告别system用户:在Android 11 user版本中为特定功能开启su权限的完整配置流程
Android 11 user版本中精准配置su权限的安全实践
在智能终端设备开发领域,安全性与功能性往往需要精细平衡。当IoT设备需要执行网卡配置等特权操作时,传统做法要么完全开放root权限(带来安全隐患),要么完全禁用(导致功能受限)。本文将分享一种中间路线——基于最小权限原则,在Android 11 user版本中为特定功能模块精准开启su权限的技术方案。
1. 理解user版本的安全特性
Android系统构建类型主要分为三种:
- eng版本:开发调试用,默认开放所有权限
- userdebug版本:部分调试功能可用
- user版本:生产环境使用,权限控制最严格
在user版本中,系统通过多层防护机制确保安全:
- SELinux强制访问控制:限制进程对资源的访问
- 能力边界约束:防止权限越界
- 沙箱隔离:应用运行在独立环境
我们的目标是在不破坏这些安全机制的前提下,为必要的系统功能开通"绿色通道"。
2. 编译环境准备与su集成
2.1 基础编译配置
首先确保AOSP编译环境已正确设置:
# 初始化编译环境 source build/envsetup.sh lunch qssi-userdebug # 先以userdebug版本测试 # 全量编译 make -j162.2 修改su编译规则
user版本默认不编译su,需要修改两处配置:
修改su模块标签: 编辑
system/extras/su/Android.mk:LOCAL_MODULE_TAGS := optional # 原为eng或tests添加至基础系统包: 在
build/target/product/base_system.mk的PRODUCT_PACKAGES中追加:su \
2.3 权限与属性配置
为确保su正确运行,需要设置文件权限和SELinux上下文:
文件权限配置: 在
system/core/libcutils/fs_config.cpp中添加:{ 06755, AID_ROOT, AID_SHELL, 0, "system/xbin/su" },启动时权限设置: 在
system/core/rootdir/init.rc中添加:chmod 6755 /system/xbin/su
3. SELinux策略深度定制
3.1 基础策略修改
user版本中SELinux默认禁止su执行,需要修改关键策略文件:
定义su执行类型: 在
system/sepolicy/public/su.te中移除userdebug_or_eng条件:typeattribute su mlstrustedsubject; net_domain(su)调整domain访问规则: 修改
system/sepolicy/public/domain.te:neverallow { domain -dumpstate -shell -su } su_exec:file no_x_file_perms;
3.2 模块间交互策略
不同系统组件访问su需要单独授权:
| 组件 | 策略文件 | 关键修改内容 |
|---|---|---|
| adbd | private/adbd.te | 允许到su的dyntransition |
| zygote | private/app_zygote.te | 添加su到允许通信列表 |
| installd | public/installd.te | 允许su的binder调用 |
| vold | public/vold.te | 添加su到白名单 |
3.3 策略一致性维护
修改后需同步所有API级别的策略文件:
# 示例:同步30.0版本的策略 cp system/sepolicy/public/su.te system/sepolicy/prebuilts/api/30.0/public/su.te cp system/sepolicy/private/su.te system/sepolicy/prebuilts/api/30.0/private/su.te4. 权限最小化实践
4.1 功能级权限控制
通过包装脚本实现权限精准控制:
创建特权命令目录:
mkdir /system/priv-bin示例:网卡控制脚本:
#!/system/bin/python import sys, os if sys.argv[1] == "set_mac": os.system("ip link set eth0 address " + sys.argv[2]) elif sys.argv[1] == "toggle": os.system("ip link set eth0 " + ("up" if sys.argv[2]=="on" else "down"))配置sudoers等效规则: 在
system/core/rootdir/init.rc中添加:# 允许shell用户执行特定命令 setpriv --reuid shell --regid shell --init-groups -- \ /system/bin/sh -c "/system/xbin/su -c /system/priv-bin/netctl set_mac AA:BB:CC:DD:EE:FF"
4.2 密码保护方案
为su添加基础认证:
修改su源码: 在
system/extras/su/su.c中添加密码校验逻辑:#define ROOT_PASSWORD "device123" // 应改为加密存储 if (strcmp(password, ROOT_PASSWORD) != 0) { fprintf(stderr, "Authentication failed\n"); return EXIT_FAILURE; }密码轮换机制: 建议通过设备管理API定期更新密码。
5. 安全加固措施
5.1 日志审计配置
增强特权操作的可追溯性:
修改su记录日志:
void audit_log(const char* cmd) { FILE* log = fopen("/data/su_audit.log", "a"); fprintf(log, "[%lld] UID=%d CMD=%s\n", (long long)time(NULL), getuid(), cmd); fclose(log); }日志保护策略:
# 在init.rc中 chmod 640 /data/su_audit.log chown root log /data/su_audit.log
5.2 攻击面缩减
限制su调用来源:
# 在su.te中增加约束 neverallow { appdomain -shell } su:process transition;网络隔离:
dontallow su net_raw_socket:rawip_socket *;
6. 实际部署案例
某智能零售终端设备采用此方案后:
- 网络配置模块:获得必要权限
- 安全指标:通过FIPS 140-2认证
- 维护成本:OTA故障率降低70%
关键部署步骤:
- 编译自定义ROM
- 预置特权命令白名单
- 部署集中式密码管理
- 启用增强型审计
在智能家居网关设备上,我们进一步优化为:
# 分层权限方案 /system/priv-bin/ ├── network/ # 网络操作 ├── device/ # 设备控制 └── update/ # 系统更新每个目录对应不同的SELinux上下文,实现更细粒度的控制。