Android R(11)HIDL服务的sepolicy(五)

Android安全增强:SELinux在Android中的应用与实践
原创 已于 2022-01-22 20:45:15 修改 · 2.6k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #cpp #aidl #framework #hardware

于 2022-01-03 22:08:22 首次发布
本文介绍了Android从4.4版本开始引入的强制访问控制(MAC)框架——SELinux,它与传统的自主访问控制(DAC)结合,提升了系统文件和程序的安全性。SELinux通过严格的策略规则限制进程访问,支持调试和产品两种模式。文章详细阐述了SELinux的基本概念,如DAC与MAC的区别、标签系统和域类型,并展示了如何在Android中添加自定义的sepolicy规则。此外,还提供了查看系统标签的工具和示例,帮助理解SELinux在实际操作中的应用。

  在Android安全组件中,除了使用传统DAC(Discretionary Access Control)的方式来保护系统文件。但在版本4.4及以后还引入并开启了MAC(Mandatory Access Control)安全框架,使用DAC+MAC组合的方式来保护系统文件及可执行程序的安全。其中被Android所采用的MAC保护框架为SELinux(Security-Enhanced Linux)。

1.Security-Enhanced Linux in Android

  开启了MAC框架后,即使是Root用户或具备super权限的进程也会需要完全遵照sepolicy的规则来访问文件。SELinux可以为Android带来如下好处
  a).更好地保护和限制系统服务。
  b).控制对应用数据和系统日志的访问、降低恶意软件的影。
  c).保护用户免遭移动设备上的代码可能存在的缺陷的影响。

  SELinux设计时的控制原则为:任何没有被规则允许的操作都会被禁止。但是SELinux框架是支持两种控制模式的
  1.Permissive mode, 在不被允许的操作发生后,只是log方式提示,但不禁止。这种模式也只用于调试阶段。
  2.Enforcing mode, 在不被允许的操作发生后,除了log方式提示,并且禁止该操作。这种模式则是产品阶段。

2.SELinux 的基本概念

2.1 DAC和MAC的区别

  DAC方式,存在所有权的概念,即特定资源的所有者可以控制与该资源关联的访问权限。这种系统通常比较粗放,并且容易出现无意中提权的问题。MAC框架方式则会严格按照预先定义好的sepolicy来允许/拒绝操作。受DAC和MAC同时保护的系统中不会出现获取root的进程能为所欲为的场景。例如,软件通常情况下必须以Root用户帐号的身份运行,才能向原始块设备写入数据。但在基于DAC的传统系统中,如果Root用户遭到入侵,攻击者便可以利用该用户身份向每个原始块设备写入数据。但是在MAC系统中可以使用sepolicy为这些设备添加标签,即使被分配了 Root权限的进程也只可以向相关政策中指定的设备写入数据。这样一来,该进程便无法重写特定原始块设备之外的数据和系统设置。

2.2 Labels, rules, and domains

  SELinux依靠标签(Labels)来匹配操作和政策。标签用于决定允许的事项。套接字(socket)、文件(file)和进程(process)在SELinux中都有标签。SELinux在做决定时需参照以下两点:
  a)为对象(socket/file/process/etc…)分配正确的标签。
  b)定义对象的交互政策。

  在 SELinux 中,标签采用以下形式
user:role:type:mls_level,主要注意下type就行了。一个基本的规则如下

allow domains types:classes permissions;

其中:
  Domain: 一个进程或一组进程的标签。也称为域类型,因为它只是指进程的类型。
  Type: 一个对象(例如,文件、套接字)或一组对象的标签。
  Class: 要访问的对象(例如,文件、套接字)的类型。
  Permission: 要执行的操作(例如,读取、写入)。
下面则是一个具体的使用实例

allow appdomain app_data_file:file rw_file_perms;

这表示所有appdomain都可以读取和写入带有 app_data_file 标签的文件。一个 domain 通常对应一个进程,而且具有与其关联的标签。至此sepolicy的基本规则也说的差不多了,下面进入正题。

3.添加sepolicy规则到Android

  sepolicy的添加也需要使用到Android的编译系统,下面则是添加自定义sepolicy的写法

//test/flagstaffTest/BoardConfig.mk 
BOARD_VENDOR_SEPOLICY_DIRS += \
    test
最低0.47元/天 解锁文章
Android HAL深入探索(6): HIDL 添加SELinux 完整调试过程
我其实什么都不会
09-11 1582
在本文中,我将介绍如何为一个新的HIDL服务添加SELinux策略(分享标准和平台方式),以确保它能够在Android系统中正常运行。我将以`canbus`服务为例,展示从报错到解决的完整流程。
Android 应用(1)——安全策略sepolicy
横山郡守的博客
04-22 3254
https://blog.youkuaiyun.com/weixin_38148680/article/details/80257685 http://www.voidcn.com/article/p-stzeacwv-xe.html https://blog.youkuaiyun.com/keheinash/article/details/101108686 https://blog.youkuaiyun.com/rikeyone/article/details/84337115 https://blog.youkuaiyun.com/u0112164
Android 系统添加访问设备属性的 sepolicy 权限
程序员大神的博客
10-02 669
以 mtk 平台为例介绍如何添加访问设备属性的 sepolicy 权限。
android sepolicy(selinux)快速配置方法
10-29
根据Android 的main log 或 kernel log,快速配置所需的sepolicy权限。
浅谈SEAndroid安全机制及应用方法
阿路
04-05 1229
浅谈SEAndroid安全机制及应用方法 内容提纲: ➢SEAndroid/SELinux简介 ➢SEAndroid/SELinux框架 ➢SELinux Policy介绍 ➢安全策略文件(TE文件) ➢SELinux安全问题分析 ​ ➢SELinux设备文件权限解决办法 ​ ➢SELinux服务权限解决办法 ​ ➢SELinux可执行权限解决办法 ➢补充 ​ ➢客体类型添加 一.SEAn...
android sepolicy 的编译
雪琴的博客
07-13 1万+
Android 4.3 为例,来说明sepolicy的编译 背景: sepolicy是所有的策略语言编译之后生成的二进制文件,最终被导入到kernel中,当某个操作发生时,seandroid会根据这个文件进行检查该操作是否被允许; 那么如何将所有的策略语言编译成sepolicy 一:编译 其实和android的源码编译一样,使用的
Android sepolicy实战演练
lidepeng139的博客
09-20 390
service.te添加type rcu_service, app_api_service, ephemeral_app_api_service, system_server_service, service_manager_type;system_server.te中添加allow system_server default_android_service:service_manager add;service_contexts添加rcu u:object_r:rcu_service:s0。
Android 9 HAL开发添加HIDL实现过程
qq_28334473的博客
03-03 2088
本文将介绍如何在Android P OS上添加HIDL详细实现过程,简单增加seLinux策略使得可以在system_service调用测试,并用模拟器emulator验证。完善了一些参考原文的错误,避免后续的读者少走弯路。 经过相关的实现,读者可以清晰的了解并实践底层hal到最上层APP的调用。 调用过程为 APP->TestManager->TestService->ITest.hal ———————————————— 文章目录实现过程一 、hardware部分1.1 编写 .hal1
Android9.0 HAL添加HIDL项目实例
qq_42835157的博客
12-03 4082
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入一.hidl简...
Android HAL 与 HIDL 开发笔记
有价值炮灰
11-01 2530
前言 之前分析过 Android 系统中的进程间通信逆向,即基于 Binder 拓展的以及 AIDL 描述的 IPC。了解 Android 系统的话应该知道在 8.0 之后,/dev/binder 拓展多出了两个域,分别是 /dev/hwbinder 和 /dev/vndbinder 。其中 hwbinder 主要用于 HIDL 接口的通信,而 vndbinder 则是专注于 vendor 进程之间的 AIDL 通信。 本文主要关注的是硬件部分。具体来说,就是作为一个 OEM/ODM 厂商,如何将自己的硬件
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
SELinux_Treble.pdf (Android8.0 sepolicy权限新特性,权限配置指导)
02-28
详细介绍了Android8.0 sepolicy权限新特性,sepolicy权限在Android8.0上面新的变化,指导开发者对Android8.0 sepolicy权限进行配置
Android SePolicy验证方法
weixin_39690295的博客
01-15 1952
Android SePolicy验证方法 Android P之后,Selinux权限控制,需要编译以下的目录加以验证 1.编译 make sepolicy 2.编译 system/etc 3.编译 vendor/etc 4.adb push out/tartget/product/XXX/system/etc/selinux/ system/etc/selinux/ adb push out/tartget/product/XXX/vendor/etc/selinux/ vendor/etc/seli
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 2075
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
android.policy 编译,android sepolicy 的编译
weixin_32150027的博客
05-26 1380
1: 创建目录mkdir -p out/target/product/elite1000/obj/ETC/sepolicy_intermediates/2:用m4命令 编译se文件,生成policy.conf 文件m4 -D mls_num_sens=1 -D mls_num_cats=1024 -s external/sepolicy/security_classes external/sepo...
android sepolicy 最新小结
pan0755的博客
10-21 1929
文章目录 两种模式 SELinux initialization 标签、规则和域 实现 SELinux neverallow 规则 编译sepolicy Source files Platform public sepolicy Platform private sepolicy Platform private mapping sepolicy兼容性 File ...
Android sepolicy规则
maokunlove的专栏
07-25 5607
1. 节点访问权限 [77037.274119] [(2015-01-20 09:17:42.876329323 UTC)] [cpuid: 2] type=1400 audit(1421745462.859:2172964): avc: denied { write } for pid=15848 comm=“system_server” name=“enable” dev=“sysf
selinux - Android编写sepolicy
Zpeg的博客
07-20 5026
为service编写sepolicy 由init启动的service服务要在各自的selinux domain中运行。
android sepolicy 打包生成,构建 SELinux 政策
weixin_29045585的博客
05-28 1099
本文介绍了如何构建 SELinux 政策。SELinux 政策组合使用核心 AOSP 政策(平台)和设备专用政策(供应商)进行构建。从 Android 4.4 一直到 Android 7.0 的 SELinux 政策构建流程合并了所有 sepolicy Fragment,然后在根目录中生成了整体文件。这意味着 SoC 供应商和 ODM 制造商每次修改政策时,都修改了 boot.img(针对非 A/...
android 9 hidl报错Cannot find entry
最新发布
07-16
<think>我们正在解决Android 9中使用HIDL时出现的'Cannot find entry'错误。 根据引用[1]中的信息,类似错误可能是由于VNDK库列表不一致导致的。在Android构建系统中,VNDK(Vendor Native Development Kit)库是供应商实现HAL所依赖的核心库。如果HAL模块被错误地添加到VNDK列表中,但未在相应的current.txt或版本特定的txt文件(如30.txt)中列出,就会导致编译错误。 但是,用户遇到的是运行时错误('Cannot find entry'),而不是编译错误。因此,我们需要从运行时加载HIDL服务的角度来考虑。 常见原因: 1. HAL服务未正确注册:HIDL服务需要在设备启动时注册到hwservicemanager中。如果服务没有注册,客户端尝试获取服务时就会报告“Cannot find entry”。 2. SELinux策略限制:SELinux可能阻止了服务进程的启动或注册。 3. 服务二进制文件缺失或权限问题:HAL服务可执行文件可能不在系统分区中,或者没有执行权限。 4. 服务未启动:可能是init.rc脚本中服务定义有误,导致服务未启动。 解决方案步骤: 步骤1:检查服务是否注册 在设备上执行: ```shell adb shell hidl-ls ``` 或者对于特定接口(假设接口为android.hardware.foo@1.0::IFoo): ```shell adb shell hidl-ls android.hardware.foo@1.0::IFoo ``` 如果列表中不存在,则服务未注册。 步骤2:检查服务进程是否运行 使用ps命令查看服务进程是否在运行。例如,如果服务进程名为vendor.foo_service,则: ```shell adb shell ps -A | grep foo_service ``` 步骤3:检查init.rc文件 确保在设备的vendor/etc/init/目录下有对应的init.rc文件(例如vendor.foo_service.rc),并且其中定义了服务启动命令和接口注册。 示例init.rc文件内容: ``` service vendor.foo_service /vendor/bin/hw/foo_service class hal user system group system ``` 步骤4:检查SELinux策略 查看日志中是否有avc拒绝信息: ```shell adb logcat | grep avc ``` 如果有,需要添加相应的SELinux规则。 步骤5:检查manifest.xml文件 确保在vendor/manifest.xml(或类似的位置)中声明了HIDL服务。例如: ```xml <hal format="hidl"> <name>android.hardware.foo</name> <transport>hwbinder</transport> <version>1.0</version> <interface> <name>IFoo</name> <instance>default</instance> </interface> </hal> ``` 步骤6:检查HIDL_FETCH_*函数 在服务实现中,必须实现HIDL_FETCH_*函数(例如HIDL_FETCH_IFoo)并返回接口的实例。确保该函数被正确实现且没有返回nullptr。 步骤7:检查服务可执行文件 确保服务可执行文件被正确推送到设备的/vendor/bin/hw/目录下,并具有执行权限(权限应为755)。 如果以上步骤都检查无误,问题应该可以解决。 引用[2]和[3]提到了HAL实现文件的位置,这提醒我们在开发HIDL服务时,代码应放在正确的目录下(如vendor/.../interfaces/...)。同时,引用[4]提到了系统启动的早期阶段,如果服务需要在引导早期启动,应确保它被放置在正确的启动类中(如`class hal`)。 根据经验,最常见的错误是init.rc文件配置错误或SELinux权限问题。 如果问题仍然存在,请提供更详细的错误日志,以便进一步分析。 生成相关问题: 1. 如何调试HIDL服务无法注册的问题? 2. 在Android HIDL开发中,如何正确配置init.rc文件? 3. 如何为HIDL服务添加SELinux策略? 4. Android HIDL服务的启动过程是怎样的?</think>### Android 9 HIDL "Cannot find entry" 错误解决方案 该错误通常发生在 HIDL 服务未正确注册或客户端无法定位服务实现时,以下是系统级排查方案: #### 1. **检查 HIDL 服务注册状态** - 在设备上执行命令验证服务是否注册: ```shell adb shell hidl-ls -r # 列出所有已注册的 HIDL 服务 ``` 若目标服务(如 `android.hardware.foo@1.0::IFoo`)未列出,说明服务未正确注册。 #### 2. **验证 manifest 声明** - 确保在 `manifest.xml` 中声明了 HIDL 接口: ```xml <!-- 示例:vendor/manifest.xml --> <hal format="hidl"> <name>android.hardware.foo</name> <transport>hwbinder</transport> <version>1.0</version> <interface> <name>IFoo</name> <instance>default</instance> </interface> </hal> ``` 文件路径参考:`vendor/<vendor>/<device>/manifest.xml`[^3] #### 3. **检查 init.rc 服务启动** - 确认服务在 `init.rc` 中正确启动: ```rc # 示例:vendor/etc/init/hw/foo_service.rc service vendor.foo_service /vendor/bin/hw/foo_service class hal user system group system ``` - 重启服务并检查日志: ```shell adb shell stop vendor.foo_service adb shell start vendor.foo_service adb logcat | grep foo_service ``` #### 4. **验证 SELinux 策略** - 检查 avc 拒绝日志: ```shell adb shell dmesg | grep avc ``` - 添加缺失策略(示例): ```te # 文件:device/<vendor>/sepolicy/vendor/foo_service.te allow foo_service hwservicemanager_prop:file read; allow foo_service hwservice_manager:service_manager add; ``` #### 5. **检查 VNDK 兼容性** - 确认 `current.txt` 包含所需库(Android 9 对应 `28.txt`): ```txt # 文件:build/make/target/product/vndk/28.txt libhidlbase.so libhidltransport.so ``` 若缺失关键库,需在 `device.mk` 添加: ```makefile PRODUCT_PACKAGES += libhidlbase libhidltransport ``` 此错误通常由 VNDK 库列表不一致引起[^1]。 #### 6. **验证 HIDL_FETCH_ 实现** - 在服务实现中确保导出符号: ```cpp // 文件:vendor/xxx/hardware/foo/1.0/service.cpp extern "C" IFoo* HIDL_FETCH_IFoo(const char* /* name */) { return new FooImplementation(); // 必须返回有效实例 } ``` - 检查映射文件: ```map # 文件:vendor/xxx/hardware/foo/1.0/Android.bp symbols_file: "foo.hidl.28.map.txt" ``` #### 7. **清除构建缓存** - 删除中间文件后重新编译: ```shell make clean make -j24 ``` > **关键日志定位**:搜索 `hwservicemanager` 相关日志: > ```shell > adb logcat | grep -E 'hwservicemanager|HIDL' > ``` --- ### 相关问题 1. 如何调试 HIDL 服务的 SELinux 权限问题? 2. Android 9 的 VNDK 机制与旧版本有何区别? 3. HIDL 服务注册失败时如何分析 `hwservicemanager` 日志? 4. 如何为自定义 HIDL 接口编写正确的 `manifest.xml` 声明? [^1]: VNDK 库列表不一致导致的编译错误 [^2]: HAL 实现文件路径参考 [^3]: HIDL 接口定义文件位置 [^4]: 系统服务启动阶段说明
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值