[系统运维]在android系统增加守护进程和SELINUX权限，将应用程序APK的shell命令发送给LINUX，实现系统操作

背景

最近项目有个需求，需要实现扫描并播放局域网的视频。局域网的视频通常是使用smb协议的samba文件夹。我们的产品是机顶盒，基于android R以及android Q。

方案设计

1，在应用层做一个APK，作为client。实现局域网samba文件夹的扫描功能，并把文件夹的IP地址，文件夹路劲等，以及准备mount的目录，组合成相关的shell命令，依次通过socket发送给守护进程nerccmd。

2，在机顶盒系统增加一个守护进程nerccmd,这个守护进程配置足够的selinux权限，收到上层的消息后，会通过系统调用发送到LINUX。并把结果通过socket返回给APK。

3，应用检查结果，如果mount成功，当用户选择该文件，则把mount后的路劲发送给播放器。通过三方播放器播放该视频。

修改方法

1，新建目录 nerccmd,放在vendor 进程一起归类的地方

android/vendor/[platform]/modules?

2，修改vendor编译命令，使得项目能够编译这个模块
路劲：android/vendor/[platform]/Android.mk

component_modules += modules/nerccmd

3，将nerccmd添加为一个服务，编译到android版本中
路劲：android/device/[platform]/[product]/product_package.mk

? ?nerccmd \

4，因为是守护进程，需要添加开机启动支持
路劲：android/device/[platform]/[product]/etc/initrc/init.hardware.rc

service nerccmd /vendor/bin/nerccmd
? ? class main
? ? user root
? ? group root system

5，添加nerccmd 文件执行权限,否则init.rc启动不了该守护进程
路劲：device\[platform]\sepolicy\vendor\file_contexts

/(vendor|system/vendor)/bin/nerccmd ? ? ? ?u:object_r:nerccmd_exec:s0

6，新建一个nerccmd.te添加nerccmd进程支持的命令权限，如文件目录操作，mount权限，socket等权限。
路劲：android/device/[platform]/sepolicy/vendor/nerccmd.te

代码

资料包含系统进程，上层APK，selinux权限配置的全部代码。

https://download.csdn.net/download/suixin______/35374616

其他

如何添加权限，可以参考网上其他资料，如：

Android 9 SELinux - 简书

可以先通过设置

adb shell setenforce 0

让系统把权限问题尽可能多地打印出来。添加修改后，通过如下命令快速编译：

mmm system/sepolicy/

之后，将如下目录的规则，拷贝出来push到手机对应目录即可验证。

out\target\product\[productname]\system\etc\selinux

out\target\product\[productname]\vendor\etc\selinux