2. 程式人生 > >Android 使用者組許可權,SELinux心得總結

Android 使用者組許可權,SELinux心得總結

阿新 發佈:2018-12-20

這裡要分兩個部分來說,一個是Linux許可權組的設定,一個是SELinux。

我們先不考慮SELinux。先單獨來說Linux許可權組。

因為要想對某個檔案進行操作(read,write,execute等),必須先滿足Linux許可權組的規則,然後再滿足SeLinux的allow條件,才能成功操作。

我們最好找一臺userdebug軟體的手機來進行除錯學習。我這邊是在Android O上進行示範。

Linux許可權組:

我們知道每開一個程序,都對應一個虛擬機器例項。它有一個對應uid。

adb shell

EDA51-1:/ # ps -A |grep com

system       26267   899 4378628  82036 SyS_epoll_wait 6ffcd7b420 S com.android.settings

u0_a30        1669   899 4418756 118956 SyS_epoll_wait 6ffcd7b420 S com.android.systemui

system       26333   899 4338916  63952 SyS_epoll_wait 6ffcd7b420 S com.potter.honeysigapk

nfc           2456   899 4345896  56824 SyS_epoll_wait 6ffcd7b420 S com.android.nfc

radio         3856   899 4317736  37988 SyS_epoll_wait 6ffcd7b420 S com.qualcomm.simcontacts

這裡的system,u0_a30,nfc等等就是uid。

首先,這些uid是怎麼來的,在哪定義的?

system/core/include/private/android_filesystem_config.h

#define AID_ROOT 0 /* traditional unix root user */

#define AID_SYSTEM 1000 /* system server */

#define AID_RADIO 1001           /* telephony subsystem, RIL */

#define AID_BLUETOOTH 1002       /* bluetooth subsystem */

值的關注的有

#define AID_ROOT 0

#define AID_SYSTEM 1000

#define AID_APP 10000       /* TODO: switch users over to AID_APP_START */

#define AID_APP_START 10000 /* first app user */

#define AID_APP_END 19999   /* last app user */

#define AID_USER 100000

這裡只有大寫的,你可以會問,應該是一一對應的,比如init,rc裡面也有用到root,system等,要對應小寫的才對呀?

上面那個.h檔案底部有以下注釋。在Android O上已經是自動生成的了。在早些版本是宣告的。

/*

 * android_ids has moved to pwd/grp functionality.

 * If you need to add one, the structure is now

 * auto-generated based on the AID_ constraints

 * documented at the top of this header file.

 * Also see build/tools/fs_config for more details.

 */

早些版本宣告類似:

static const struct android_id_info android_ids[] = {

    { "root",          AID_ROOT, },

    { "system",        AID_SYSTEM, },

    { "radio",         AID_RADIO, },

{ "bluetooth",     AID_BLUETOOTH, },

….

如果你和我一樣好奇,可能還會問

u0_a30        1669   899 4418756 118956 SyS_epoll_wait 6ffcd7b420 S com.android.systemui

這個u0_a30,還有其他的u0_axx都是怎麼來的,不可能全部定義吧,這個規則在哪?

上一個問題裡,我們知道其實android_ids是自動生成的。詳細步驟參考:

app的uid/100000的結果為userid,填到ux的x處。

app的uid減去10000為appid,填到axx的xx處。

例如某個app的uid是10022,經過計算,userid為10022/100000=0,appid為10022-10000=22,則那麼最終通過ps列印得到uid字串就是u0_a22

可能你還會問,Settings和SystemUI都是系統apk,為什麼一個是system,一個是u0_axx?

這個其實很簡單,Settings的AndroidManifest.xml裡面聲明瞭android:sharedUserId="android.uid.system"

我們知道sharedUserID一致,同時簽名一致的兩個apk可以共享資料。這裡多說一句,其實

SystemUI和Keyguard在android高版本里面也是同一個uid。

frameworks/base/packages/Keyguard/AndroidManifest.xml:21:    android:sharedUserId="android.uid.systemui"

frameworks/base/packages/SystemUI/AndroidManifest.xml:22:        android:sharedUserId="android.uid.systemui"

這裡我們對uid的定義,來由有了一些瞭解。下面繼續看為什麼需要uid,它有什麼用。

下面的ipsm分割槽是我司自己定製的,大家可以忽略。

EDA51-1:/ # ls -l

drwxrwx--x  47 system   system      4096 1970-01-07 12:06 data

drwxr-xr-x  14 root     root        3800 2018-11-08 15:11 dev

drwxrwx--x   4 system   system      4096 1970-01-07 12:05 ipsm

lrw-r--r--   1 root     root          21 2018-11-08 17:12 sdcard -> /storage/self/primary

drwxr-xr-x   5 root     root         100 2018-11-08 15:06 storage

dr-xr-xr-x  13 root     root           0 1970-01-07 12:12 sys

drwxr-xr-x  16 root     root        4096 2018-11-08 17:12 system

drwxr-xr-x  17 root     root        4096 1970-01-01 08:00 vendor

第一列 共有10位,從左到右邊意思如下

   1  位 表示檔案的型別

   2~4位 表示檔案所有者的許可權就是系統對該檔案所擁有的許可權

   5~7位 表示檔案所在群組的許可權

   8~10  表示檔案的其它使用者許可權

第二列 純數字 表示檔案連結個數

第三列 表示檔案所有者

第四列 表示檔案所在的群組

第五列 表示檔案的大小

第六列 表示檔案最後更新的時間

第七列 表示檔案的名稱

b就是block

d就是directory

l就是link

舉個例子,我們知道某個apk的SharedPreference資料是放在/data/data/com.xxx.xxx/files/裡的

EDA51-1:/data/data # ls -l

drwx------ 4 system    system    4096 1970-01-07 12:06 android

drwxr-x--x 4 u0_a78    u0_a78    4096 2018-11-08 15:06 com.action.ext.servicie

drwx------ 4 u0_a29    u0_a29    4096 2018-11-08 15:06 com.android.apps.tag

drwxr-x--x 4 system    system    4096 2018-11-08 15:06 com.android.backup

drwx------ 4 u0_a49    u0_a49    4096 2018-11-08 15:06 com.android.egg

drwx------ 7 u0_a50    u0_a50    4096 2018-11-08 15:07 com.android.email

drwx------ 4 u0_a13    u0_a13    4096 2018-11-08 15:06 com.android.emergency

可以看到/data/data/com.xxx.xxx的目錄,對應的apk是具有讀寫許可權的,而其他組則沒有。

我們以檔案管理器再來舉例子:

EDA51-1:/data/data # ps -A|grep file

u0_a38       26659   899 4364576 100916 SyS_epoll_wait 6ffcd7b420 S com.cyanogenmod.filemanager

從我們的經驗來看,檔案管理是可以操作外部儲存的(我們插入的sdcard以及storage/emulated/0/)

我們先去storage/emlulated/0目錄下去ls -l看一下

EDA51-1:/storage/emulated # ls -l

drwxrwx--x 16 root sdcard_rw 4096 2018-11-09 07:47 0

EDA51-1:/storage/emulated/0 # ls -l

drwxrwx--x 2 root sdcard_rw    4096 2018-11-08 15:07 Alarms

drwxrwx--x 3 root sdcard_rw    4096 2018-11-08 15:07 Android

drwxrwx--x 2 root sdcard_rw    4096 2018-11-08 15:07 DCIM

這裡可以看到,root和sdcard_rw這兩個id都可以寫storage/emulated/0這個目錄的,可是我們的檔案管理器既不是root也不是sdcard_rw啊,而是u0_a38 ,怎麼做到的?

這個問題的解答涉及到一個檔案:frameworks/base/data/etc/platform.xml

它定義了宣告哪些許可權可以得到哪些對應組的操作許可權。

    <permission name="android.permission.WRITE_MEDIA_STORAGE" >

        <group gid="media_rw" />

        <group gid="sdcard_rw" />

    </permission>

也就是說我的FileManager只需要在AndroidManifest.xml裡面聲明瞭android.permission.WRITE_MEDIA_STORAGE就ok了。

這裡又衍生出一個問題?

為什麼我們經常是用的是

<permission name="android.permission.READ_EXTERNAL_STORAGE" />

<permission name="android.permission.WRITE_EXTERNAL_STORAGE" />而不是android.permission.WRITE_MEDIA_STORAGE?

是否他們都在一個許可權組呢?我們知道動態許可權給了其中一個,整個組的許可權都會給到

frameworks\base\core\res\AndroidManifest.xml

裡面有

<!-- Allows an application to write to external storage.

{@link android.content.Context#getExternalFilesDir} and

         {@link android.content.Context#getExternalCacheDir}.

<permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"

        android:permissionGroup="android.permission-group.STORAGE"

<permission android:name="android.permission.READ_EXTERNAL_STORAGE"

        android:permissionGroup="android.permission-group.STORAGE"

<!-- @SystemApi Allows an application to write to internal media storage

         @hide  -->

<permission android:name="android.permission.WRITE_MEDIA_STORAGE"

        android:protectionLevel="signature|privileged" />

可以看到,WRITE_EXTERNAL_STORAGE和READ_EXTERNAL_STORAGE在同一個許可權組。而WRITE_MEDIA_STORAGE不在裡面。那為什麼給了WRITE_EXTERNAL_STORAGE許可權,就可以讀外部儲存呢(雖然註釋寫了可以讀外部儲存,但是我需要確鑿的證據)?

那應該有個地方宣告:

    <permission name="android.permission.WRITE_EXTERNAL_STORAGE" >

        <group gid="sdcard_rw" />

    </permission>

為什麼在framework目錄沒找到呢,frameworks/base/data/etc/platform.xml裡面也沒有啊?

frameworks/base/data/etc/platform.xml裡面是這個寫的:

    <!-- These are permissions that were mapped to gids but we need

         to keep them here until an upgrade from L to the current

         version is to be supported. These permissions are built-in

         and in L were not stored in packages.xml as a result if they

         are not defined here while parsing packages.xml we would

         ignore these permissions being granted to apps and not

         propagate the granted state. From N we are storing the

         built-in permissions in packages.xml as the saved storage

         is negligible (one tag with the permission) compared to

         the fragility as one can remove a built-in permission which

         no longer needs to be mapped to gids and break grant propagation. -->

    <permission name="android.permission.READ_EXTERNAL_STORAGE" />

    <permission name="android.permission.WRITE_EXTERNAL_STORAGE" />

好吧,這段我也沒理解太懂,我去找了下packages.xml,它生成在/data/system/packages.xml,還有個/data/system/packages.list,兩個都pull出來,也沒找到sdcard_rw.

簡單看no longer needs to be mapped to gids就可以了.這一塊具體在哪我就沒再深究了。

這一部分,意思就是說我們可以通過申請許可權來加入到一些gid裡面去。擴充套件我們apk的檔案操作範圍。

再多講一個我這邊遇到的問題

這個例子強調的對檔案的操作(如把檔案A拷貝到另一個目錄),拷貝後的檔案一定要關注它開放給其他組的許可權。

客戶有個需求,是動態替換開機動畫。他們傳入一個路徑字串。我們提供介面。

實現的方式是在BootAnimation.cpp擴充套件一個目錄,預設是/system/media/bootanimation.zip嘛。

然後通過我們定義的api(我們的一個系統apk,sharedUserID是system的)把客戶的zip檔案通過程式碼拷貝到我們的目標路徑。

當然,這中間涉及到我司的ipsm分割槽和一些Selinux對應的te檔案修改,這些不細說。

只講,程式碼拷貝過來的檔案的許可權問題,就是拷貝過來的檔案,哪些組可以對他進行rwe.

我們嘗試adb的方法(在userdebug上)

adb push bootanimation.zip /ipsm/media/honeywell

重啟手機可以看到生效額。

但是先把bootanimation.zip放在sdcard,然後用程式碼拷貝過去卻不行?

adb push後:

EDA51-1:/ipsm/media/honeywell # ls -l

-rw-rw-rw- 1 root     root     7649510 2018-08-22 23:55 bootanimation.zip

程式碼拷貝後:

EDA51-1:/ipsm/media/honeywell # ls -l

-rw------- 1 system   system   7649510 2018-11-08 14:09 bootanimation.zip

發現push的是root,而且其他使用者是可以rw的。

而程式碼拷貝是system,其他使用者是不能讀寫的。

EDA51-1:/ipsm/media/honeywell # chmod -R 777 bootanimation.zip後

EDA51-1:/ipsm/media/honeywell # ls -l

-rwxrwxrwx 1 system   system   7649510 2018-11-08 14:09 bootanimation.zip

重啟可以了。

那麼程式碼裡面如何修改許可權呢?

程式碼裡面通過Runtime去做肯定不行了,貌似android M以後的user版本就沒有su了。

不是su的話,shell裡面也是不行的,這種方式更別提程式碼裡面了。

EDA51-1:/ipsm/media/honeywell $ chmod -R 777 bootanimation.zip

chmod: chmod 'bootanimation.zip' to 100777: Operation not permitted提示沒有許可權。

可以通過以下方式:

private void changeFolderPermission(File dirFile) throws IOException {

    Set<PosixFilePermission> perms = new HashSet<PosixFilePermission>();

    perms.add(PosixFilePermission.OWNER_READ);

    perms.add(PosixFilePermission.OWNER_WRITE);

    perms.add(PosixFilePermission.OWNER_EXECUTE);

    perms.add(PosixFilePermission.GROUP_READ);

    perms.add(PosixFilePermission.GROUP_WRITE);

    perms.add(PosixFilePermission.GROUP_EXECUTE);

    perms.add(PosixFilePermission.OTHERS_READ);

    perms.add(PosixFilePermission.OTHERS_WRITE);

    perms.add(PosixFilePermission.OTHERS_EXECUTE);

    try {

        Path path = Paths.get(dirFile.getAbsolutePath());

        Files.setPosixFilePermissions(path, perms);

    } catch (Exception e) {

        //logger.log(Level.SEVERE, "Change folder " + dirFile.getAbsolutePath() + " permission failed.", e);

    }

}

這個api是AndroidO才有的。那麼Android N及以下怎麼處理呢?

我們可以在bootanimation.cpp裡面加上system("chmod 777 /ipsm/media/bootanimation.zip");當然,這樣一開始也是不會生效的,因為會因為Selinux報avc。

avc: denied { execute } for name="sh" dev="mmcblk0p32" ino=995 scontext=u:r:bootanim:s0 tcontext=u:object_r:shell_exec:s0 tclass=file permissive=0

這個需要去bootanim.te裡面去allow一下就可以了。

總結來說:

判斷一個apk是否能對某個目錄或者檔案進行對應的操作?

在不考慮SELinux的情況下,需要考慮以下幾點:

1.ps -A|grep  com.xxx.xx 獲取這個apk的uid

2.cd 到對應目錄,ls -l,看這個目錄或者檔案的對應操作許可權對那些uid開放。

3.可以通過修改sharedUserID,在AndroidManifest.xml增加對應許可權加入到對應gid組裡面去,獲取對檔案or目錄的操作許可權。

SELinux:

selinux這個大家一般都用的比較多了。網上資料也比較多。

我個人的心得是兩點:

1.userdebug軟體上可以通過adb shell 然後getenforce,setenforce(0或者1)去進行除錯

Permissive說明是關閉(寬容)的。這種模式也會列印avc denied的log,但是實際沒做限制。

Enforcing說明是開啟的。即列印log,也實際生效,預設高版本的Android Selinux是開啟的。

需要注意一點,Selinux的狀態在重啟後會重置。比如開機的時候從預設的Enforcing改為Permissive,重啟後又變成Enforcing。這一點在除錯重啟階段的問題會有點蛋疼。

2.因為修改SELinux對應的te檔案可能會導致gms測試有fail項,一般來說我們修改

device\xxx\sepolicy\common\下的te檔案,不要去動到system/sepolicy目錄下的te檔案的neverallow,就不會有什麼問題。如果allow和neverallow衝突了,編譯是會報錯的。

相關推薦

Android 使用者許可權SELinux心得總結

這裡要分兩個部分來說,一個是Linux許可權組的設定,一個是SELinux。 我們先不考慮SELinux。先單獨來說Linux許可權組。 因為要想對某個檔案進行操作(read,write,execute等),必須先滿足Linux許可權組的規則,然後再滿足SeLinux的a

android 6.0許可權onRequestPermissionsResult回撥不執行問題

許可權是目前APP必不可少的,這裡介紹一下onRequestPermissionsResult回撥不執行問題。 一,正常使用android 6.0許可權: 思路: 1.檢查判斷 如果應用具有此許可權,方法將返回PackageManager.PERMISSION_GRA

Android擁有系統許可權設定允許安裝未知來源的應用。

關於系統設定的程式碼,基本都在android.provider.Settings類中。仔細檢視Settings類,可以找到如下的常量值: /** * Whether applications can be installed

android 6.0許可權onRequestPermissionsResult回撥不執行

一、正常的使用方法 如果應用具有此許可權,方法將返回PackageManager.PERMISSION_GRANTED,並且應用可以繼續操作。 如果應用不具有此許可權,方法將返回PERMISSION_DENIED,且應用必須明確向用戶要求許可權。

去重call、apply、bind之間的區別this用法總結

步驟 -- 之間 undefined 定義 ply clas turn 需要 一、數組去重,直接寫到Array原型鏈上。 1 //該方法只能去除相同的數字 不會去判斷24和‘24‘是不同的 所有數字和字符串數字是相同是重復的 2 Array.prototype

Android四大總結

onstop etop 匹配 重新啟動 onpause 優先 終止廣播 傳遞數據 ima 1:Actiivty   用戶可以看見並可以操作的界面   Activity開啟方式:startActivityForResult          :startActivity   

Python 基本類型:元列表字典字符串集合 梳理總結

負數 true HR 產生 字符 for循環 bsp temp 不同 一、元組(tuple) 1.特性:不可更改的數據序列。【理解:一旦創建元組,則這個元組就不能被修改,即不能對元組進行更新、增加、刪除操作】 2.創建:一對圓括號“()”和其包含的元素(若沒有元素

Linux下用root許可權新增使用者並給使用者或使用者指定目錄的讀寫許可權(比如:tomcat檔案的讀寫許可權可以用於新使用者部署專案)

目的: 在linux環境中為了安全起見,不能讓所有專案都用root部署(防止root許可權過大,對重要檔案的誤操作),所以新加使用者或使用者組,對新使用者或使用者組授予部分檔案操作的許可權。 1.建立使用者newuser,並設定密碼(預設連帶建立newuser組) # useradd n

本地策略和策略更改安全設定和使用者許可權分配相容性問題

如果您更改安全設定和使用者許可權分配,則可能會導致客戶端、服務和程式問題發生 適用於: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter

【TP5.1】使用者許可權管理(列表新增修改)

author:咔咔 wechat:fangkangfk   在上一篇我們處理了使用者列表的分頁,這一篇文章寫使用者組的管理,也是需要到分頁的,所以我們就花倆分鐘搞一下子   這塊的業務就很簡單的,先上控制器程式碼   建立userG

Android : 為系統服務新增 SeLinux 許可權 (Android 9.0)

一、SElinux在Android 8.0後的差異:   從Android 4.4到Android 7.0的SELinux策略構建方式合併了所有sepolicy片段(平臺和非平臺),然後在根目錄生成單一檔案,而Android 8.0開始關於selinux架構也類似於HIDL想把系統平臺的selinux策略和

DISABLE_KEYGUARD許可權關於Android許可權(有copy部分請理解)

1、背景 這次公司提交的新版本,menifest新增加了DISABLE_KEYGUARD,這個許可權,允許程式禁用鍵盤鎖   2、Google Play提交的時候,對新增加對許可權,有了要求 要求說明一下這個許可權的用途   3、是時候全面瞭解Andr

Python中非數字型變數:列表字典字串的總結

列表(儲存一組資料):list,用[]定義,資料之間用“,”分隔 定義列表: 列表名字 = [“引數1”,“引數2”……] 取值和取索引: 列表名字[索引] 索引從0開始(從前到後) 從後到前取值時:索引最後一個是-1,依次-2…… 建立一個空列表,以列表的名字加“.”,按下tab鍵,會看到

Android 許可權管理(那些需要申請許可權哪些不需要申請許可權

6.0許可權的基本知識,以下是需要單獨申請的許可權,共分為9組,每組只要有一個許可權申請成功了,就預設整組許可權都可以使用了。   group:android.permission-group.CONTACTS     permission:android.perm

alpha階段最後一天總結(alpha的任務基礎版本已完成本天全划水完結撒花~)

 昨天(12.7)我們都幹了啥 小組 組員 今日完成 今日新增 遇到困難 劉澤 完成了拼接圖片任務 無 無 張一卓 所有任務已完成。 無

android實現檢測app是否有通知許可權沒有就跳轉去設定設定成功返回時並測試發出一條通知訊息

1.判斷是否有通知許可權 2.沒有的話,彈出一個對話方塊,提示使用者是否去設定,使用者點選確定後跳轉到設定頁面 3.手動設定許可權成功後,結果會返回到 onActivityResult方法中,其中返回的請求碼等於傳入的碼時,並且結果碼等於2,編輯正確設定了,此時就可以呼

Linux使用者許可權 tar命令

  -u:使用者的UID -g:使用者的GID(主組) -G:將一個使用者加入到指定的群組中(附加組)-d:使用者的家目錄 -c:使用者的備註資訊 -s:使用者所用的shell/bin/bash就說明這個使用者可以登入作業系統,sbin/nologin不能登入作業系統,uid為0的就代

Android在應用設定裡關閉許可權返回生命週期處理

問題 在處理6.0執行時許可權時,很多人都忽略了這樣一個問題: 在一個App應用裡,如果已經允許了一個許可權比如(讀取通訊許可權),此刻去呼叫相機,彈出許可權申請對話方塊,此刻點選拒絕,然後經過處理後彈出去設定許可權介面(因為許可權總歸是要申請),如果再在置介面裡開啟應用許

python3.X爬蟲針對拉鉤直聘大街等招聘網站的簡歷爬蟲抓取心得總結一 (ide pycharm執行)

在面對登陸問題的網站例如向拉鉤,大街網,直聘等需要進行模擬登陸的問題, 這裡我才用的selenium+chrome的方式,進行獲取cookies 然後轉化成requests中的cookie 再進行具體的內容的抓取 這裡裡面遇到問題如下:                

Android控制手電筒程式碼簡單易用不需要任何許可權

1.控制手電筒開關的工具類:public class FlashUtils { private CameraManager manager; private Camera mCamera = null; private Context context;