Android13配置selinux让system应用可读sys,proc,SN号

system权限应用读sys,proc目录及SN号

Android13预置的system应用,需要读/sys, /proc目录,读(SN)serial number号, 需要修改selinux配置,否则会报avc错.

其修改方法会比Android11复杂一些.

实现

  1. system_app.te中添加
patch 复制代码
diff --git a/device/sprd/mpool/module/vendor/app/msepolicy/vendor/system_app.te b/device/sprd/mpool/module/vendor/app/msepolicy/vendor/system_app.te
index 19ef6f8d662..08f8e4858e3 100755
--- a/device/sprd/mpool/module/vendor/app/msepolicy/vendor/system_app.te
+++ b/device/sprd/mpool/module/vendor/app/msepolicy/vendor/system_app.te
@@ -106,3 +106,10 @@ allow system_app uniview_file:file { getattr write open create read append watch
 allow system_app uniview_file:dir { search getattr write add_name create read open };
 allow system_app tombstone_data_file:dir { read watch };
 allow system_app vendor_hxy_prop:file { read map getattr open };
+allow system_app prod_file:dir { remove_name };
+allow system_app sysfs:file { getattr open read write };
+allow system_app sysfs:dir { search };
+allow system_app vendor_default_prop:property_service { set };
+allow system_app proc:file { open read };
  1. coredomain.te在添加proc与sys的例外
    system/sepolicy/prebuilts/api/33.0/private/coredomain.te
    system/sepolicy/private/coredomain.te
    给proc与sys的neverallow添加-system_app
xml 复制代码
full_treble_only(`
  # /proc
  neverallow {
    coredomain
    -init
    -vold
    -system_app
  } proc:file no_rw_file_perms;

  # /sys
  neverallow {
    coredomain
    -apexd
    -init
    -ueventd
    -vold
    -system_app
  } sysfs:file no_rw_file_perms;
  1. 修改domain添加serialno_prop例外
    一般只要修改private下的domain.te
    system/sepolicy/prebuilts/api/33.0/private/domain.te
    system/sepolicy/private/domain.te
    如果要进行扩展,则还要修改
    system/sepolicy/public/domain.te
    system/sepolicy/prebuilts/api/33.0/public/domain.te
    修改compatible_property_only

    • neverallow { domain -init -vendor_init } vendor_default_prop:property_service set;
    • neverallow { domain -init -vendor_init -system_app } vendor_default_prop:property_service set;

修改serialno_prop:file r_file_perms,添加-system_app

完整内容如下

复制代码
compatible_property_only(`
    neverallow { domain -init } mmc_prop:property_service set; 
    neverallow { domain -init -vendor_init } exported_default_prop:property_service set; 
    neverallow { domain -init } exported_secure_prop:property_service set; 
    neverallow { domain -init -vendor_init -system_app } vendor_default_prop:property_service set; 
    neverallow { domain -init -vendor_init } storage_config_prop:property_service set; 
    neverallow { domain -init -vendor_init } hw_timeout_multiplier_prop:property_service set; 
')


# Do not allow reading device's serial number from system properties except form 
# a few allowed domains.
neverallow {
  domain
  -adbd
  -dumpstate
  -fastbootd
  -hal_camera_server
  -hal_cas_server
  -hal_drm_server
  userdebug_or_eng(`-incidentd')
  -init
  -mediadrmserver
  -mediaserver
  -recovery
  -shell
  -system_server
  -vendor_init
  -system_app
} serialno_prop:file r_file_perms;
  1. property_service set添加例外
    system/sepolicy/prebuilts/api/33.0/private/property.te
    system/sepolicy/private/property.te
    property_service set的neverallow加上-system_app

    neverallow { coredomain -init -system_app } {
    vendor_property_type
    -vendor_public_property_type
    }:property_service set;

property_service set compatible_property_only中的neverallow加上-system_app

复制代码
compatible_property_only(`
  # Neverallow coredomain to set vendor properties
  neverallow {
    coredomain
    -init
    -system_writes_vendor_properties_violators
    -system_app
  } {
    property_type
    -system_property_type
    -extended_core_property_type
  }:property_service set;
')
  1. app.te中添加proc,sys例外
    system/sepolicy/prebuilts/api/33.0/public/app.te
    system/sepolicy/public/app.te
    sysfs:dir_file_class_set与proc:dir_file_class_set write的neverallow中添加-system_app

    Write to various pseudo file systems.

    neverallow { appdomain -bluetooth -nfc -system_app }
    sysfs:dir_file_class_set write;
    neverallow { appdomain -system_app }
    proc:dir_file_class_set write;

作者:帅得不敢出门 原创文章谢绝转载收录

相关推荐
huangjiazhi_1 小时前
纯C++实现ini文件操作
java·后端·spring
用户2204603958681 小时前
ES模块和commonJS两种标准下中实现__dirname?一篇文章教你理清楚
前端
zhixingheyi_tian1 小时前
JVM 之 GCLocker
java·jvm
码哥字节1 小时前
把 Cursor 的烂输出变成好代码,这 10 个 Prompt 改造让我省了 80% 改稿时间
java·ai编程工具·cursor 配置·prompt 技巧
2503_931712481 小时前
10m/s超高速电梯:西奥XO-NEWIII如何树立行业速度标杆
java·大数据·数据库
犹豫的大炮1 小时前
jQuery最核心的基础设施之一——数据缓存模块进化史
前端·缓存·jquery
小碗细面1 小时前
从 PRD 到上线:SpecKit 如何让 AI 真正参与前端交付
前端·ai编程·claude
wbs_scy1 小时前
仿 muduo 高并发服务器项目:从 timerfd 到时间轮实现定时任务机制
linux·服务器·c++
折哥的程序人生 · 物流技术专研1 小时前
第4篇:抽象工厂模式——产品族一键创建
java·设计模式·抽象工厂模式·创建型模式·编程进阶·产品族·扩充系列
WL学习笔记1 小时前
链式队列(数据结构)
前端·数据结构·jquery