Android系统集成自己的程序
Android P海思3798mv200平台集成
init启动程序
- 都是知道init进程是内核启动的第一个用户进程,在Android 中init.rc (system/core/rootdir)起着至关重要的一部分,Android 刚开始启动就是根据这个rc资源文件来的,要自己的可执行程序类似mediaserver这些程序在开机的时候启动,就需要在init.rc添加自己的启动项
on boot
start test
service test /system/bin/test
class main
user root
group root
之前在Android N平台上selinux是disabled的,这样是生效的
但是Android P上好像没有直接关闭selinux这个项,在bootargs_...txt文件中设置androidboot.selinux为disabled,但是开机启动时仍然是Enforcing,查找原因:
selinux分析
发现在Android P上 system/core/init/init.cpp 中selinux状态枚举类型 enum selinux_enforcing_status { SELINUX_PERMISSIVE, SELINUX_ENFORCING, SELINUX_DISABLED };
包含三种状态的,这样adb shell getenforce ,源码如下
static selinux_enforcing_status selinux_status_from_cmdline() {
selinux_enforcing_status status = SELINUX_ENFORCING;
import_kernel_cmdline(false, [&](const std::string& key, const std::string& value, bool in_qemu) {
if (key == "androidboot.selinux" && value == "permissive") {
status = SELINUX_PERMISSIVE;
}else if (key == "androidboot.selinux" && value == "disabled") {
status = SELINUX_DISABLED;
}
});
return status;
}
然而在Android P上单独分离出一个文件system/core/init/selinux.cpp,是如下定义的,
enum EnforcingStatus { SELINUX_PERMISSIVE, SELINUX_ENFORCING };
EnforcingStatus StatusFromCmdline() {
EnforcingStatus status = SELINUX_ENFORCING;
import_kernel_cmdline(false,
[&](const std::string& key, const std::string& value, bool in_qemu) {
if (key == "androidboot.selinux" && value == "permissive") {
status = SELINUX_PERMISSIVE;
}
});
return status;
}
添加TE规则
显而易见,并没有disabled状态,得另想方案,于是在网络就看到了添加selinux 的te规则,使得Android系统允许开机运行我们的程序,设置androidboot.selinux为permissive
在device/hisilicon/bigfish/system/sepolicy/vendor 下添加属于自己的规则,内容如下:
# sepolicy rules for test
type test, domain;
type test_exec, exec_type,file_type;
init_daemon_domain(test)
typeattribute test coredomain;
allow test shell_exec:file { execute read open };
allow test untrusted_app:file { open read getattr };
allow test storage_file:lnk_file { read write};
allow test mnt_user_file:dir { search getattr };
allow test mnt_user_file:file { read write };
allow test mnt_user_file:lnk_file { read getattr };
allow test sdcardfs:dir { read write };
allow test sdcardfs:file { create };
allow test system_data_file:dir { write create search setattr };
allow test system_data_file:dir { create setattr };
allow test media_rw_data_file:dir { write create search remove_name setattr };
allow test media_rw_data_file:file { create setattr write open read unlink };
allow test cpuctl_device:dir { search };
allow test sdcardfs:dir create_dir_perms;
allow test sdcardfs:file create_file_perms;
allow test mnt_media_rw_file:dir create_dir_perms;
allow test mnt_media_rw_file:file create_file_perms;
同目录下file_contexts也要定义:
/system/bin/test u:object_r:test_exec:s0
这样结合上面这些,在init.rc中定义,并且添加属于自己的规则TE文件,在selinux为permissive的情况的也能完成程序的自启动
Vendor和System
Android P和Android N不同,从Android O开始Google添加了客制化分区vendor分区,这样导致原本在Android N上的运行程序放入system/bin下运行不了了,找不到库,因为海思将他们的移到vendor/lib下面了,然而将自己程序移至vendor/bin下也会有许多问题,这样在打包生成镜像之前时就将vendor/lib所需要的库copy到system/lib下,修改system/extras/ext4_utils/mkuserimg_mke2fs.sh脚本即可
