selinux(案例) recovery删除data目录下的文件

最新推荐文章于 2022-01-22 10:00:00 发布
最新推荐文章于 2022-01-22 10:00:00 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: Android系统开发 文章标签: MTK

原文 https://blog.csdn.net/kc58236582/article/details/51752765

在recover升级的时候,我们有个需要从服务器上下载升级包,然后放在data/download,这部分工作是放在一个systemapp中完成的。

然后重启进入recoveyr模式,在recovery升级完之后,我们需要在recovery中删除这个文件,这部分是在recovery中完成。

功能很简单,但是在android6.0上碰到selinux的问题。

我们先来看recovery.te中是不允许recovery操作data下面的目录,也就是下面这个neverallow原则

[html]  view plain  copy
  1. # Recovery should never touch /data.  
  2. #  
  3. # In particular, if /data is encrypted, it is not accessible  
  4. # to recovery anyway.  
  5. #  
  6. # For now, we only enforce write/execute restrictions, as domain.te  
  7. # contains a number of read-only rules that apply to all  
  8. # domains, including recovery.  
  9. #  
  10. # TODO: tighten this up further.  
  11. neverallow recovery data_file_type:file { no_w_file_perms no_x_file_perms };  
  12. neverallow recovery data_file_type:dir no_w_dir_perms;  
我们再来看下system_data_file在file_contexts.te中的定义

[cpp]  view plain  copy
  1. /data(/.*)?     u:object_r:system_data_file:s0  

而在file.te定义了system_data_file文件属于data_file_type类型,因此recovery也是不能操作data下面的文件
[html]  view plain  copy
  1. ./file.te:56:type system_data_file, file_type, data_file_type;  

在我们可以自己定义自己的file类型,我们可以定义data/download属于download_data_file类型

[html]  view plain  copy
  1. /data/download(/.*)?           u:object_r:download_data_file:s0  

然后在file.te中定义download_data_file类型, 注意是只属于file_type类型的。

[html]  view plain  copy
  1. type download_data_file, file_type;   
然后在recovery.te中增加对download_data_file的权限
[html]  view plain  copy
  1. allow recovery download_data_file:dir { write search remove_name };  
  2. allow recovery download_data_file:file { read getattr unlink };  

另外我们还需在一个systemapp中先下载升级包,所以需要在system_app.te中增加对如下权限:

[html]  view plain  copy
  1. allow system_app download_data_file:dir { search write add_name getattr remove_name };  
  2. allow system_app download_data_file:file { create read write open getattr unlink };  


但是最后还是失败了,为什么呢,因为一开始没有data/download这个目录,而是我们再app中自己下载的时候创建的目录,所以是system_data_file类型的。那么我们就需要在一开始就有data/download目录,所以在init.rc中添加如下代码:

[html]  view plain  copy
  1. mkdir /data/download 0771 system system  

最后我们还需要在uncrypt.te中增加如下,因为data目录有可能需要进行加密处理。

[html]  view plain  copy
  1. allow uncrypt download_data_file:dir { search getattr };  
  2. allow uncrypt download_data_file:file { getattr read open };

Me_Ordinary
关注
专栏目录
Linux自己添加删除命令delete/恢复命令recover,代替rm完成删除任务
Mercury_yz的博客
07-17 2584
最近一段时间学习了一些Linux的基本操作,对bash和shell脚本也有了一些了解,同时在使用linux命令行时,也碰到了一个常见的问题,就是使用rm误删文件之后很难恢复,于是就想着自己重写一个delete命令来代替rm工作。正好也是用shell来练练手自己写个小脚本。 主要工作流程 1.delete内部实际上还是调用了rm来做实际的删除工作,因此使用方法和rm完全一样 2.在使用dele...
selinux解决sysfs neverallow问题
最新发布
Rainman博的专栏
07-05 332
执行 restorcon -R /devices/platform/aaa/bbb/ccc 来重新加载selinux上下文,发现已经变成。system/etc/selinux下的所以文件push到设备相应目录下, 具体看修改的selinux编译在哪里。将vendor/etc/selinux下的所以文件push到设备相应目录下,或者将。在aosp源码/system/policy/下grep system_app就会发发现。system app需要访问/sys下设备节点信息。my_sysfs了。
Android如何在恢复出厂设置时不删除掉/data/media/0/里面指定的目录
laoguanhua的博客
05-28 1万+
客户预置了一些资源在内置的/data/media/0/目录下,但是恢复出厂设置会把data给清掉,需要在恢复出厂设置时不删除掉/data/media/0/的特定文件:大致有两种思路:1.将需要保留的目录删除前复制到另外一个分区,比如cache分区,格式化完data分区再移动回来。2.恢复出厂设置的操作不要执行格式化,而是执行命令rm,只删除需要删除目录,其他目录保留。由于abc目录文件较大,差...
android recovery设置selinux为permissive
csdn66_2016的博客
03-13 3128
我们在调试开发阶段,经常需要把selinux关闭,则我们修通过设置uboot env来设置为允许状态:setenvEnableSelinux permissive;save 我们如果需要一直设置为permissive模式,不需要通过uboot env去控制,可以这样修改(android 9.0上面验证): system/core/init下面打patch: diff --...
Android recovery删除第一次启动后的痕迹
weixin_34302798的博客
01-30 202
在Aandroid系统启动后,Android系统会把APK的资源文件解压到系统的/data/app; 启动OOBE(开机设置程序);第一次启动与通常的启动是不同的。 在工厂生产系统时,为了测试产线的设备,必须需要开机测试。但是一但启动系统,产品到客户手中就不是第一次启动了。如果重新烧写系统,又比较耗费时间。为了解决这个矛盾,需要在生产线上,开机测试后清除第一次启动痕迹。...
Android SELinux avc dennied权限问题解决方法
热门推荐
缥缈孤鸿影的专栏
05-25 9万+
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1. 概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具
SElinux 问题定位 与 添加权限
03-11 3179
adb shell setenforce 0 关闭selinux 验证selinux的配置规则: 首先要了解sepolicy的结构: a. App进程 -> mac_permissions.xml b. App数据文件 -> seapp_contexts c. 系统文件 -> file_contexts d. 系统属性 -> property_contexts一
配置文件大全
weixin_44443462的博客
07-03 1393
Spring和SpringMVC 1.pom.xml <!-- Spring和SpringMVC相关依赖 --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> <ve...
linux下的存储管理之二
Title_小蛮酱的博客
01-03 488
二、存储管理(2) 1、ext3/4文件系统 认识EXT3/4文件系统 ======================================================== Ext3: 文件系统最大16TB,单个文件最大2TB Ext4: 文件系统最大1EB,单个文件最大16TB 无限数量的子目录/ Extents/ 多块分配/ 延迟分配/ 快速 fsck/ 日志校验/ “
50.第十二章 Linux启动和内核管理 -- proc 目录和内核参数管理、sys 目录、内核模块管理、systemd、管理 grub2(二)
Raymond的博客
01-22 441
2./proc 目录和内核参数管理 /proc目录:内核把自己内部状态信息及统计信息,以及可配置参数通过proc伪文件系统加以输出 帮助:man proc 内核参数: 只读:只用于输出信息 可写:可接受用户指定“新值”来实现对内核某功能或特性的配置 /proc/sys 设置 sysctl命令用于查看或设定此目录中诸多参数,以下格式为临时修改参数 sysctl -w path.to.parameter=VALUE 默认配置文件:/etc/sysctl.conf 及以下文件 /run/sysctl
Android Recovery升级原理
一路到黑
03-09 2万+
Android Recovery升级原理 声明 摘要 Recovery相关概念 Android系统的启动模式 1 Android 各个分区介绍 2 Android的启动模式 3 如何进入Recovery模式 Recovery升级原理 1 Recovery启动参数的设置 2 OTA升级包的目录结构 3 Recovery模式下OTA升级流程 BootloaderBCBRecovery与Main Syst
关于RECOVERY清除数据的分析
weixin_34380781的博客
01-20 375
【前言】 讨论:双清和清空所有数据的问题 说明:以前写的帖子都写三清,那个是为了保险起见才叫大家三项清除,毕竟人都有刚开始的时候,但看了郭贤普的帖子《系统与数据兼容性测试》之后,我觉得有必要说说这个问题,顺便说说双系统共存的时候为什么切换系统要清空所有数据。 【分析内容】 分析关键名词:清空缓存、清空用户数据、清空所有数据【点这里是郭贤普帖子】 一、清空缓存 安卓手...
MTK平台android recovery模式不删除FAT分区
jinron10的专栏
10-26 997
原理:在android系统的recovery模式下,系统将进入data分区的格式化,而不是mount data分区后进入文件删除,所以我们需要将系统进入recovery模式下格式化data分区修改成mount data分区,然后进入文件以及目录删除。而MTK平台正常情况下MTK_SHARED_SDCARD = yes 这种模式下,系统编译后运行时FAT和data分区时合并在一起共享的,所以FAT的物理空间在data分区的范围内。在格式化data分区时会一并将FAT分区给格式化掉。所以需要进行mount后
com.android.ut可以删除吗,Android recovery删除第一次启动后的痕迹
weixin_35993037的博客
05-28 2806
在Aandroid系统启动后,Android系统会把APK的资源文件解压到系统的/data/app; 启动OOBE(开机设置程序);第一次启动与通常的启动是不同的。在工厂生产系统时,为了测试产线的设备,必须需要开机测试。但是一但启动系统,产品到客户手中就不是第一次启动了。如果重新烧写系统,又比较耗费时间。为了解决这个矛盾,需要在生产线上,开机测试后清除第一次启动痕迹。基本的方法如下:1 在应用层,...
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android selinux权限设置
cuitianxiang的专栏
03-02 2038
背景 在做指纹的过程中遇到了很多权限设置的问题,sepolicy权限。 selinux权限设置 案例一 db访问不了了 背景 有需求需要db目录修改,由/data目录转到/data/app目录之后,结果出现生成不了db文件的问题。 解决方案及过程 最终解决方案 在系统fingerprint.te里添加权限 allow fingerprintserver apk_d
SELinux 权限问题
Jothangan的专栏
04-28 2457
如何使用adb修改SELinux权限,如何通过日志获悉缺失的SELinux权限并自定义安全策略文件
Android SELinux 参数语法介绍及基础分析
特立独行的博客
03-16 7420
Android SELinux安全策略主要使用对象安全上下文的基础进行描述,通过主体和客体的安全上下文去定义主体是否有权限访问客体,称为TypeEnforcement
selinuxRecovery process设置
04-04
1. 编辑SELinux策略文件,将recovery_process选项设置为“on”: # vi /etc/selinux/config SELINUX=permissive SELINUXTYPE=targeted recovery_process=on 2. 重新启动系统以使更改生效。 3. 为系统中的每个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值