點擊打開鏈接

溫馨提示

? ? ?建議你先了解一下上一篇博文([Android L]SEAndroid增強Androd安全性背景概要及帶來的影響)所講的內容，先對SEAndroid窺個全貌，然后再繼續(xù)本節(jié)內容。

1 現象描述

基于Android L版本源碼環(huán)境進行開發(fā)時，根據項目需求，APP層需要操作sys/xxx 或 proc/xxx下面的文件結點，但是會報出以下權限異常，無法直接操作這些結點 LedLightFileUtil( 4671): java.io.FileNotFoundException: /sys/class/leds/green/brightness: open failed: EACCES (Permission denied) LedLightFileUtil( 4671): at libcore.io.IoBridge.open(IoBridge.java:456) LedLightFileUtil( 4671): at java.io.FileOutputStream.<init>(FileOutputStream.java:87) LedLightFileUtil( 4671): at java.io.FileOutputStream.<init>(FileOutputStream.java:127) LedLightFileUtil( 4671): at java.io.FileOutputStream.<init>(FileOutputStream.java:116)
【聲明】歡迎轉載，但請保留文章原始出處：http://blog.csdn.net/yelangjueqi/article/details/46761987

2 問題原因

自Android L版本，Google對源碼環(huán)境普遍啟用SELinux安全訪問機制，APP及framework層默認情況下再無權限訪問設備節(jié)點如(sys/xxx,proc/xxx)

3 解決方法

下面以三種常用操作角度闡述為system app進程或system server進程開放權限的方法 1) SEAndroid 為sys設備文件結點開放訪問(讀或寫)權限的方法(如：/sys/class/leds/green/brightness) 2)?SEAndroid 為proc設備文件結點開放訪問(讀或寫)權限的方法(如：/proc/touchscreen_feature/gesture_data) 3)?SEAndroid 為SystemProperties的自定義屬性開放set(寫)權限的方法

3.1?SEAndroid 為sys設備文件結點開放訪問(讀或寫)權限的方法(如：/sys/class/leds/green/brightness)

以操作LED燈的設備文件節(jié)點為例進行說明，如綠燈:/sys/class/leds/green/brightness，為APP層system app進程開放該節(jié)點訪問權限(讀或寫) 綠燈: /sys/class/leds/green/brightness //快捷方式 /sys/devices/soc.0/gpio-leds.66/leds/green/brightness //實際節(jié)點
PS:默認是在external/sepolicy目錄下面，但是MTK平臺和QCOM平臺都創(chuàng)建了自己管理SELinux policy的目錄： MTK:alps/device/mediatek/common/sepolicy QCOM:android/device/qcom/sepolicy/common 所以建議你在其平臺的相應目錄下面去操作，下面以QCOM平臺為例，MTK平臺配置步驟方法是一樣的(alps/device/mediatek/common/sepolicy)
3.1.1 在android/device/qcom/sepolicy/common/file.te,定義selinux type:sysfs_wingtk_leds,如下:
type?sysfs_wingtk_leds, fs_type, sysfs_type;
3.1.2 在android/device/qcom/sepolicy/common/file_contexts,綁定sysfs_wingtk_leds到對應的實際節(jié)點,注意是實際節(jié)點
/sys/devices/soc.0/gpio-leds.66/leds/green/brightness?u:object_r:sysfs_wingtk_leds:s0
PS:可以把/sys/class/leds/green/brightness也聲明下,該句不是必須的:
/sys/class/leds/green/brightness?u:object_r:sysfs_wingtk_leds:s0
匯總:file_contexts的修改如下:
/sys/class/leds/green/brightness u:object_r:sysfs_wingtk_leds:s0 /sys/devices/soc.0/gpio-leds.66/leds/green/brightness u:object_r:sysfs_wingtk_leds:s0
3.1.3 在android/device/qcom/sepolicy/common/system_app.te,申請權限:
allow system_app?sysfs_wingtk_leds:file rw_file_perms;
PS:也可以為其他process申請相關的權限,如:system_server,在android/device/qcom/sepolicy/common/system_server.te
allow system_server sysfs_wingtk_leds:file rw_file_perms;
PS:配置第2步的實際節(jié)點時,怎么獲取實際節(jié)點,方法如下:
root@K31-t7:/sys/class/leds #?ll -Z lrwxrwxrwx root root u:object_r:sysfs:s0 flashlight -> ../../devices/soc.0/flashlight.64/leds/flashlight lrwxrwxrwx root root u:object_r:sysfs:s0 green -> ../../devices/soc.0/gpio-leds.66/leds/green lrwxrwxrwx root root u:object_r:sysfs:s0 lcd-backlight -> ../../devices/soc.0/1a00000.qcom,mdss_mdp/qcom,mdss_fb_primary.124/leds/lcd-backlight lrwxrwxrwx root root u:object_r:sysfs:s0 mmc0:: -> ../../devices/soc.0/7824900.sdhci/leds/mmc0:: lrwxrwxrwx root root u:object_r:sysfs:s0 mmc1:: -> ../../devices/soc.0/7864900.sdhci/leds/mmc1:: lrwxrwxrwx root root u:object_r:sysfs:s0 red -> ../../devices/soc.0/gpio-leds.66/leds/red lrwxrwxrwx root root u:object_r:sysfs:s0 torch-light0 -> ../../devices/soc.0/qcom,camera-led-flash.65/leds/torch-light0 root@K31-t7:/sys/class/leds #
通過?ll -Z?命令就可以查到。
3.1.4 在AndroidManifest.xml,配置:android:sharedUserId="android.uid.system",該步時必須的,因為第三步是: allow system_app?sysfs_wingtk_leds:file rw_file_perms;?//僅允許system_app進程訪問.
經過以上四步,APP層就可以正常讀寫:/sys/class/leds/green/brightness
為了更好地控制訪問權限,如果存在APP層和framework層都要訪問某個設備節(jié)點,筆者認為最好以此模式來訪問設備節(jié)點,即不讓system_app進程訪問,僅僅允許system_server進程來訪問,如下: allow system_server sysfs_wingtk_leds:file rw_file_perms;
缺點:需要在framework層添加隨系統啟動的service,增加代碼量 優(yōu)點:1.可以自由控制哪些應用可以訪問,哪些應用禁止訪問已經開放的設備節(jié)點,可以更好的保護安全問題 2.framework層和APP層都可以訪問該設備節(jié)點.不用再另外進行權限申請

3.2?SEAndroid 為proc設備文件結點開放訪問(讀或寫)權限的方法(如：/proc/touchscreen_feature/gesture_data)，以MTK平臺為例

修改記錄
細節(jié)展開

3.2.1 在alps/mediatek/common/sepolicy/file.te 定義selinux type: proc_quick_gesture，如下： type proc_quick_gesture, fs_type;
3.2.2?在 alps/mediatek/common/sepolicy/genfs_contexts,綁定proc_quick_gesture到對應的實際節(jié)點 genfscon proc /touchscreen_feature/gesture_data ? u:object_r:proc_quick_gesture:s0

3.2.3?在alps/mediatek/common/sepolicy/common/system_app.te,申請權限 allow system_app?proc_quick_gesture:file rw_file_perms;
3.2.4 在AndroidManifest.xml,配置:android:sharedUserId="android.uid.system" 經過以上4步，system_app進程就具備權限(讀或寫)訪問/proc/touchscreen_feature/gesture_data等節(jié)點啦

3.3?SEAndroid 為SystemProperties的自定義屬性開放set(寫)權限的方法

問題描述 SystemProperties對自定義屬性沒有寫權限,即set時提示沒有權限,導致寫不成功 解決方法 以"persist.backgrounddata.enable"為例介紹開放屬性權限方法
以QCOM平臺為例 3.3.1?android/device/qcom/sepolicy/common/property.te
type persist_backgrounddata_prop, property_type;
3.3.2?android/device/qcom/sepolicy/common/property_contexts
persist.backgrounddata.enable u:object_r:persist_backgrounddata_prop:s0
3.3.3?android/device/qcom/sepolicy/common/system_app.te，為system_app進程開放權限
allow system_app persist_backgrounddata_prop:property_service set;
3.3.4?在AndroidManifest.xml,配置:android:sharedUserId="android.uid.system"
經過以上4步，就可以使用SystemProperties.set("persist.backgrounddata.enable"", xx)設置屬性了。

延伸閱讀

如果通過以上步驟正確配置之后，你仍沒有權限讀寫sys或proc節(jié)點，是不是DAN都碎了。再告訴你下，你需要到init.rc里面配置： chown system system 文件結點，然后chmod下文件結點。兩個平臺配置路徑，項目不同略有差異 MTK:alps/device/mediatek/mt6735/init.mt6735.rc QCOM:xx/xx/init.target.rc

《新程序員》：云原生和全面數字化實踐50位技術專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的[Android L]SEAndroid开放设备文件结点权限(读或写)方法(涵盖常用操作：sys/xxx、proc/xxx、SystemProperties)热门干货的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。