/***********************************
* Author:劉江明
* Environment:MTK Android 6.0
* Date:2016年11月06日
***********************************/
對於/extern/sepolicy的修改用如下方法編譯:
1. mmm external/sepolicy
2. make bootimg
(1) 創建一個demo.te在/device/mediatke/common/sepolicy 目錄下
如果是Android4.4的源碼,在/device/mediatke/common/BoardConfig.mk 的BOARD_SEPOLICY_UNION 宏中新增demo.te
如果是Android5.0以上的編譯會自動包含了整個文件夾裏的文件,則不用在BoardConfig.mk中添加文件聲明
(2) 在demo.te中添加:demo的域(domain)類型定義
type demo, domain;
(3) 在demo.te中添加:demo的可執行文件(客體)的類型定義
type demo_exec, exec_type
(4) 在demo.te中添加:init啓動service時類型轉換聲明,直接用一個宏,主要是用於把demo_exec(客體)轉換成demo(進程域)
init_daemon_domain(demo)
(5) 綁定執行檔 file_contexts 類型(安全上下文),由這個可執行文件啓動起來的進程都是demo域裏的
/system/bin/demo u:object_r:demo_exec:s0
(6) 根據demo需要訪問的文件以及設備,定義其它的權限在demo.te中.
init_daemon_domain宏的作用是:設置init轉換到daemon域,可執行文件是xxx_exec
上面的例子是這樣子使用的:init_daemon_domain(demo)
把$1=demo代換進去,相當於執行下面兩條語句
domain_auto_trans(init, demo_exec, demo)
聲明tmpfs的讀寫和轉換權限,tmpfs是一些內存臨時文件
tmpfs_domain(demo)
domain_auto_trans的作用是:定義舊的域轉換成新的域的聲明,直接把上面的參數代入到domain_auto_trans裏相當於執行
#這個宏應該就是上一篇文章裏提到的域轉換的權限聲明
domain_trans(init,demo_exec,demo)
#聲明init域執行demo_exec可執行文件,新的域轉換成demo域
type_transition init demo_exec:process demo;
情景:一個域(服務或者進程)需要訪問一個專屬的char device /dev/demo
(1) 定義device 類型,創建一個device.te文件
type demo_device dev_type;
(2) 綁定demo device的上下文,在file_contexts
/dev/demo u:object_r:demo_device:s0
(3) 聲明demo進行 使用demo device 的權限 在demo.te
allow demo demo_device:chr_file rw_file_perms;
define(`r_file_perms', `{ getattr open read ioctl lock }')
define(`w_file_perms', `{ open append write }')
define(`rw_file_perms', `{ r_file_perms w_file_perms }')
(1) 定義socket 的類型 file.te
type demo_socket,file_type;
(2) 綁定socket 的類型 file_contexts
/dev/socket/demo_socket u:object_r:demo_socket:s0
(3) 允許所有的process 訪問.
# allow app connectto & write
unix_socket_connect(appdomain,demo,demo)
#聲明一個property_type類型powerctl_prop
type powerctl_prop, property_type;
#設置屬性的上下文,把屬性sys.powerctl的上下文設置成powerctl_prop類型
sys.powerctl u:object_r:powerctl_prop:s0
#允許adbd進程對powerctl_prop上下文的屬性進行設置
#set_prop裏面做了兩個動作,允許進行對property的socket進行連接和寫入,允許進程設置屬性
set_prop(adbd, powerctl_prop)
type surfaceflinger_service, service_manager_type;
type surfaceflinger, domain;
SurfaceFlinger u:object_r:surfaceflinger_service:s0
type surfaceflinger_exec, exec_type, file_type;
/system/bin/surfaceflinger u:object_r:surfaceflinger_exec:s0
#允許surfaceflinger讀,寫,調用Binder IPC
binder_use(surfaceflinger)
#允許surfaceflinger訪問,調用binderservicedomain的Binder IPC
binder_call(surfaceflinger, binderservicedomain)
binder_call(surfaceflinger, appdomain)
binder_call(surfaceflinger, bootanim)
#將surfaceflinger與binder service的屬性域binderservicedomain相連
binder_service(surfaceflinger)
定義節點類型
device/mediatek/common/sepolicy/file.te
type demo_file, fs_type,sysfs_type;
定義文件上下文
device/mediatek/common/sepolicy/file_contexts
/dev/demo_file u:object_r:demo_file:s0
定義App權限
ps -Z查看應用權限上下文,如Setting是u:r:system_app:s0
rw_file_perms是一組權限的集合,包含讀與寫權限
device/mediatek/common/sepolicy/system_app.te
allow system_app demo_file:file rw_file_perms;
定義服務權限,rw_file_perms是權限集,包含讀寫權限
device/mediatek/common/sepolicy/system_server.te
allow system_server demo_file:file rw_file_perms;
定義文件類型
device/mediatek/common/sepolicy/file.te
type proc_mtk_demo, fs_type;
定義虛擬文件系統的文件安全上下文
device/mediatek/common/sepolicy/genfs_contexts
genfscon proc /mtk_demo/current_demo u:object_r:proc_mtk_demo:s0
給予shell的進程讀寫權限,由/system/bin/sh啓動的命令會與shell有同樣的進程權限域
device/mediatek/common/sepolicy/shell.te
allow shell proc_mtk_demo:file {open read write getattr};
APP的讀取權限
device/mediatek/common/sepolicy/system_app.te
allow system_app proc_mtk_demo:file rw_file_perms;
App使用方法之一:
String[] cmd = {
"/system/bin/sh", "-c", "echo " + st + " > " + "/proc/mtk_demo/current_demo",
};
Runtime.getRuntime().exec(cmd);
App使用方法之二,可以直接使用Java File來讀寫該文件: