Android系统目录的隐形守护者:SELinux策略与init.rc的协同艺术

原创 于 2026-02-13 03:12:12 发布 · 677 阅读 · 13
标签
#SELinux #init.rc #Android系统安全

Android系统目录的隐形守护者:SELinux策略与init.rc的协同艺术

在Android系统的底层架构中,每一次文件访问、每一个进程启动,背后都隐藏着一套精密而复杂的权限控制机制。对于中高级开发者和系统安全爱好者来说,理解这套机制不仅是技术挑战,更是一种艺术——如何在严格的安全框架下,既保障系统完整性,又实现业务功能的灵活扩展。今天,我们将从一个实际案例出发,深入探讨init.rc的启动时序与SELinux的域(domain)和类型(type)机制如何协同工作,成为系统目录的"隐形守护者"。

想象一个典型场景:系统内置APP需要在data目录下创建并读写一个名为mcuhot的文件夹。这看似简单的需求,却涉及init.rc的目录创建、权限分配,以及SELinux的细粒度访问控制。任何一环的缺失或配置不当,都会导致权限冲突,让功能无法正常运行。通过这个故事化的探索,我们将揭示安全设计与功能实现之间的平衡之道。

1. 系统启动阶段的目录创建与权限初始化

Android系统的启动过程是一个精心编排的序列,其中init.rc作为初始化脚本的核心配置文件,承担着早期环境搭建的重任。在这个阶段,系统还没有完全启动,但已经需要为后续的应用运行准备好基础目录结构。

在RK3568平台的Android13系统中,init.rc文件位于system/core/rootdir/目录下。当我们需要在/data目录下创建mcuhot文件夹时,需要在init.rc中添加如下指令:

mkdir /data/mcuhot
chown system system /data/mcuhot
chmod 0777 /data/mcuhot

这几条命令看似简单,却包含了深刻的权限设计思想:

  • mkdir创建目录,建立了物理存储结构
  • chown将所有权授予system用户和system组,确定了资源归属
  • chmod 0777设置最大权限,为后续的精细控制留下空间

实际操作提示:在修改init.rc文件时,需要特别注意指令的放置位置。最佳实践是在on boot_completed或类似的条件块之后添加自定义命令,避免干扰系统核心启动流程。

然而,仅仅在init.rc中创建目录并设置传统Linux权限是远远不够的。在现代Android系统中,SELinux提供了另一层的安全控制,即使传统权限允许访问,SELinux策略也可能拒绝操作。这就是为什么我们需要深入理解SELinux的工作机制。

2. SELinux基础概念与Android实现机制

安全增强型Linux(SELinux)是一个强制访问控制(MAC)系统,它通过定义精细的安全策略来补充传统Linux的自主访问控制(DAC)。在Android环境中,SELinux不再是可选项,而是系统安全架构的核心组成部分。

SELinux基于类型强制(Type Enforcement)模型,其中每个进程和资源都被分配一个安全上下文。这个上下文由用户(u)、角色(r)、类型(type)和可选的安全级别组成。在Android中,我们主要关注的是类型标识符,它决定了进程能否访问特定资源。

让我们看一个典型的SELinux安全上下文示例:

u:r:system_app:s0 -
最低0.47元/天 解锁文章
init.rc中增加开机启动服务
hismee的博客
04-17 3038
1、修改init.project.rc文件 a、打开device/XXX/产品/init.project.rc文件,在on post-fs-data这个动作下面增加 chmod 0755 /system/bin/hellotest b、在文件内很多service的位置附近增加 servicehellotest/system/bin/hellotest class main ...
【干货】Android系统定制基础篇:第五部分(Android关闭selinuxAndroid设置界面展示CPU序号、Android默认同意蓝牙的配对请求)
工宗浩生财指南针
06-18 3569
有时候我们需要某个字段做为设备的 唯一标识,常规的有 uuid、序列号、mac地址,但这些字段在重刷固件的情况下可能会变,因此我们可以读取 cpu序列号,这个字段唯一并且永久不变,除非更换 cpu。一些不带触摸屏设备,手机端发起蓝牙配对请求后,设备端无法点击确认。4.init进程会读取cmdline中androidboot.selinux字段,该字段有下面两个参数。为了方便用户查看,我们在『设置->系统->关于->状态信息』中展示此字段。3.再看selinux_status_from_cmdline()。
Android FrameWork】第五天:init加载RC文件
u012739527的博客
11-06 1625
本文基于Android 12+源码,深入分析Init进程加载RC文件的机制。Init进程作为用户空间首个进程,通过解析RC文件(初始化脚本)控制系统启动流程。文章详细阐述了两个关键阶段:1)初始化解析环境(日志系统、文件系统挂载、解析器配置);2)RC文件解析过程(主文件解析、Import指令处理、Service/Action指令解析)。源码分析表明,Init通过Parser类实现指令映射,ServiceParser和ActionParser分别处理服务定义和动作指令,最终将配置存入全局管理类。该机制为理解
Android13 添加init.rc自定义服务,编译的时候在Selinux检测阶段出现 neverallow 编译报错 ,已解决
weixin_43522377的博客
08-11 3601
Android系统编译 报neverallow 错误的解决方法。
SElinux init.rc 赋予 脚本执行权限
03-11 5508
我们前面看到了,可以编写自己的 .te 文件, 定义自己的类型。 目标案例可以参考, 高通或者 mtk 平台下自带的 system\core\init\readme.txt一、 init.rc 1.1 如何写服务 在android源码根目录下有android/system/core/rootdir/init.rc文件, 有很多地方都有 .rc 文件, 类似 init.target.rc
Android系统目录隐形守护者:深入解读SELinux在RK3568上的安全架构设计
最新发布
lemon的博客
02-07 849
本文深入解析了SELinux在RK3568平台Android系统上的安全架构设计,重点探讨了其类型强制和域转换机制如何为企业级设备提供系统级防护。通过分析system_app等关键域的策略配置及init.rc协同,揭示了SELinux在平衡功能安全性方面的核心价值,为开发者提供实战指南最佳实践。
Android7.1添加开机启动服务程序关于Selinux权限问题说明
Venus 的博客
04-13 1691
当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作: 第一步,我们可以在init.rc中添加了如下代码行: service xxxx /system/bin/xxxx class main user root group root oneshot seclabel u:r:xxxx:s0 #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务 编译img后烧到机器,发现服务xxx无法启动,kernel log中有如下提示(例如这里新加的
init.rc语法解析
Android系统攻城狮
01-24 3258
init进程是Android系统中用户空间的第一个进程,进程ID为1,源代码位于system/core/init目录。作为Android系统的第一个进程,Init进程承担这很多重要的初始化任务,一般Init进程的初始化可以分为两部分,前半部分挂载文件系统,初始化属性系统和Klog, selinux的初始化等,后半部分重要通过解析init.rc来初始化系统daemon服务进程,然后以epoll的监控属性文件,系统信号等。 init.rc则是init进程启动的配置脚本,这个脚本是用一种叫Android In.
安卓11 init初始化以及init.rc的解析执行过程详解
w346665682的博客
01-07 1万+
最近做了一个高通平台安卓的需求,功能使得data分区在第一次启动时,自动适配emmc/ufs的实际大小,在此过程中对init的执行以及.rc文件的解析流程有了一些理解,趁热打铁!!在这里总结一下!!! 这里以mtk平台为例进行说明,基于安卓11,init这块的代码mtk高通基本是一模一样的,都是中间层的东西; 对于init在整个系统中(宏观)的执行流程想必大家都很清楚了,init进程是linux内核启动后创建的第一个进程,地位非常重要,init进程在初始化过程中会启动很...
SELinux配置文件(/etc/selinux/config)
chenhualeguan的专栏
02-06 4万+
转置:https://www.hao123.com/?tn=97977680_hao_pg SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子: 清单13-1./etc/selinux/config文件的内容
Android系统init进程启动及init.rc全解析
热门推荐
zhonglunshun的专栏
11-23 7万+
这是一篇用心写的博客,也希望大家用心看并帮忙找到文章的改进之处,谢谢;服务启动机制 system/core/init/init.c文件main函数中parse_config_file(init.rc)读取并解析init.rc文件内容。将service信息放置到system/core/init/init_parser.cpp的service_list中 system/core/init/init.c文
Anroid init.rc基本知识
Pt950
07-08 2334
init.rc是用Android Init Language编写的后缀名为rc的纯文本文件,Android Init Language的语法在aosp源码/system/core/init/readme.md中有讲解,本文也是基于readme.md写的。 Android Init Language语法中有5个关键字: Actions(动作), Commands(命令), Services(服
SElinux init.rc 详细解释
03-11 1742
http://blog.csdn.net/eliot_shao/article/details/53163522 http://blog.csdn.net/wince_lover/article/details/50164969 inic sepolice 详细解释 *****************Android启动脚本init.rc简介 http://blog.csdn.net/dash
SELinux policy相关问题的总结
jinron10的专栏
01-21 2758
在开发Android系统的时候或多或少遇到一些Selinux的相关的问题,在这里进行一些总结和整理,内容大部分来源网络. 1、了解SELinux基本概念,这个网上资料很多,具体参考: http://jingpin.jikexueyuan.com/article/55398.html http://blog.csdn.net/innost/article/details/19299937/  h...
Android如何配置init.rc中的开机启动进程(service)
Preacher_Qiao的博客
02-21 5万+
开篇:为什么写这篇文章 先说下我自己的情况,我是个普通的学生,之前在学校一直做Android应用开发,找实习的时候也一直想找相关的工作,来到现在这家公司以后,由于业务调整,被领导安排去做底层开发,本来我对底层的东西一无所知,加上其实并不感兴趣,其实一开始感觉还是很难的,不过刚刚工作,只有小孩子才在乎喜欢不喜欢,成年人只在乎是否有利。我本着技多不压身的心态,开始了底层开发学习之旅,做Android...
init.rc深入学习
ch853199769的博客
11-02 9660
语法部分 actions service options commandscommands initrc的变化 initcpp LOCAL_INIT_RC
Android init.rc 添加自定义服务
tq501501的博客
12-16 7936
Android init.rc 添加自定义服务,运行系统bin文件一、按照rc语法格式添加新增service二、添加te文件三、rc语法链接四、avc权限添加 一、按照rc语法格式添加新增service rc文件中添加如下 # 最后两个必写,其他的省略亦可 service screencnap/system/bin/screencap # class 包括core main late_st...
绕过selinux权限一种方法
空之境界
10-23 3361
问题:在Android应用中删除一些敏感的文件夹会有权限问题,但是按照下面更改之后CTS认证会Fail。allow system_app system_app_data_file:file execute; allow system_app system_data_file:dir write;思路:依据一:init.rc中service的启动流程绝对不会有权限问题依据二:删除操作可以用rm -rf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值