framework层和native层实现联网控制(iptable方式),nativeiptable
最近工作中,需要开发一个功能----联网控制,这个功能其实用过root的安卓机应该都知道,禁止某个应用连接移动网络或者wifi。
root后,通过su去执行iptable的命令就可以根据uid去控制应用联网权限
但是由于公司是做手机系统开发,手机生产出来不允许带有root权限,所以我们完成这个功能也是不可以使用root权限去实现的。
由于第一次做这种功能,刚开始我居然天真的以为系统中带有这种控制权限的接口,然后只有个Internet权限,无法区分数据流量和wifi。
嗯,直接上最终实现的方式。
当时发现手机上有个功能是限制应用后台数据流量,该功能如其所述就是限制应用在后台状态下无法使用流量。通过代码追溯,找到其调用到的是一个 NetworkManagementService.java 这个Service,方法就是下面这个,里面的mConnector就是用来封装发送命令的类。有兴趣的可以自己去看一下 ---> NativeDaemonConnector.java
@Override public void setUidNetworkRules(int uid, boolean rejectOnQuotaInterfaces) { mContext.enforceCallingOrSelfPermission(CONNECTIVITY_INTERNAL, TAG); // silently discard when control disabled // TODO: eventually migrate to be always enabled if (!mBandwidthControlEnabled) return; synchronized (mQuotaLock) { final boolean oldRejectOnQuota = mUidRejectOnQuota.get(uid, false); if (oldRejectOnQuota == rejectOnQuotaInterfaces) { // TODO: eventually consider throwing return; } try { mConnector.execute("bandwidth", rejectOnQuotaInterfaces ? "addnaughtyapps" : "removenaughtyapps", uid); if (rejectOnQuotaInterfaces) { mUidRejectOnQuota.put(uid, true); } else { mUidRejectOnQuota.delete(uid); } } catch (NativeDaemonConnectorException e) { throw e.rethrowAsParcelableException(); } } }
通过搜索addnaughtyapps这个关键字,在 CommandListener.cpp 这个类中找到了解析这个命令的地方,
if (!strcmp(argv[1], "addnaughtyapps") || !strcmp(argv[1], "ana")) { if (argc < 3) { sendGenericSyntaxError(cli, "addnaughtyapps <appUid> ..."); return 0; } int rc = sBandwidthCtrl->addNaughtyApps(argc - 2, argv + 2); sendGenericOkFail(cli, rc); return 0; }
最终在BandwidthController.cpp这个类中执行操作iptable的命令,
Ok,既然这个Service拥有直接执行iptable的权限,那么我们就直接在里面添加我们需要的方法不就OK了吗。
因此,
1. 在CommandListener.cpp 中加入过滤关键字的判断,
2. 在NetworkManagementService.java中加入接口去发送命令,
3. 最终实现在BandwidthController.cpp 中进行。
第三步主要就是iptable的操作了,如何使用网上很多,不过当时我还真是看了好久才弄懂iptable的操作......用到的主要就是 -I 和 -D 命令。
其实比起这些,我更好奇netd 进程是如何拥有执行root命令的权限的。等有空了一定要研究下。
目前只知道在init.rc中可以配置以root权限去启动service。