步骤1:定义vBOARD_SEPOLICY_DIRS的路径 首先,我们需要定义vBOARD_SEPOLICY_DIRS的路径,这通常是系统目录下的一个特定目录。我们可以使用如下代码来定义路径: StringvBOARD_SEPOLICY_DIRS="/system/etc/selinux/"; 1. 这里我们将vBOARD_SEPOLICY_DIRS的路径定义为/system/etc/selinux/。 步骤2:创建并加载SELinux...
政策合并:核心 AOSP 政策与设备专用自定义政策通过 BOARD_SEPOLICY_DIRS 变量指定的目录列表进行合并。 政策编译:合并后的政策文件(如 policy.conf)会被发送到 SELinux 编译器(如 checkpolicy)进行语法检查并编译为二进制格式。 生成二进制政策文件:编译完成后,会生成设备上的 sepolicy 二进制文件。 2. Android 8.0...
BOARD_SEPOLICY_DIRS += device/$SoC/common/sepolicy BOARD_SEPOLICY_DIRS += device/$SoC/$DEVICE/sepolicy 当然也有BOARD_ODM_SEPOLICY_DIRS和BOARD_ODM_SEPOLICY_DIRS分别指定odm和product分区的策略文件。 rk3399对应的vendor seplicy文件目录为device/rockchip/common/sepolicy,各个产品引用如下 device/rockch...
BOARD_SEPOLICY_DIRS += device/$SoC/common/sepolicy BOARD_SEPOLICY_DIRS += device/$SoC/$DEVICE/sepolicy 当然也有BOARD_ODM_SEPOLICY_DIRS和BOARD_ODM_SEPOLICY_DIRS分别指定odm和product分区的策略文件。 rk3399对应的vendor seplicy文件目录为device/rockchip/common/sepolicy,各个产品引用如下 device/rockch...
模块中定义的sepolicy策略文件目录如下加入到系统编译中: 在BoardConfig.mk中找BOARD_SEPOLICY_DIRS,将你的sepolicy目录加到这个变量中,如下所示: BOARD_SEPOLICY_DIRS := \ device/fsl/imx8/sepolicy \ packages/services/Car/evs/sepolicy \ device/fsl/mek_8q/sepolicy 1 2 3 4 BOARD_SEPOLICY_DIRS ...
#配置SELINUX,需要linux内核首先是支持selinux的, #另外需要android的selinux的配置文件sepolicy里面的内容 #然后就是修改BoardConfig.mk #首先会包含厂商定制的sepolicy的文件夹:BOARD_SEPOLICY_DIRS #然后将规则添加到了sepolicy中:BOARD_SEPOLICY_DIRS
BOARD_SEPOLICY_DIRS += device/$SoC/$DEVICE/sepolicy system/sepolicy目录下的file_contexts和BOARD_SEPOLICY_DIRS定义的策略目录最终会编译生成file_contexts.bin文件。 图2.SELinux 编译流程 sepolicy策略文件是有多种源文件组成的,如: 图3.SELinux策略文件 ...
编译系统使用BOARD_SEPOLICY_DIRS等变量加入新的策略文件 初始化设置 Init 初始化 init首次运行在kernel domain。即"u:r:kernel:s0" 设置log和audit回调函数 加载/sepolicy策略文件 设置工作模式:如果系统配置允许Permissive模式,则设置为内核命令行参数中指定的模式,否则Enforcing模式 ...
这些配置变量可参考注释。注意,如果我们的分区是有一些服务的,那么此时最好配置好selinux,CUSTOM_IMAGE_SELINUX设置为true,然后在中BOARD_SEPOLICY_DIRS加入自己的selinux配置,在file_contexts中将整个分区的所有内容默认设置为oemfs(方便使用,oemfs是已定义的selinux规则): ...
system/sepolicy/public/te_macros 尽可能使用宏,以降低因相关权限被拒而导致失败的可能性。定义类型后,需要将其与所代表的文件或进程相关联。 1.4. 安全上下文和类别(file_contexts) 调试SELinux政策或为文件添加标签时(通过file_contexts或运行ls -Z),可能会遇到安全上下文(也称为标签)。