技术标签: SELinux HAL android HIDL 安全规则 嵌入式 Android
注意:本文基于 Android 8.1 进行分析
Qidi 2020.07.20 (Markdown & Haroopad)
Android 上使用 SELinux 来管理权限。 尽管在上一篇文章《Android 8.1 从零开始写 HAL – (4) 编译与打包》中, demoComponent HAL 已经成功编译且打包到系统镜像中,但到目前为止还没有被赋予访问 Binder 的权限。所以我们至少会看到,在将 demoService 注册为 Binder 服务时,日志中会打印类似下方的提示:
[ 10.368517] type=1400 audit(1483292256.112:14): avc: denied { add } ...
这篇文章就是要说明完善 demoComponent HAL 所需要的 SELinux 权限的方法。
依各公司习惯不同,用于配置产品权限的文件一般放在 /device/<CompanyName>/sepolicy/
或 /device/<CompanyName>/common/sepolicy/
目录下(也不排除是其它路径的可能性,但肯定是在 device/
目录下的某个 sepolicy/
子目录)[1]。在这个目录下,再为不同的部件分别创建相应的子目录,并在这个子目录中新建 *.te
文件和 *_contexts
文件,以添加必要的权限。
还是以我正在使用的平台为例,创建新目录 /device/harman/sepolicy/demoComponent/
,并在该目录下新建如下图所示的文件:
说明下各文件的内容和作用:
file_contexts:
首先编写 file_contexts
文件。这个文件名是由 SELinux 框架固定的。我们在 file_contexts
中将 demoService 的可执行文件定义为安全对象。
# define demoService executable binary as a security object
/vendor/bin/hw/[email protected] u:object_r:demoService_exec:s0
hwservice_contexts:
然后,因为 demoComponent HAL 依赖 hwbinder 进行通信,所以我们还需要编写 hwservice_contexts
。这个文件名也是由 SELinux 框架固定的。我们在这个文件中将新增的接口定义为一个安全对象,作用和 file_contexts
类似。(如果使用 vndbinder,则应编写 vndservice_contexts
)
从 Android 8.0 开始,SELinux 也一分为二成为了 system 部分和 vendor 部分。其中 vendor 部分又因为不同部件使用的 binder 节点不同,从原先唯一的的 service_contexts
中剥离出了 hwservice_contexts
和 vndservice_contexts
两个文件。当使用 /dev/hwbinder
时手动创建前者并在文件中添加定义,当使用 /dev/vndbinder
时创建后者并同样在文件中添加定义。
# define HAL interface as a security object
vendor.harman.hardware.demoComponent.demoService::IDemoServiceDef u:object_r:vendor_demoService_hwservice:s0
hwservicemanager.te:
由于我们使用的是 hwbinder 节点,所以还应该编写 hwservicemanager.te
。文件名也是固定的。在这个文件中声明 demoService 需要使用 hwbinder。(如果使用 vndbinder,则应编写 vndservicemanager.te
)
# grant demoService permission of using hwbinder
hwbinder_use(demoService)
hwservice.te:
同理,编写 hwservice.te
。文件名依然是固定的。在这个文件中为 demoService 定义了专属的 hwservice 类型,在添加 “注册服务” 权限时会用到。(如果使用 vndbinder,则应编写 vndservice.te
)
# define demoService as hwservice_manager, so it can be added as a hwservice
type vendor_demoService_hwservice, hwservice_manager_type;
demoService.te:
接着编写 demoService.te
文件。 这个文件通常以需要添加权限的对象为名。在这个文件中,我们为 demoService 定义了一个专属的安全域,赋予可 demoService 的执行文件以需要的文件属性,并且为 demoService 域添加和 Binder 操作相关的必要权限,比如 “注册为服务”、“允许 hwbinder 调用” 等。
不同的 HAL 进程或本地服务要操作的文件不同,其实现的作用也不同,所以这个文件里的内容差异也很大。依照最小权限规则,根据自己的实际需要添加权限即可。[2]
# define a security domain for demo service
type demoService, domain;
# specify demo service attributes
type demoService_exec, exec_type, file_type, vendor_file_type;
# initialize demo service domain
init_daemon_domain(demoService)
add_hwservice(demoService, vendor_demoService_hwservice)
binder_call(demoService, vndservicemanager)
binder_call(demoService, hwservicemanager)
binder_call(demoService, system_app)
allow demoService vndbinder_device:chr_file rw_file_perms;
allow demoService hwservicemanager_prop:file r_file_perms;
system_app.te:
最后,还要为用户进程添加调用权限。因为在下一篇文章《Android 8.1 从零开始写 HAL – (6) 测试HAL》中我会以 APP 对 demoService 的调用为例说明调用过程,所以这里新建 system_app.te
。为 system_app 添加通过 hwservice_manager 查找服务、以及通过 binder 调用 demoService 的权限。
# APP access priviledges for demoService
binder_call(system_app, demoService)
allow system_app vendor_demoService_hwservice:hwservice_manager find;
为了使新增的安全规则生效,需要将刚刚创建的目录添加到 Makefile 中,这样一来编译镜像时就可以扫描到了。我们一般把这个改动添加到 /device/<CompanyName>/<PlatformName>/<ProductName>/BoardConfig.mk
。
这里我改动的文件是 /device/harman/broxton/XXXX/BoardConfig.mk
,修改部分如下:
diff --git a/XXXX/BoardConfig.mk b/XXXX/BoardConfig.mk
index 4979507a7..8e700f22d 100755
--- a/XXXX/BoardConfig.mk
+++ b/XXXX/BoardConfig.mk
@@ -72,6 +72,12 @@ BOARD_SEPOLICY_DIRS += device/harman/sepolicy/vold
INTEL_AUDIO_HAL=imc
BOARD_SEPOLICY_DIRS += device/harman/sepolicy/audio
+
+########################################################
+# DemoService
+########################################################
+BOARD_SEPOLICY_DIRS += device/harman/sepolicy/demoComponent
+
完全编译后,烧写镜像到设备上。待设备启动后,执行命令 ps -A | grep -i demo
,终于可以看到我们的 demoComponent HAL 进程已经随系统启动成功。
如果在系统刚启动时执行命令 logcat | grep -i demo
,还可以看到 demoComponent HAL 注册为 Binder 服务的日志打印:
下一篇文章将以 APP 调用 demoService 为例说明调用方法。
[1] 《实现 SELinux》, https://source.android.com/security/selinux/implement
[2] 《政策兼容性》, https://source.android.com/security/selinux/compatibility
文章浏览阅读145次。10.21终面已参加,希望能顺利通过终面拿到offer~一共三轮,电话面试+笔试+视频面试,视频面试3V110月19日投的新媒体运营的简历,HR说因为是周末,等工作日再联系我,在周一下午三点我接到了电话成功通过简历筛选和电话面试,整个电话面试的过程长,大概10分钟左右,因为前期稍微做了一些准备,所以还算对答如流,整个过程顺利,HR现场告诉我通过面试,并随即给我发了笔试题,让我准备一下,最晚三天之..._网易 python游戏服务器
文章浏览阅读6.5k次,点赞12次,收藏38次。MVC层次划分简述写在前面的一段话:首先要知道MVC和三层架构之间有什么关系:MVC:【 Model(数据模型) - View(视图) - Controller(控制器) 】三层架构:【 Presentation tier(展现层) - Application tier(应用层)+Date tier(数据访问层) 】很多人都有一个误解,认为Spring MVC的M、V、C对..._mvc分层
文章浏览阅读2.9k次。实践flink数据集sink到cassandra3_flink cassandra
文章浏览阅读7.1k次,点赞4次,收藏12次。文章目录一、前言二、codimd是什么?2.1 源于hackmd的超好用markdown编辑器2.2 codimd的作用三、安装和使用3.1 安装前需要知道的3.2 安装步骤3.2.1 创建数据库3.2.2 安装git3.2.3 安装docker3.2.4 安装docker compose3.2.5 安装codimd3.2.6 检查是否安装成功3.2.7 放行端口3.2.8 测试使用3.3 开始写..._群晖 docker 搭建 codimd
文章浏览阅读335次。Json json 可以定义多种类型 var jsonObj = { "key1":123, "key2":"name", "key3":[12,"age",true], //数组 "key4":false, "key5":{ //存一个json对象 "key6":456, "key7":"number" }} json其实就是一个Object对象, 他的key值 可以看成对象的一个属性, 获取他的value值...
文章浏览阅读87次。选题背景:超市账单管理系统是一种针对超市行业的管理工具,旨在提供高效、准确、便捷的账单管理服务。随着城市化进程的加快和人们生活水平的提高,超市作为日常生活必需品的主要供应渠道之一,扮演着重要的角色。然而,传统的超市账单管理方式存在一些问题,如手工记录容易出错、数据整理繁琐、信息不透明等。因此,开发一个科技化的超市账单管理系统成为了必要之举。选题意义:首先,超市账单管理系统的开发可以提高账单管理的效率。传统的超市账单管理方式通常需要员工手动记录商品销售信息,并进行数据整理和汇总。这种方式容易出现人为错
文章浏览阅读1.7k次。书签栏通讯 s7-1200与s7-200smart通讯-工业支持中心-西门子中国IO_deviceS7-1200PROFINET通信ET 200SP 安装视频 - ID: 95886218 - Industry Support Siemens云平台接入在线文档 - 低代码开发嵌入式设备 | 物一世 WareExpress在linux下使用c语言实现MQTT通信(一.MQTT原理介绍及流程图)_qq_44041062的博客-程序员宅基地C mqtt_百度搜索开发快M_拾度智能科技 att7022eu
文章浏览阅读1.6k次。职称英语全称为全国专业技术人员职称英语等级考试,是由国家人事部组织实施的一项国家级外语考试。1.概述全国专业技术人员职称英语等级考试是由人力资源和社会保障部组织实施的一项外语考试,它根据英语在不同专业领域活动中的应用特点,结合专业技术人员掌握和应用英语的实际情况,对申报不同级别职称的专业技术人员的英语水平提出了不同的要求。该考试根据专业技术人员使用英语的实际情况,把考试的重点放在了阅读理解上面。全..._全国专业技术人员职称英语等级考试 北京 取消
文章浏览阅读42次。恋爱指导篇 知心的小爱“真爱”是一个永不过时的话题,古代的人找对象,靠的是媒妁之言,父母定婚姻。现代的人靠的是相亲,自由恋爱,按理找一个喜欢的人结婚会很幸福,近几年反而离率更高了。古代人认识的人少,交流工具少,最多信鸽传书,信物传情。现代要认识一个人很容易了,最初是电话信息联系。前几年是qq,微信摇一摇,近两年是抖音,快手随便找一找。虽然找对象,寻伴侣更方便了,为何大部分人还是感觉更迷茫,不快乐...
文章浏览阅读109次。【代码】刷题记录第八十天-修剪二叉搜索树。
文章浏览阅读248次。关于 dcm4che WADO WADO:Web Access to DICOM Objects dcm4che 是一个为医疗保健企业的开源应用程序和工具集合。这些应用程序已经开发了Java编程语言的性能和便携性,在JDK 1.6及更高版本支持部署。在dcm4che项目的核心是一个强大的执行DICOM标准的。该dcm4che-1.x和dcm4che-2.X DICOM Tool..._dcm4che实现wado服务
文章浏览阅读2.2k次。zookeeper服务器会产生三类日志:事务日志、快照日志和log4j日志。在zookeeper默认配置文件zoo.cfg(可以修改文件名)中有一个配置项dataDir,该配置项用于配置zookeeper快照日志和事务日志的存储地址。在官方提供的默认参考配置文件zoo_sample.cfg中,只有dataDir配置项。其实在实际应用中,还可以为事务日志专门配置存储地址,配置项名称为dataLogD..._linux查看zookeeper日志