美文网首页
AOSP 8.1 新增/dev设备节点 Selinux的权限设置

AOSP 8.1 新增/dev设备节点 Selinux的权限设置

作者: momxmo | 来源:发表于2020-05-14 15:39 被阅读0次

    在开发驱动程序提供上层应用使用过程,设置到kernel层和user层之间权限的问题,例如:framework层自定义服务jni通过Hal硬件程序层访问/dev/xxx设备驱动节点;此过程会涉及到system_server去访问kernel层;
    说明:我们使用nexus 6p 8.1源码进行调试

    第一步:添加DAC权限

    设备文件是在内核驱动里面通过device_create创建的,而device_create创建的设备文件默认只有root用户可读写,而hello_xxx一般是由上层APP或者server来调用的,这些APP一般不具有root权限,这时候就导致打开设备文件失败:
    Hello Stub: failed to open /dev/xxx-- Permission denied.
    解决办法是类似于Linux的udev规则,打开Android源代码工程目录下,进入到system/core/rootdir目录,里面有一个名为ueventd.rc文件,往里面添加一行:

    /dev/xxx 0666 root root
    

    这一步只是解决了linux DAC权限检验的问题;在Android4.4之后引进了selinux更高一级的MAC权限校验,让即使以及获取到root权限之后也同样不能为非作歹;一般先执行DAC再到MAC权限校验;

    第二步:添加MAC权限

    注意:我们这里是通过system_server进程去访问/dev/xxx驱动节点;

    ①首先,自定义节点定义类型

    当前我们定义的是设备驱动类型,所有对应的是device.te,如果是文件类型,对应是file.te
    /system/sepolicy/public/device.te
    添加自定义类型

    type xxx_device,dev_type;
    

    xxx_device为自定义类型名称,dev_type为类型

    ②节点和类型相对应

    /system/sepolicy/private/file_contexts

    /dev/xxx           u:object_r:xxx_device:s0
    

    这里的xxx_device要与第一步骤对应

    ③对应进程设置授权

    例如:system_server进程需要访问,则需要修改
    /device/huawei/angler/sepolicy/system_server.te

    allow system_server xxx_device:chr_file { open read write };
    

    这里为system_server进程设置了对/dev/xxx节点打开、读取、写入的权限;
    如果系统应用需要访问/dev/xxx权限,同样的需要修改
    /device/huawei/angler/sepolicy/system_app.te

    allow system_app xxx_device:chr_file { open read write };
    

    其他进程以此类推

    第三步:编译

    aosp根目录下执行make,生成镜像文件boot.imgsystem.img需要同时刷到手机;
    我在这一步就是漏刷了boot.img一直出现权限问题

     avc: denied { read write } for name="xxx" dev="tmpfs" ino=2029 scontext=u:r:system_server:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0
    

    问题分析过程:https://www.jianshu.com/p/aded77683d95

    相关文章

      网友评论

          本文标题:AOSP 8.1 新增/dev设备节点 Selinux的权限设置

          本文链接:https://www.haomeiwen.com/subject/wkptohtx.html