Android系统10 RK3399 init进程启动(二十九) SeAndroid编译规则目录

原创 已于 2022-06-30 09:25:51 修改 · 1.8k 阅读 · 9
标签
#android #Android selinux #SEAndroid #瑞星微RK3399
于 2022-06-28 20:47:23 首次发布
本文详细介绍Android源码中SELinux策略文件的分布、编译规则,包括system/sepolicy下的公共与私有策略,以及external/selinux提供的工具。核心步骤涉及政策转换、属性化和合并,以构建预编译的sepolicy文件。

配套系列教学视频链接:

      安卓系列教程之ROM系统开发-百问100ask

说明

系统:Android10.0

设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)

前言

本章节重点介绍在Android源码中, 涉及selinux策略文件所在目录和文件,以及编译规则

一, selinux策略所在目录

system/sepolicy/

Android核心公共的策略文件,上下文文件

external/selinux

外部 SELinux 项目,用于构建主机环境中编译 SELinux 政策和标签所需的各种工具,如提供libselinux库函数,checkpolicy编译器(policy.conf编译成cil文件),secilc编译器(cil文件编译成二进制)

BOARD_SEPOLICY_DIRS

板级/供应商定制或扩展的策略文件

system/sepolicy/:Android核心公共的策略文件,上下文文件

tree -L 1 system/sepolicy/

system/sepolicy/

├── Android.bp

├── Android.mk:大部分的编译目标的规则文件,会include当前目录各个mk文件,如file_contexts.mk等

├── apex

├── build : 提供编译脚本, 脚本包含了各种编译命令,如build_cil用于编译cil文件

├── CleanSpec.mk

├── definitions.mk :只定义了transform-policy-to-conf一个函数,将策略文件转成conf文件,生成xx_policy.conf,

本质上是调用m4命令对文件中的宏进行处理。

├── file_contexts.mk:编译目标文件plat_property_context

├── hwservice_contexts.mk

├── mac_permissions.mk

最低0.47元/天 解锁文章
Android SELinux——安全策略(三)
小旭的专栏
10-10 1625
安全标签(Security Labels):每个文件、目录进程等都有一个安全标签。标签包含类型(Type)、角色(Role)、用户(User)和类别(Category)等信息。安全策略(Security Policies):SELinux 支持多种安全策略,包括:1)Targeted Policy:针对特定类型的系统(如服务器、桌面系统)。2)Strict Policy:更严格的策略,适用于高度安全的环境。3)MLS Policy:多级安全策略,支持多级分类的安全需求。
Android P SELinux () 基础概念
headwind的博客
08-14 5614
在处理了一些SELinux相关的问题之后,深深厌恶这个东西,一打开就报一大堆权限问题,添加te权限还特别麻烦,第一次搞下来没有1-2天是不行的。 抽时间查阅相关资料后,结合理论知识和源码进行分析,随着在项目中不断处理了一些CTS neverallow的失败项,慢慢地对SELinux有了更深入的理解,接下来的内容将分别介绍基础概念、SELinux开机初始化、SELinux编译相关和实际案例分享,让大家对SELinux有更加深入的认识。 学习一个模块的东西,我更喜欢从实际的问题出发去探索,因为目标很明确,不会.
Android P SELinux策略编译与加载机制深度解析
最新发布
weixin_30570101的博客
04-15 81
本文深入解析Android P中SELinux策略文件的编译与加载机制,详细介绍了从te规则到二进制策略的转换过程,包括Project Treble架构下的策略分离设计、策略文件的加载流程与内核交互。文章还提供了常见问题的排查方法和调试技巧,帮助开发者更好地理解和应用SELinux策略。
Android P SELinux () 开机初始化与策略文件编译过程
headwind的博客
08-14 5510
本文主要围绕二进制策略文件的加载和编译过程 我们写的te规则,到底生成在哪里了?开机之后又是怎么加载使用的? 目录一、SELinux开机初始化1. init.cpp2. selinux.cpp2.1 SelinuxSetupKernelLogging2.2 SelinuxInitialize2.3 checkreqprot2.4 LoadPolicy2.5 LoadSplitPolicy2.6 FindPrecompiledSplitPolicy二、SELinux Policy编译3. 二进制策略文件的生成
Android9 Sepolicy规则基础 - MTK平台
技海淘金
02-29 5947
1. SELinux的基础原则 默认拒绝原则 - 任何未经明确允许的行为都会被拒绝(即:白名单制) 2. SELinux的两种执行模式 宽容模式 - 权限拒绝事件会被记录下来,但不会被强制执行。(权限不够时,仅警告) 强制模式 - 权限拒绝事件会被记录下来并强制执行。(权限不够时,拒绝执行) 3. SELinux在安卓平台上的演变 低于安卓4.3 - 默认不支持SELinu...
selinux-sepolicy配置
卓越之路
01-21 7282
一、概念 1. 运行模式 Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissivedomain。 语法格式 Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:m...
Android系统10 RK3399 init进程启动(二十五) SeAndroid 安全上下文文件
ldswfun的专栏
06-01 1488
安卓系列教程之ROM系统开发-百问100ask系统Android10.0设备: FireFly RK3399 (ROC-RK3399-PC-PLUS)本章节介绍SeAndroid中常见的几个安全上下文文件。在Android源码中会存在几个重要的上下文文件, 用来描述系统和属性,服务等的上下文信息, 路径在system/sepolicyfile_contexts根系统中所有文件的安全上下文, 如/system/bin, /system/etc等文件,源码路径如: system/sepolicy/privat
Android系统10 RK3399 init进程启动(三十二) SeAndroid实战之策略更新和验证
ldswfun的专栏
07-20 1209
上一个章节介绍了如何定义策略, 并编译得到目标文件, 这些目标文件需要在开发上进行更新验证。
[Android O] [RK3399] -- 在 init 里添加一个系统服务并设置其 SEAndroid权限
u014674293的博客
09-29 650
前言: 在实际的项目中,使用到一个 GPS 模块,该模块需要在系统启动启动,于是这里编写了 GPS 启动的程序,并添加到 init 里,进行开机自启动。具体实现下面进行详细介绍。 一、GPS 启动 源码如下: #include <stdio.h> #include <stdlib.h> #include <unistd.h> int main() { for(;;) { if(access("/...
android8 .te文件,te文件
weixin_42474537的博客
05-28 2500
模块中定义的sepolicy策略文件目录如下加入到系统编译中:在BoardConfig.mk中找BOARD_SEPOLICY_DIRS,将你的sepolicy目录加到这个变量中,如下所示:BOARD_SEPOLICY_DIRS := \device/fsl/imx8/sepolicy \packages/services/Car/evs/sepolicy \device/fsl/mek_8q/se...
SEAndroid原理
liushaohua2002的博客
03-11 3007
常见SE权限问题解决: 问题:通常发生SE 后会有如下log输出 avc: denied { call } for scontext=u:r:shell:s0 tcontext=u:r:hal_hello_default:s0 tclass=binder permissive=1 解决思路及方法: 缺少什么权限:call 源:shell 目标:hal_hello_default 文件类别:binder 在源的te规则中添加相应allow规则 编译make selinux_policy...
Android15 拓展安全策略SEPOLICY
tzj1058756809的博客
11-08 476
Android os里面,自定义一些SDK,经常需要访问底层驱动,需要开发各种service来满足功能需求,这样需要修改各种SELinux策略权限。通过BOARD_SEPOLICY_DIRS和SYSTEM_EXT_PRIVATE_SEPOLICY_DIRS扩展安全策略,这样就做成了独立模块,不影响整体OS的源码。BOARD_SEPOLICY_DIRS是针对公有策略,SYSTEM_EXT_PRIVATE_SEPOLICY_DIRS是针对私有策略。
[Android]开机自启动脚本和selinux权限配置
骑驴赶集市的博客
08-20 9398
概述 在前段时间的工作中,需要开发一个开机自动启动的脚本,现把开发过程记录一下 主要框架 编写一个可以开机自动启动的脚本,方法就是通过rc文件,在boot_complete=1时,去启动这个服务,那么,可以先基于以上思路,创建实现脚本所需要的文件。 通常来说,我这个脚本是要放在vendor分区的,因此将脚本放到vendor目录下,参考其他的脚本,创建3个空的文件如下: multi_tpinsmod/ //脚本文件夹 ├── Android.bp //bp文件,用于放置编译参数 ├── multi_t
SElinux 基础配置 基础语法
03-11 7799
这个真的是网络好好多文章了, 我也很多都是四处转载总结的,然后就是自己再添加和修改了一些。 http://blog.csdn.net/myarrow/article/details/10105961 这个也就很详细KK Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: “avc: den
Selinux小结
热门推荐
~山之歌~
11-30 1万+
目 录 前绪    2 一、Selinux基础概述    2 二、什么是Selinux?    2 三、SELinux Policy语言    3 1、安全属性——SContext    3 2、TE简介    4 1). 客体类别和许可:    4 2). 访问向量规则:    5 3). AV规则    5 四、SElinux策略文件
android sepolicy 的编译
雪琴的博客
07-13 1万+
Android 4.3 为例,来说明sepolicy的编译 背景: sepolicy是所有的策略语言编译之后生成的二进制文件,最终被导入到kernel中,当某个操作发生时,seandroid会根据这个文件进行检查该操作是否被允许; 那么如何将所有的策略语言编译成sepolicy 一:编译 其实和android的源码编译一样,使用的
探索安卓安全改进(三)
龙哥盟
08-01 622
在本章中,我们介绍了控制设备上策略的各种组件是如何实际构建和创建的,例如sepolicy和。本章还介绍了用于跨设备和配置管理构建策略的变量。然后我们回顾了Android.mk组件,详细说明了构建和配置管理核心的工作原理。在本章中,您之前对系统的所有理解都被用来为全新设备开发实际的 Android 安全增强(SE)策略。现在,您已经掌握了如何编写 AndroidSELinux 策略、系统的各个组件在哪里以及如何工作,以及如何将这些特性移植并启用在各种 Android 平台上。
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 9526
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
Android App Selinux seapp权限详解
求变,从思想开始
05-07 1万+
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
selinux 语法
颇锐克(公众号:颇锐克科技共享)
01-17 1601
1. SELINUX是可以理解为一种android上面的安全机制,是有美国国家安全局和一些公司设计的一个针对linux的安全加强系统 我们可以通过配置SELINUX的相关policy,来定制自己的手机的一些权限,比如,我们可以完全让root用户没有任何的权限和user一样 2. 在android里面,有两个类型,一种是文件,一种是进程。 针对这两种类型,我们可以先来看看他们的不同。 在an
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旗浩QH

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值