Android 8.1 从零开始写 HAL -- (5) 添加执行权限_android8.1 hal 权限 csdn-程序员宅基地

技术标签： SELinux HAL android HIDL 安全规则嵌入式 Android

Android 8.1 从零开始写 HAL – (5) 添加执行权限

注意：本文基于 Android 8.1 进行分析
Qidi　2020.07.20　(Markdown & Haroopad)

【前言】

Android 上使用 SELinux 来管理权限。尽管在上一篇文章《Android 8.1 从零开始写 HAL – (4) 编译与打包》中， demoComponent HAL 已经成功编译且打包到系统镜像中，但到目前为止还没有被赋予访问 Binder 的权限。所以我们至少会看到，在将 demoService 注册为 Binder 服务时，日志中会打印类似下方的提示：

[   10.368517] type=1400 audit(1483292256.112:14): avc: denied { add } ...

这篇文章就是要说明完善 demoComponent HAL 所需要的 SELinux 权限的方法。

一、编写策略文件

依各公司习惯不同，用于配置产品权限的文件一般放在 /device/<CompanyName>/sepolicy/ 或 /device/<CompanyName>/common/sepolicy/ 目录下（也不排除是其它路径的可能性，但肯定是在 device/ 目录下的某个 sepolicy/ 子目录）[1]。在这个目录下，再为不同的部件分别创建相应的子目录，并在这个子目录中新建 *.te 文件和 *_contexts 文件，以添加必要的权限。

还是以我正在使用的平台为例，创建新目录 /device/harman/sepolicy/demoComponent/，并在该目录下新建如下图所示的文件：
selinux_files

说明下各文件的内容和作用：

file_contexts:
　　首先编写 file_contexts 文件。这个文件名是由 SELinux 框架固定的。我们在 file_contexts 中将 demoService 的可执行文件定义为安全对象。
```
# define demoService executable binary as a security object
/vendor/bin/hw/[email protected]   u:object_r:demoService_exec:s0
```
hwservice_contexts:
　　然后，因为 demoComponent HAL 依赖 hwbinder 进行通信，所以我们还需要编写 hwservice_contexts。这个文件名也是由 SELinux 框架固定的。我们在这个文件中将新增的接口定义为一个安全对象，作用和 file_contexts 类似。（如果使用 vndbinder，则应编写 vndservice_contexts）
　　从 Android 8.0 开始，SELinux 也一分为二成为了 system 部分和 vendor 部分。其中 vendor 部分又因为不同部件使用的 binder 节点不同，从原先唯一的的 service_contexts 中剥离出了 hwservice_contexts 和 vndservice_contexts 两个文件。当使用 /dev/hwbinder 时手动创建前者并在文件中添加定义，当使用 /dev/vndbinder 时创建后者并同样在文件中添加定义。
```
# define HAL interface as a security object
vendor.harman.hardware.demoComponent.demoService::IDemoServiceDef  u:object_r:vendor_demoService_hwservice:s0
```
hwservicemanager.te:
　　由于我们使用的是 hwbinder 节点，所以还应该编写 hwservicemanager.te。文件名也是固定的。在这个文件中声明 demoService 需要使用 hwbinder。（如果使用 vndbinder，则应编写 vndservicemanager.te）
```
# grant demoService permission of using hwbinder
hwbinder_use(demoService)
```
hwservice.te:
　　同理，编写 hwservice.te。文件名依然是固定的。在这个文件中为 demoService 定义了专属的 hwservice 类型，在添加 “注册服务” 权限时会用到。（如果使用 vndbinder，则应编写 vndservice.te）
```
# define demoService as hwservice_manager, so it can be added as a hwservice
type vendor_demoService_hwservice, hwservice_manager_type;
```
demoService.te:
　　接着编写 demoService.te 文件。这个文件通常以需要添加权限的对象为名。在这个文件中，我们为 demoService 定义了一个专属的安全域，赋予可 demoService 的执行文件以需要的文件属性，并且为 demoService 域添加和 Binder 操作相关的必要权限，比如 “注册为服务”、“允许 hwbinder 调用” 等。
　　不同的 HAL 进程或本地服务要操作的文件不同，其实现的作用也不同，所以这个文件里的内容差异也很大。依照最小权限规则，根据自己的实际需要添加权限即可。[2]
```
# define a security domain for demo service
type demoService, domain;

# specify demo service attributes
type demoService_exec, exec_type, file_type, vendor_file_type;

# initialize demo service domain
init_daemon_domain(demoService)

add_hwservice(demoService, vendor_demoService_hwservice)

binder_call(demoService, vndservicemanager)
binder_call(demoService, hwservicemanager)
binder_call(demoService, system_app)

allow demoService vndbinder_device:chr_file rw_file_perms;
allow demoService hwservicemanager_prop:file r_file_perms;
```
system_app.te:
　　最后，还要为用户进程添加调用权限。因为在下一篇文章《Android 8.1 从零开始写 HAL – (6) 测试HAL》中我会以 APP 对 demoService 的调用为例说明调用过程，所以这里新建 system_app.te。为 system_app 添加通过 hwservice_manager 查找服务、以及通过 binder 调用 demoService 的权限。
```
# APP access priviledges for demoService
binder_call(system_app, demoService)
allow system_app vendor_demoService_hwservice:hwservice_manager find;
```

二、应用策略文件

为了使新增的安全规则生效，需要将刚刚创建的目录添加到 Makefile 中，这样一来编译镜像时就可以扫描到了。我们一般把这个改动添加到 /device/<CompanyName>/<PlatformName>/<ProductName>/BoardConfig.mk。
　　这里我改动的文件是 /device/harman/broxton/XXXX/BoardConfig.mk，修改部分如下：

diff --git a/XXXX/BoardConfig.mk b/XXXX/BoardConfig.mk
index 4979507a7..8e700f22d 100755
--- a/XXXX/BoardConfig.mk
+++ b/XXXX/BoardConfig.mk
@@ -72,6 +72,12 @@ BOARD_SEPOLICY_DIRS += device/harman/sepolicy/vold
 INTEL_AUDIO_HAL=imc
 BOARD_SEPOLICY_DIRS += device/harman/sepolicy/audio
+
+########################################################
+# DemoService
+########################################################
+BOARD_SEPOLICY_DIRS += device/harman/sepolicy/demoComponent
+

【结语】

完全编译后，烧写镜像到设备上。待设备启动后，执行命令 ps -A | grep -i demo ，终于可以看到我们的 demoComponent HAL 进程已经随系统启动成功。
process_running
　　如果在系统刚启动时执行命令 logcat | grep -i demo，还可以看到 demoComponent HAL 注册为 Binder 服务的日志打印：
register_process
　　下一篇文章将以 APP 调用 demoService 为例说明调用方法。

【参考资料】

[1] 《实现 SELinux》, https://source.android.com/security/selinux/implement
[2] 《政策兼容性》, https://source.android.com/security/selinux/compatibility

本文链接：https://blog.csdn.net/Qidi_Huang/article/details/107472617

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

python服务器端开发面试_【网易游戏Python面试】python 服务端开发-看准网-程序员宅基地

文章浏览阅读145次。10.21终面已参加，希望能顺利通过终面拿到offer～一共三轮，电话面试＋笔试＋视频面试，视频面试3V110月19日投的新媒体运营的简历，HR说因为是周末，等工作日再联系我，在周一下午三点我接到了电话成功通过简历筛选和电话面试，整个电话面试的过程长，大概10分钟左右，因为前期稍微做了一些准备，所以还算对答如流，整个过程顺利，HR现场告诉我通过面试，并随即给我发了笔试题，让我准备一下，最晚三天之..._网易 python游戏服务器

MVC层次划分简述_mvc分层-程序员宅基地

文章浏览阅读6.5k次，点赞12次，收藏38次。MVC层次划分简述写在前面的一段话：首先要知道MVC和三层架构之间有什么关系：MVC：【 Model(数据模型) - View(视图) - Controller(控制器) 】三层架构：【 Presentation tier(展现层) - Application tier(应用层)+Date tier(数据访问层) 】很多人都有一个误解，认为Spring MVC的M、V、C对..._mvc分层

Flink的sink实战之三：cassandra3_flink cassandra-程序员宅基地

文章浏览阅读2.9k次。实践flink数据集sink到cassandra3_flink cassandra

使用docker安装codimd，搭建你自己的在线协作markdown编辑器_群晖 docker 搭建 codimd-程序员宅基地

文章浏览阅读7.1k次，点赞4次，收藏12次。文章目录一、前言二、codimd是什么？2.1 源于hackmd的超好用markdown编辑器2.2 codimd的作用三、安装和使用3.1 安装前需要知道的3.2 安装步骤3.2.1 创建数据库3.2.2 安装git3.2.3 安装docker3.2.4 安装docker compose3.2.5 安装codimd3.2.6 检查是否安装成功3.2.7 放行端口3.2.8 测试使用3.3 开始写..._群晖 docker 搭建 codimd

Json和ajax-程序员宅基地

文章浏览阅读335次。Json json 可以定义多种类型 var jsonObj = { "key1":123, "key2":"name", "key3":[12,"age",true], //数组 "key4":false, "key5":{ //存一个json对象 "key6":456, "key7":"number" }} json其实就是一个Object对象，他的key值可以看成对象的一个属性，获取他的value值...

ssm超市账单管理系统a2e96【独家源码】应对计算机毕业设计困难的解决方案-程序员宅基地

文章浏览阅读87次。选题背景：超市账单管理系统是一种针对超市行业的管理工具，旨在提供高效、准确、便捷的账单管理服务。随着城市化进程的加快和人们生活水平的提高，超市作为日常生活必需品的主要供应渠道之一，扮演着重要的角色。然而，传统的超市账单管理方式存在一些问题，如手工记录容易出错、数据整理繁琐、信息不透明等。因此，开发一个科技化的超市账单管理系统成为了必要之举。选题意义：首先，超市账单管理系统的开发可以提高账单管理的效率。传统的超市账单管理方式通常需要员工手动记录商品销售信息，并进行数据整理和汇总。这种方式容易出现人为错

随便推点

bookmarks_2021_9_28_拾度智能科技 att7022eu-程序员宅基地

文章浏览阅读1.7k次。书签栏通讯 s7-1200与s7-200smart通讯-工业支持中心-西门子中国IO_deviceS7-1200PROFINET通信ET 200SP 安装视频 - ID: 95886218 - Industry Support Siemens云平台接入在线文档 - 低代码开发嵌入式设备 | 物一世 WareExpress在linux下使用c语言实现MQTT通信(一.MQTT原理介绍及流程图)_qq_44041062的博客-程序员宅基地C mqtt_百度搜索开发快M_拾度智能科技 att7022eu