Android7.1添加开机启动服务程序关于Selinux权限问题说明
当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作:第一步,我们可以在init.rc中添加了如下代码行:service xxxx /system/bin/xxxxclass mainuser rootgroup rootoneshot编译img后烧到机器,发现服务xxx无法启动,kernel log中有如下提示(这里新加的服务程序是eGTouch...
当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作:
第一步,我们可以在init.rc中添加了如下代码行:
service xxxx /system/bin/xxxx
class main
user root
group root
oneshot
seclabel u:r:xxxx:s0 #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务
编译img后烧到机器,发现服务xxx无法启动,kernel log中有如下提示(例如这里新加的服务程序是eGTouchD的log):
[ 3.958386] init: Service eGTouchD does not have a SELinux domain defined.
该提示说明没有定义SELinux domain,导致服务eGTouchD无法自启动。
第二步,为了解决这个问题我们按如下方式修改并且添加sepolicy文件:
修改seplicy/file_contexts文件,添加以下内容:
/system/bin/xxx u:object_r:xxx_exec:s0
第三步,在sepolicy目录新增xxx.te文件,并在其中添加如下内容:
需要为新增的进程增加域、执行权限
type xxx, domain;
type xxx_exec, exec_type, file_type;
然后启用这个域
init_daemon_domain(xxx)
例如我下面添加的一个sepolicy/eGTouchD.te文件的例子:
type eGTouchD, domain;
type eGTouchD_exec, exec_type, file_type;
init_daemon_domain(eGTouchD)
allow eGTouchD init_tmpfs:file create_file_perms;
allow eGTouchD self:capability { dac_override net_admin net_raw setgid setuid };
allow eGTouchD device:dir { open read };
allow eGTouchD shell:lnk_file { read };
allow eGTouchD rootfs:lnk_file { getattr };
allow eGTouchD socket_device:sock_file { write };
详细可参考seplicy/目录下的其他te文件。
或者根据logcat中打印出来的avc:denied log报错来添加,先把相关的avc报错全部收集起来:
在相应的te、文件中增加语句,语句格式为
allow sourcecontext targetcontext:class { 许可 };
例如出现下面的avc log,可以这样添加:
[ 4.009832] type=1400 audit(1577344637.716:12): avc: denied { read } for pid=263 comm=“lowmem_manage.s” path=“/system/bin/sh” dev=“mmcblk1p10”
ino=467 scontext=u:r:lowmem_manage:s0 tcontext=u:object_r:shell_exec:s0 tclass=file permissive=1
sourcecontext指的是"scontext=u:r:lowmem_manage:s0"中的lowmem_manage,targetcontext指的是"tcontext=u:object_r:rfs_system_file:s0"中的rfs_system_file,
class指的是"tclass=file"中的file,许可指的是"avc: denied { read }"中的read。
所以增加语句
allow lowmem_manage rfs_system_file:file { read };
其他avc报错可以类似添加即可。
PS:
其实有时候可以在init.xxxx.rc文件执行一些拷贝或者赋权限的操作,例如我这里:
--- a/init.tablet.rc
+++ b/init.tablet.rc
@@ -3,7 +3,13 @@ on post-fs-data
#CABC
chown root system /sys/class/graphics/fb0/cabc
chmod 0664 /sys/class/graphics/fb0/cabc
+
+ #add for eGTouchD by czd 2020-03-05
+ chmod 0664 /sys/devices/platform/eeti_usbtp/eeti_usbtp
chmod 0755 /system/bin/eGTouchD //赋权限
+ copy system/etc/eGTouchA.ini /data/eGTouchA.ini //拷贝
+ chmod 0777 /data/eGTouchA.ini
+ #add end
Android8以及以后的安卓系统, Google 启动了 Treble 计划,对 system 分区和 vendor 分区进行严格的分离,所以这样的自定义脚本我们最好不要放在 /system/bin/ 目录下。我们可以把它放在 /vendor/bin/ 目录下,否则如果放在system目录,会出现以下打印,尤其是执行循环1秒操作的脚本的时候打印就不停:
[ 365.808708] type=1401 audit(1663405174.780:2118): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 366.823168] type=1401 audit(1663405174.780:2118): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 366.823250] type=1401 audit(1663405175.793:2119): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 369.909818] type=1401 audit(1663405177.866:2124): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 369.909904] type=1401 audit(1663405178.880:2125): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 369.923998] type=1401 audit(1663405178.880:2125): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 369.924078] type=1401 audit(1663405178.893:2126): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 370.938655] type=1401 audit(1663405178.893:2126): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 370.938737] type=1401 audit(1663405179.910:2127): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 370.953006] type=1401 audit(1663405179.910:2127): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 370.953087] type=1401 audit(1663405179.923:2128): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 371.968127] type=1401 audit(1663405179.923:2128): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
[ 371.968209] type=1401 audit(1663405180.940:2129): op=security_compute_sid invalid_context=u:r:init_usb_link:s0 scontext=u:r:init_usb_link:s0 tcontext=u:object_r:toolbox_exec:s0 tclass=process
同时,从 Android 8.0开始,SELinux for Android 也进行了模块化,为了避免不必要的权限问题,我们使用 /vendor/bin/sh 作为脚本解释器。例如我这里:
#!/vendor/bin/sh
file="/sys/devices/platform/ff770000.syscon/ff770000.syscon:usb2-phy@e450/otg_mode"
while true
do
sleep 1
usb_buf=`cat /sys/devices/platform/adc_keys/adc_usb_mode`
if [[ $usb_buf == 1 ]]; then
echo "usb_mode_switch"
echo host > $file
sleep 2
echo otg > $file
fi
done
当然,改了使用 /vendor/bin/sh 作为脚本解释器,对应的脚本文件也要放置到vendor/bin目录,对应平台的init.rc文件的路径名称也需要修改,参考如下:
361 service init_usb_link /vendor/bin/init_usb_link
362 class main
363 user root
364 group root
365 oneshot
366 seclabel u:r:init_usb_link:s0
更多推荐
1
0- 0
已为社区贡献7条内容
所有评论(0)