对应一个进程,而且具有与其关联的标签。至此sepolicy的基本规则也说的差不多了,下面进入正题。

3.添加sepolicy规则到Android

  sepolicy的添加也需要使用到Android的编译系统,下面则是添加自定义sepolicy的写法

//test/flagstaffTest/BoardConfig.mk 
BOARD_VENDOR_SEPOLICY_DIRS += \
    test/flagstaffTest/sepolicy

  BOARD_VENDOR_SEPOLICY_DIRS关键字用于告知编译系统哪些目录下包含sepolicy,对于测试代码的sepolicy都放置于目录test/flagstaffTest/sepolicy下。其结构如下

flagstaff@flagstaff-pc:~/aosp_r.lns/test/flagstaffTest$ tree sepolicy/
sepolicy/
├── file_contexts
├── hal_customehardware_default.te
├── hwservice_contexts
└── hwservice.te

3.1.file_contexts

//file:file_contexts
type hal_customehardware_hwservice, hwservice_manager_type;

  定义标签hal_customehardware_hwservice,并且其继承自标签hwservice_manager_type,即针对hwservice_manager_type标签的规则也适用于hal_customehardware_hwservice。hwservice_manager_type则是android团队专门为HIDL服务预制的宏定义,其内部包含了HIDL服务必须的权限规则。

3.2.hal_customehardware_default.te

//file:hal_customehardware_default.te
type hal_customehardware_default, domain;
type hal_customehardware_default_exec,exec_type,vendor_file_type,file_type;
init_daemon_domain(hal_customehardware_default);
allow hal_customehardware_default hwservicemanager:binder { call transfer };
//允许标签为hal_customehardware_default的进程访问标签为hwservicemanager_prop的属性。
get_prop(hal_customehardware_default, hwservicemanager_prop)
/*
    Ability for domain to add a service to hwservice_manager
    and find it. It also creates a neverallow preventing
    others from adding it.
*/
add_hwservice(hal_customehardware_default, hal_customehardware_hwservice);

  1.定义标签hal_customehardware_default ,并且继承自 domain。domain则代表可执行程序。
  2.定义标签hal_customehardware_default_exec,并且继承自exec_type,vendor_file_type,file_type。该标签作用于文件。
  3.init_daemon_domain 则是宏定义,使用m4语言书写,展开如下

//file:system/sepolicy/public/te_macros
define(`domain_trans', `
allow $1 $2:file { getattr open read execute map };
allow $1 $3:process transition;
allow $3 $2:file { entrypoint open read execute getattr map };
ifelse($1, `init', `', `allow $3 $1:process sigchld;')
dontaudit $1 $3:process noatsecure;
allow $1 $3:process { siginh rlimitinh };
')
define(`domain_auto_trans', `
domain_trans($1,$2,$3)
type_transition $1 $2:process $3;
')
define(`init_daemon_domain', `
domain_auto_trans(init, $1_exec, $1)
')

  所以init_daemon_domain(hal_customehardware_default)展开如下

init_daemon_domain(hal_customehardware_default)
    allow init hal_customehardware_default_exec:file { getattr open read execute map };
    allow init hal_customehardware_default:process transition;
    allow hal_customehardware_default hal_customehardware_default_exec:file { entrypoint open read execute getattr map };
    allow hal_customehardware_default init:process sigchld;
    dontaudit init hal_customehardware_default:process noatsecure;
    allow init hal_customehardware_default:process { siginh rlimitinh };
    type_transition init hal_customehardware_default_exec:process hal_customehardware_default;

  展开后宏的意图就很明朗了,主要还是为HIDL服务添加必须的规则,提炼公共部分,减少代码量。

3.3.hwservice_contexts

//file:hwservice_contexts
flagstaff.hardware.custom_hardware::ICustomHardware   u:object_r:hal_customehardware_hwservice:s0

  为HIDL接口添加sepolicy,在android中任何资源都是被管控的,管控的越细腻,系统的安全度也就越高。

3.4.hwservice.te

//file:hwservice.te
/vendor/bin/hw/flagstaff.hardware.custom_hardware@1.0-service         u:object_r:hal_customehardware_default_exec:s0

  为可执行程序flagstaff.hardware.custom_hardware@1.0-service的标签为u:object_r:hal_customehardware_default_exec:s0。
 经过上述配置后,flagstaff.hardware.custom_hardware@1.0-service运行时标签为hal_customehardware_default。

4.规则查看工具

4.1 查看文件的标签

ls -Z

4.2 查看执行程序的标签

ps -Z

  另外如果有问题,欢迎留言或者email(836190520@qq.com)我,技术升级在于交流~~

Android HAL深入探索(6): HIDL 添加SELinux 完整调试过程
我其实什么都不会
09-11 1377
在本文中,我将介绍如何为一个新的HIDL服务添加SELinux策略(分享标准和平台方式),以确保它能够在Android系统中正常运行。我将以`canbus`服务为例,展示从报错到解决的完整流程。
aidl android 怎么mk编译,使用AndroidHIDL+AIDL方式编写从HAL层到APP层的程序
weixin_29327525的博客
05-26 846
先实现HIDL,打通从HAL到framework层可以把自己的HIDL模块建立在hardware/interfaces/、frameworks/hardware/interfaces/、 system/hardware/interfaces/、 system/libhidl/transport/或者是vendor//proprietary/hardware/interfaces/等目录下。建立H...
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
Android sepolicy实战演练
lidepeng139的博客
09-20 321
service.te添加type rcu_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;system_server.te中添加allow system_server default_android_service:service_manager add;service_contexts添加rcu u:object_r:rcu_service:s0。
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
Android 应用(1)——安全策略sepolicy
横山郡守的博客
04-22 3130
https://blog.youkuaiyun.com/weixin_38148680/article/details/80257685 http://www.voidcn.com/article/p-stzeacwv-xe.html https://blog.youkuaiyun.com/keheinash/article/details/101108686 https://blog.youkuaiyun.com/rikeyone/article/details/84337115 https://blog.youkuaiyun.com/u0112164
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1830
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
Android 9 HAL开发添加HIDL实现过程
qq_28334473的博客
03-03 2021
本文将介绍如何在Android P OS上添加HIDL详细实现过程,简单增加seLinux策略使得可以在system_service调用测试,并用模拟器emulator验证。完善了一些参考原文的错误,避免后续的读者少走弯路。 经过相关的实现,读者可以清晰的了解并实践底层hal到最上层APP的调用。 调用过程为 APP->TestManager->TestService->ITest.hal ———————————————— 文章目录实现过程一 、hardware部分1.1 编写 .hal1
Android9.0 HAL添加HIDL项目实例
qq_42835157的博客
12-03 4005
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入一.hidl简...
Android 11 添加系统开机启动的Service方案
kevin's cache的专栏
03-16 8755
android11 添加了开机启动的service,涉及添加过程中遇到的编译,安全规则语法等多个问题
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
android.policy 编译,android sepolicy 的编译
weixin_32150027的博客
05-26 1334
1: 创建目录mkdir -p out/target/product/elite1000/obj/ETC/sepolicy_intermediates/2:用m4命令 编译se文件,生成policy.conf 文件m4 -D mls_num_sens=1 -D mls_num_cats=1024 -s external/sepolicy/security_classes external/sepo...
Android sepolicy规则
maokunlove的专栏
07-25 5537
1. 节点访问权限 [77037.274119] [(2015-01-20 09:17:42.876329323 UTC)] [cpuid: 2] type=1400 audit(1421745462.859:2172964): avc: denied { write } for pid=15848 comm=“system_server” name=“enable” dev=“sysf
android sepolicy 的编译
雪琴的博客
07-13 1万+
Android 4.3 为例,来说明sepolicy的编译 背景: sepolicy是所有的策略语言编译之后生成的二进制文件,最终被导入到kernel中,当某个操作发生时,seandroid会根据这个文件进行检查该操作是否被允许; 那么如何将所有的策略语言编译成sepolicy 一:编译 其实和android的源码编译一样,使用的
selinux - Android编写sepolicy
Zpeg的博客
07-20 4865
为service编写sepolicy 由init启动的service服务要在各自的selinux domain中运行。
Android 系统添加访问设备属性的 sepolicy 权限
程序员大神的博客
10-02 588
以 mtk 平台为例介绍如何添加访问设备属性的 sepolicy 权限。
android sepolicy 打包生成,构建 SELinux 政策
weixin_29045585的博客
05-28 1022
本文介绍了如何构建 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行构建。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策构建流程合并了所有 sepolicy Fragment,然后在根目录中生成了整体文件。这意味着 SoC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/...
android sepolicy system_app,新增HIDL service需要修改的sepolicy文件整理
weixin_39552874的博客
05-27 904
以添加 “android.hardware.lightnew@1.0-service” 为例,替换 lightnew 为自定义名称即可1. system/sepolicy/public/attributes2.system/sepolicy/prebuilts/api/29.0/public/attributes+hal_attribute(lightnew);//hal_attribute...
Android系统下在te文件中为指定服务添加sepolicy权限 ~~~~mark 详细
weixin_42082222的博客
12-12 2046
Android系统下在te文件中为指定服务添加sepolicy权限 发布时间:2018-01-18 来源:网络 上传者:用户 关键字: sepolicy 指定 权限 添加 Android 文件 系统 服务 发表文章 摘要:【正文】设备在播放视频时有异常,使用Logcat查看日志时发现了如下记录:04-2714:01:59.13628252825ESELinux:avc:denied{...
HIDL服务启动失败,日志提示Permission denied。
最新发布
03-13
<think>好的,用户遇到了HIDL服务启动时权限被拒绝的问题,需要解决方案。首先,我得回忆一下HIDL服务Android系统中的运行机制和相关权限配置。根据用户提供的引用,特别是引用[4]中提到的hwservicemanager.ready属性和等待的代码,可能涉及到服务管理器启动顺序或权限问题。 首先,HIDL服务需要正确的SELinux策略。如果服务的执行文件或进程没有适当的SELinux上下文,或者策略规则不允许访问所需资源,就会导致权限问题。所以需要检查SELinux的avc denied日志,确认是否有相关拒绝条目,并添加相应的策略规则。这可能包括在.te文件中允许域访问某些资源,或者使用neverallow例外。 其次,HIDL服务的manifest.xml文件是否正确声明了权限。例如,在vendor manifest中添加<hal>标签,确保服务名称和版本正确,并且有必要的hwbinder配置。引用[4]中的hwservicemanager可能涉及HIDL服务的注册,如果服务没有正确声明,可能导致启动失败。 另外,服务二进制文件的权限和属主也需要检查。执行文件应该有可执行权限,并且属于正确的用户和组,比如system或vendor。例如,使用chmod 755和chown system:system来设置。 还有可能需要等待hwservicemanager就绪。如果服务启动过早,可能在hwservicemanager准备好之前尝试注册,导致失败。在init.rc中添加适当的依赖,确保服务在hwservicemanager之后启动,或者加入等待逻辑,如引用[4]中的循环等待属性变化。 最后,查看内核日志和logcat输出,定位具体的错误信息。如果服务启动时缺少依赖的动态库,也可能导致权限错误,需要确保所有依赖库存在且路径正确。 总结可能的解决步骤:检查SELinux策略、验证manifest配置、设置文件权限、调整启动顺序、检查依赖库。同时,用户可能需要具体分析日志来针对性解决。</think>针对HIDL服务启动时出现"Permission denied"的问题,以下是分步解决方案: 1. **检查SELinux策略配置** - 查看内核日志获取avc denied信息:`adb shell dmesg | grep avc` - 在对应的SELinux策略文件(如`vendor/sepolicy/domain.te`)添加允许规则,例如: ```te allow hidl_service hwservicemanager_prop:file { read getattr }; allow hidl_service hwservice_manager:hwservice_manager { add }; ``` - 注意Android 11后需使用`neverallowx`例外声明[^4] 2. **验证HIDL服务manifest配置** 在`vendor/etc/vintf/manifest.xml`中确保包含: ```xml <hal format="hidl"> <name>android.hardware.hello</name> <transport>hwbinder</transport> <version>1.0</version> <interface> <name>IHello</name> <instance>default</instance> </interface> </hal> ``` 3. **设置文件系统权限** 在`init.rc`或服务启动脚本中配置: ``` service hello_hal /vendor/bin/hw/android.hardware.hello@1.0-service class hal user system group system capabilities net_raw seclabel u:r:hal_hello:s0 ``` 4. **添加hwservicemanager依赖** 在服务启动脚本中加入等待逻辑: ```cpp // 等待hwservicemanager就绪 while (!property_get_bool("hwservicemanager.ready", false)) { usleep(100000); } ``` 5. **验证服务注册流程** 确保HIDL服务正确实现`registerAsService()`方法: ```cpp int main() { android::sp<IHello> service = new Hello(); status_t status = service->registerAsService(); if (status != OK) { ALOGE("Failed to register service: %d", status); return -1; } //... } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值