android 10 系统源码 persist分区存储数据,并在system_server中对数据进行读写操作,过滤selinux对权限限制

最新推荐文章于 2024-09-27 16:28:24 发布
最新推荐文章于 2024-09-27 16:28:24 发布
阅读量4.9k 收藏 13
点赞数
分类专栏: Android 系统源码 文章标签: android java selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WHO_HRF/article/details/121301282
版权

Persist 分区恢复出厂设置不会被清除掉

1.新建文件存储目录hs_data 
/device/qcom/common/rootdir/etc/init.qcom.rc
@@ -157,6 +157,8 @@ on boot
     mkdir /mnt/vendor/persist/secnvm 0770 system system
     mkdir /mnt/vendor/persist/iar_db 0770 system system
     mkdir /mnt/vendor/spunvm 0770 system system
+       
+    mkdir /mnt/vendor/persist/hs_data 0777 system system
 
     #Create WIGIG socket area
     mkdir /dev/socket/wigig 0770 wifi wifi

+    chmod 0777 /mnt/vendor/persist/hs_data/vcom
+
     # Create directory used for display
     # for backward compatibility
     mkdir /persist/display 0770 system graphics

2.过滤vendor_persist_type对system_server dir file 限制
/device/qcom/sepolicy/vendor/common/domain.te
@@ -26,6 +26,7 @@ neverallow {
     -init
     -ueventd
     -vold
+    -system_server
     } vendor_persist_type: { dir file } *;
 
 allow { domain - coredomain } mnt_vendor_file:lnk_file r_file_perms;

3.定义type persist_hs_file
device/qcom/sepolicy/vendor/common/file.te
@@ -250,6 +250,8 @@ type persist_alarm_file, file_type, vendor_persist_type;
 
 type persist_time_file, file_type, vendor_persist_type;
 
+type persist_hs_file, file_type, vendor_persist_type;
+
 # nfc file type for data vendor access
 type nfc_vendor_data_file, file_type, data_file_type;

4.对该/mnt/vendor/persist/hs_data、目录下的所有文件定义为u:object_r:persist_hs_file:s0类型
/device/qcom/sepolicy/vendor/common/file_contexts
@@ -731,3 +731,4 @@
 /sys/class/power_supply/usb/real_type                           u:object_r:sysfs_usb_supply:s0
 /sys/class/power_supply/battery/voltage_now                     u:object_r:sysfs_battery_supply:s0
 /sys/class/power_supply/battery/current_now                     u:object_r:sysfs_battery_supply:s0
+/mnt/vendor/persist/hs_data(/.*)?                               u:object_r:persist_hs_file:s0

5.允许系统服务对/mnt/vendor/persist/hs_data/目录下进行读写操作
/device/qcom/sepolicy/vendor/common/system_server.te
@@ -167,3 +167,8 @@ hal_client_domain(system_server, hal_wifilearner)
 
 allow system_server sysfs_graphics:file { getattr open read write };
 
+allow system_server mnt_vendor_file:dir { open read search getattr };
+allow system_server vendor_file:file { open read write execute getattr };
+allow system_server persist_hs_file:dir { open write read add_name search getattr };
+allow system_server persist_hs_file:file { getattr open read write create };
+

6.在system/sepolicy中过滤系统服务对/mnt/vendor/persist/hs_data/目录下进行读写操作
/system/sepolicy/prebuilts/api/29.0/public/domain.te
@@ -473,6 +473,7 @@ neverallow { domain -init } properties_serial:file { no_w_file_perms no_x_file_p
 # and invalidate dm-verity signatures.
 neverallow {
     domain
+    -system_server
     with_asan(`-asan_extract')
     recovery_only(`userdebug_or_eng(`-fastbootd')')
 } {
@@ -975,6 +976,7 @@ full_treble_only(`
       coredomain
       -init
       -shell
+      -system_server
       -system_executes_vendor_violators
     } {
       vendor_file_type
@@ -989,6 +991,7 @@ full_treble_only(`
     neverallow {
       coredomain
       -shell
+      -system_server
       -system_executes_vendor_violators
     } {
       vendor_file_type
@@ -1008,6 +1011,7 @@ full_treble_only(`
     userdebug_or_eng(`-perfprofd')
     userdebug_or_eng(`-heapprofd')
     -shell
+    -system_server
     -system_executes_vendor_violators
     -ueventd # reads /vendor/ueventd.rc
   } {
@@ -1333,6 +1337,7 @@ full_treble_only(`
     -perfprofd
     -heapprofd
     -ueventd
+    -system_server
   } vendor_file:file { no_w_file_perms no_x_file_perms open };
 ')
 
@@ -1369,6 +1374,7 @@ neverallow {
   -init
   -ueventd
   -vold
+  -system_server
   -system_writes_mnt_vendor_violators
 } mnt_vendor_file:dir *;
 
/system/sepolicy/public/domain.te
@@ -473,6 +473,7 @@ neverallow { domain -init } properties_serial:file { no_w_file_perms no_x_file_p
 # and invalidate dm-verity signatures.
 neverallow {
     domain
+    -system_server
     with_asan(`-asan_extract')
     recovery_only(`userdebug_or_eng(`-fastbootd')')
 } {
@@ -975,6 +976,7 @@ full_treble_only(`
       coredomain
       -init
       -shell
+      -system_server
       -system_executes_vendor_violators
     } {
       vendor_file_type
@@ -989,6 +991,7 @@ full_treble_only(`
     neverallow {
       coredomain
       -shell
+      -system_server
       -system_executes_vendor_violators
     } {
       vendor_file_type
@@ -1008,6 +1011,7 @@ full_treble_only(`
     userdebug_or_eng(`-perfprofd')
     userdebug_or_eng(`-heapprofd')
     -shell
+    -system_server
     -system_executes_vendor_violators
     -ueventd # reads /vendor/ueventd.rc
   } {
@@ -1333,6 +1337,7 @@ full_treble_only(`
     -perfprofd
     -heapprofd
     -ueventd
+    -system_server
   } vendor_file:file { no_w_file_perms no_x_file_perms open };
 ')
 
@@ -1369,6 +1374,7 @@ neverallow {
   -init
   -ueventd
   -vold
+  -system_server
   -system_writes_mnt_vendor_violators
 } mnt_vendor_file:dir


frameworks/base/services/core/java/com/android/server/hs/HsService.java
@@ -41,6 +41,8 @@ import android.widget.FrameLayout;
 
 import com.android.server.wm.ActivityTaskManagerService;
 
+import java.io.File;
+import java.io.IOException;
 import java.util.ArrayList;
 import java.util.Arrays;
 import java.util.List;
@@ -976,13 +978,27 @@ public class HsService extends IHsManager.Stub {
     }
 
     @Override
+    public boolean SetVcomVoltage(int vcom) throws RemoteException {
+        try {
+            String val = String.valueOf(vcom);
+            boolean isOk = Utils.writeFile(Utils.HS_VCOM_VOLTAGE, val);
+            if (isOk) {
+                File file = new File(Utils.PERSIST_VCOM_VOLTAGE);
+                if (file.exists()) {
+                    boolean result = Utils.writeFile(Utils.PERSIST_VCOM_VOLTAGE, val);
+                    Log.i(LOG_TAG, "OkaySetEinkVcomVoltage:" + val + " " + result);
+                } else {
+                    if (file.createNewFile()) {
+                        boolean result = Utils.writeFile(Utils.PERSIST_VCOM_VOLTAGE, val);
+                        Log.i(LOG_TAG, "OkaySetEinkVcomVoltage createNewFile vcom:" + val + " " + result);
+                    }
+                }
+                return setProperties(Utils.VCOM_VOLTAGE, val);
+            }
+        } catch (IOException e) {
+            e.printStackTrace();
         }
+        return false;

     }
milugcs
关注
专栏目录
Android恢复出厂设置保存文件标志位到 persist 分区
飞翔凡人
04-07 9318
工作过程时常遇到恢复出厂设置需要保留之前设置的某些标志位的问题,如某些关闭4G能力的手机,实际上只是从网络模式上做了限制,我们可以通过暗码来控制其开关,同时又希望恢复出厂设置能够保留之前设置状态。这就可以通过在 persist 分区新建或删除标识文件来实现。
android frp分区,android系统分区结构
weixin_31412915的博客
05-25 2077
android系统分区结构转载ANTIBili_MC 关注(一)Android的主要分区Modem分区bootloader分区boot分区recoverty分区system分区data分区1. modem分区a) 实现手机必需的通信功能,大家通常所的刷RADIO就是刷写modem分区,在所有适配的ROM这部分是不动,否则会造成通话不稳定;2. bootloader分区a) bootloader...
Android SELinux权限
最新发布
weixin_75102992的博客
09-27 766
在mk增加Prop,通过SystemProperties去获取时发现出现Access denied finding property "ro.vendor.firmware.version"问题。对于vendor下property权限,类似file权限attributes.te定义type:在property.te 添加:在property_contexts添加:system_app.te添加权限
android分区划分,Android分区
weixin_39549936的博客
05-25 647
1. Android 分区:2. Android各个分区的作用:2.1 modem分区实现手机必需的通信功能,大家通常所的刷RADIO就是刷写modem分区,在所有适配的ROM这部分是不动,否则会造成通话不稳定2.2 bootloader分区针对高通而言,bootloader分区的内容为lk代码;lk代码为bootloader的第二阶段启动;第一阶段的bootloader为固件上的boot_i...
android系统分区结构
刚刚起步的菜鸟
07-05 1万+
(一)Android的主要分区Modem分区bootloader分区boot分区recoverty分区system分区data分区1. modem分区    a) 实现手机必需的通信功能,大家通常所的刷RADIO就是刷写modem分区,在所有适配的ROM这部分是不动,否则会造成通话不稳定;2. bootloader分区    a) bootloader的primarybootloader部分,主...
安卓机型传感器分区故障persist的相关说明 修复步骤
小马哥的专栏
06-29 1万+
手机的分区很多。有些分区刷机不管是卡刷还是底层9008刷写等等默认是不会刷写的。其包括基带分区 persist分区等等这些。这类分区一般也不会出问题,当然也有个例。例如更新降级或者刷写第三方或者全部檫除分区或者格机软件等等会导致这些分区出问题。今天这个帖子咱只聊聊传感器分区persist的一些知识和修复方法。 通俗的官方解释是persist分区是用于保存FRP(factory reset protcect)功能用到帐号、密码等受保护的信息,避免在恢复出厂设置后被清空。 什么是Persist分区:Pers
persist应用
y658t的专栏
06-10 3268
1.什么是persist应用? 在AndroidManifest.xml的applicationtag定义:android:persistent="true" 在解析此应用时,给它增加一个flag:ApplicationInfo.FLAG_PERSISTENT // PackageParser.java parseBaseApplicationif ((flags&PARSE_IS_
高通平台Android11 添加新分区的方法
kevin's cache的专栏
04-22 1340
鉴于此,决定重新创建一个分区,将logcat后台记录的日志文件全部移到此分区,由于此分区不参与recovery的双清操作,因此可保证系统再次启动后,该分区依然有recovery模式之前的日志文件,用来排查导致进入recovery模式的原因。我们这个分区的size定义为100M大小,这个可根据自己需要做调整。依次添加的为:生命device节点类型、添加到file上下文、添加开机阶段fsck的操作权限(否则挂载不上)、添加init进程访问节点权限、添加shell访问挂载目录的权限、添加vold挂载节点的权限
Selinux机制简介
我的博客
06-08 906
Selinux机制简介
Android系统启动(一)— init 进程启动过程
xingyu19911016的博客
10-27 3842
AndroidAndroid系统服务。严格来说,Android系统实际是运行在Linux内核之上的一系列“服务进程”,而这些服务进程的“老祖宗”就是init进程。initAndroidPID1Androidinit.rcAndroidinit.rcinitmkdirmountinit.rcZygoteinitLinuxinit.rcinitAndroid 10对init进程的入口函数进行了调整,不再是之前的的main函数,**而是换成了的main。
Android7.1.2源码解析系列】init.rc全流程注释
Don't worry,be happy
05-08 4913
# Copyright (C) 2012 The Android Open Source Project # # IMPORTANT: Do not create world writable files or directories. # This is a common source of Android security bugs. # # 分析开始 # 第一步,
Android系统启动系列2 init进程
liuwg1226的专栏
10-20 2279
一 概述 init 进程是 Linux 系统用户空间的第一个进程,进程号为1.当板子上电,bootloader 启动后,加载并启动 kernel,kernel 启动完后,在用户空间启动 init 进程,然后再通过 init 进程,来解析并读取 init.rc 的相关配置,从而来启动其他相关进程以及其它操作。 init 进程被赋予了很多重要工作,它启动主要分为两个阶段: 第一阶段 ueventd/watchdogd跳转及环境变量设置 挂载文件系统并创建目录 初始化日志输出、挂载分区设备 启用SELinu
Android 恢复出厂设置(recovery)
Tony的专栏
07-25 1万+
Android 恢复出厂设置基本流程 (1)遥控器/按键板后门键触发,或者应用里面从系统设置里面恢复出厂选项也可触发; // 后面以系统设置的应用触发为例 (2)选择恢复出厂设置之后,就会发送广播“android.intent.action.MASTER_CLEAR” ;// framework/base/core/res/AndroidManifest.xml (3)MasterCle
增加persist分区到500M
董能能的专栏
10-09 432
Android partition
(转)认识Android手机--来自MIUI
挨踢大杂烩
01-10 2331
MIUI今天开始发布MIUI ROM的适配教程,这是第一篇,概述Android分区与架构,个人认为对理解Android有帮助,故转帖。 原帖地址 :http://www.miui.com/thread-402322-1-1.html http://www.miui.com/thread-402302-1-1.html 大家好,欢迎来到MIUI ROM适配之旅。在开始我们的旅程之前,先介
Android系统基础(06) Android系统镜像和分区解读
wangdsh的博客
01-08 2930
1 常见镜像解读这里主要针对刷机过程经常遇到的分区进行解读和说明,包括:bootloader镜像、boot.img、ramdisk.img、recovery.img、cache.img、userdata.img、splash.img、radio.img、system.img、vendor.img、dtbo.img、vbmeta.img,具体如下:2 常见分区解读。
刷机维修进阶教程---修改persist.img分区 修改modem.img分区 去除*锁类操作步骤解析
小马哥的专栏
04-27 1075
通过此教程可以: 1------跳过自己机型因为忘记密码 手机号卡不用导致的账号锁问题 2------了解具体的操作步骤 了解锁类修改分区的关键操作 3-------操作详细修改步骤 适用与小米机型
小米手机persist分区恢复教程
热门推荐
ARULN的博客
04-12 2万+
小米手机persist分区恢复教程 persist分区误格,各传感器失灵,系统提示“查找手机存储损坏,您的手机处于不安全的状态”。 解决办法 线刷恢复,选择刷机脚本,以flash_all_except_storage.bat为例 打开脚本,在脚本最后面 reboot 字样前添加 flash persist %~dp0images\persist.img fastboot %* 即可 ...
android 代码权限,android framework添加自定义权限
weixin_33595380的博客
05-26 267
protectionLevel分为四级:"normal"The default value. A lower-risk permission that gives requesting applications access to isolated application-level features, with minimal risk to other applications, the sy...
android如何从persist分区读取序列号赋值给ro.serialno属性
05-21
Android系统的ro.serialno属性是由bootloader在启动时生成并写入到persist分区的。如果需要从persist分区读取序列号并赋值给ro.serialno属性,可以按照以下步骤进行: 1. 通过adb shell命令进入到Android系统的shell环境; 2. 使用cat命令读取persist分区的序列号,具体命令如下: ``` cat /mnt/vendor/persist/serialno ``` 注意:不同设备的persist分区路径可能不同,需要根据实际情况进行调整。 3. 将上一步读取到的序列号赋值给ro.serialno属性,具体命令如下: ``` setprop ro.serialno <serialno> ``` 其,<serialno>是从persist分区读取到的序列号。 4. 验证ro.serialno属性是否已经被赋值成功,具体命令如下: ``` getprop ro.serialno ``` 如果输出与从persist分区读取到的序列号相同,则表示赋值成功。 注意:在进行以上操作时,需要确保已经获取了足够的权限,例如root权限。另外,修改ro.serialno属性可能会影响某些应用程序的正常运行,因此需要谨慎操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值