Android 10 允许system_server 读写SD卡系统源码修改

已于 2023-07-12 10:50:53 修改
阅读量659 收藏 1
点赞数
分类专栏: Android 文章标签: android
于 2023-05-10 09:52:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a313386406/article/details/130594235
版权

1.添加用户组(1015)

--- a/frameworks/base/core/java/com/android/internal/os/ZygoteInit.java
+++ b/frameworks/base/core/java/com/android/internal/os/ZygoteInit.java
@@ -759,7 +759,7 @@ public class ZygoteInit {
         String args[] = {
                 "--setuid=1000",
                 "--setgid=1000",
-                "--setgroups=1001,1002,1003,1004,1005,1006,1007,1008,1009,1010,1018,1021,1023,"
+                "--setgroups=1001,1002,1003,1004,1005,1006,1007,1008,1009,1010,1015,1018,1021,1023,"
                         + "1024,1032,1065,3001,3002,3003,3006,3007,3009,3010",
                 "--capabilities=" + capabilities + "," + capabilities,
                 "--nice-name=system_server",

2.配置selinux

diff --git a/system/sepolicy/prebuilts/api/29.0/private/system_server.te b/system/sepolicy/prebuilts/api/29.0/private/system_server.te
index 5bec849..66233f5 100644
--- a/system/sepolicy/prebuilts/api/29.0/private/system_server.te
+++ b/system/sepolicy/prebuilts/api/29.0/private/system_server.te
@@ -522,11 +522,11 @@ allow system_server {
 }:file { getattr read write append map };
 
 # Access to /data/media for measuring disk usage.
-allow system_server media_rw_data_file:dir { search getattr open read };
+allow system_server media_rw_data_file:dir { search getattr write open read r_dir_perms write remove_name rmdir };
 
 # Receive and use open /data/media files passed over binder IPC.
 # Also used for measuring disk usage.
-allow system_server media_rw_data_file:file { getattr read write append };
+allow system_server media_rw_data_file:file { getattr read write append open setattr rename create unlink rw_file_perms };
 
 # System server needs to setfscreate to packages_list_file when writing
 # /data/system/packages.list
@@ -637,6 +637,9 @@ get_prop(system_server, gsid_prop)
 # Create a socket for connections from debuggerd.
 allow system_server system_ndebug_socket:sock_file create_file_perms;
 
+#setprop
+allow system_server default_prop:property_service { set };
+
 # Manage cache files.
 allow system_server cache_file:lnk_file r_file_perms;
 allow system_server { cache_file cache_recovery_file }:dir { relabelfrom create_dir_perms };
@@ -775,7 +778,9 @@ allow system_server { mnt_user_file storage_file }:lnk_file { getattr read };
 
 # Allow statfs() on storage devices, which happens fast enough that
 # we shouldn't be killed during unsafe removal
-allow system_server sdcard_type:dir { getattr search };
+allow system_server sdcard_type:dir { create_dir_perms rw_file_perms };
+allow system_server sdcard_type:file { create_file_perms rw_file_perms };
+
 
 # Traverse into expanded storage
 allow system_server mnt_expand_file:dir r_dir_perms;
@@ -808,7 +813,7 @@ allow system_server app_fuse_file:file { read write getattr };
 
 # For configuring sdcardfs
 allow system_server configfs:dir { create_dir_perms };
-allow system_server configfs:file { getattr open create unlink write };
+allow system_server configfs:file { getattr open create unlink write read };
 
 # Connect to adbd and use a socket transferred from it.
 # Used for e.g. jdwp.
@@ -915,8 +920,8 @@ get_prop(system_server, time_prop)
 
 # Do not allow opening files from external storage as unsafe ejection
 # could cause the kernel to kill the system_server.
-neverallow system_server sdcard_type:dir { open read write };
-neverallow system_server sdcard_type:file rw_file_perms;
+# neverallow system_server sdcard_type:dir { open read write };
+# neverallow system_server sdcard_type:file rw_file_perms;
 
 # system server should never be operating on zygote spawned app data
 # files directly. Rather, they should always be passed via a
diff --git a/system/sepolicy/prebuilts/api/29.0/public/domain.te b/system/sepolicy/prebuilts/api/29.0/public/domain.te
index 105bebb..4ecc6ba 100644
--- a/system/sepolicy/prebuilts/api/29.0/public/domain.te
+++ b/system/sepolicy/prebuilts/api/29.0/public/domain.te
@@ -522,12 +522,12 @@ neverallow * hidl_base_hwservice:hwservice_manager find;
 
 # Require that domains explicitly label unknown properties, and do not allow
 # anyone but init to modify unknown properties.
-neverallow { domain -init -vendor_init } default_prop:property_service set;
-neverallow { domain -init -vendor_init } mmc_prop:property_service set;
+neverallow { domain -init -vendor_init -system_server } default_prop:property_service set;
+neverallow { domain -init -vendor_init -system_server } mmc_prop:property_service set;
 
 compatible_property_only(`
-    neverallow { domain -init } default_prop:property_service set;
-    neverallow { domain -init } mmc_prop:property_service set;
+    neverallow { domain -init -system_server } default_prop:property_service set;
+    neverallow { domain -init -system_server } mmc_prop:property_service set;
     neverallow { domain -init -vendor_init } exported_default_prop:property_service set;
     neverallow { domain -init } exported_secure_prop:property_service set;
     neverallow { domain -init } exported2_default_prop:property_service set;
diff --git a/system/sepolicy/private/system_server.te b/system/sepolicy/private/system_server.te
index 5bec849..66233f5 100644
--- a/system/sepolicy/private/system_server.te
+++ b/system/sepolicy/private/system_server.te
@@ -522,11 +522,11 @@ allow system_server {
 }:file { getattr read write append map };
 
 # Access to /data/media for measuring disk usage.
-allow system_server media_rw_data_file:dir { search getattr open read };
+allow system_server media_rw_data_file:dir { search getattr write open read r_dir_perms write remove_name rmdir };
 
 # Receive and use open /data/media files passed over binder IPC.
 # Also used for measuring disk usage.
-allow system_server media_rw_data_file:file { getattr read write append };
+allow system_server media_rw_data_file:file { getattr read write append open setattr rename create unlink rw_file_perms };
 
 # System server needs to setfscreate to packages_list_file when writing
 # /data/system/packages.list
@@ -637,6 +637,9 @@ get_prop(system_server, gsid_prop)
 # Create a socket for connections from debuggerd.
 allow system_server system_ndebug_socket:sock_file create_file_perms;
 
+#setprop
+allow system_server default_prop:property_service { set };
+
 # Manage cache files.
 allow system_server cache_file:lnk_file r_file_perms;
 allow system_server { cache_file cache_recovery_file }:dir { relabelfrom create_dir_perms };
@@ -775,7 +778,9 @@ allow system_server { mnt_user_file storage_file }:lnk_file { getattr read };
 
 # Allow statfs() on storage devices, which happens fast enough that
 # we shouldn't be killed during unsafe removal
-allow system_server sdcard_type:dir { getattr search };
+allow system_server sdcard_type:dir { create_dir_perms rw_file_perms };
+allow system_server sdcard_type:file { create_file_perms rw_file_perms };
+
 
 # Traverse into expanded storage
 allow system_server mnt_expand_file:dir r_dir_perms;
@@ -808,7 +813,7 @@ allow system_server app_fuse_file:file { read write getattr };
 
 # For configuring sdcardfs
 allow system_server configfs:dir { create_dir_perms };
-allow system_server configfs:file { getattr open create unlink write };
+allow system_server configfs:file { getattr open create unlink write read };
 
 # Connect to adbd and use a socket transferred from it.
 # Used for e.g. jdwp.
@@ -915,8 +920,8 @@ get_prop(system_server, time_prop)
 
 # Do not allow opening files from external storage as unsafe ejection
 # could cause the kernel to kill the system_server.
-neverallow system_server sdcard_type:dir { open read write };
-neverallow system_server sdcard_type:file rw_file_perms;
+# neverallow system_server sdcard_type:dir { open read write };
+# neverallow system_server sdcard_type:file rw_file_perms;
 
 # system server should never be operating on zygote spawned app data
 # files directly. Rather, they should always be passed via a
diff --git a/system/sepolicy/public/domain.te b/system/sepolicy/public/domain.te
index 105bebb..4ecc6ba 100644
--- a/system/sepolicy/public/domain.te
+++ b/system/sepolicy/public/domain.te
@@ -522,12 +522,12 @@ neverallow * hidl_base_hwservice:hwservice_manager find;
 
 # Require that domains explicitly label unknown properties, and do not allow
 # anyone but init to modify unknown properties.
-neverallow { domain -init -vendor_init } default_prop:property_service set;
-neverallow { domain -init -vendor_init } mmc_prop:property_service set;
+neverallow { domain -init -vendor_init -system_server } default_prop:property_service set;
+neverallow { domain -init -vendor_init -system_server } mmc_prop:property_service set;
 
 compatible_property_only(`
-    neverallow { domain -init } default_prop:property_service set;
-    neverallow { domain -init } mmc_prop:property_service set;
+    neverallow { domain -init -system_server } default_prop:property_service set;
+    neverallow { domain -init -system_server } mmc_prop:property_service set;
     neverallow { domain -init -vendor_init } exported_default_prop:property_service set;
     neverallow { domain -init } exported_secure_prop:property_service set;
     neverallow { domain -init } exported2_default_prop:property_service set;

比不过比
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 10.0 SystemServer进程读写sdcard权限修改
安卓兼职framework和app工程师的博客
08-21 792
10.0的系统开发中,在一些系统进程中,也就是在SystemServer的进程中,其中系统服务中会要求读写Sdcard的一些功能,然后 默认是没有读取sdcard权限的,而在app中可以申请sdcard读写权限系统服务中就不能申请权限,接下来看怎么授权实现sdcard授权
Android 10.0 framework中开机启动之SystemServer相关源码分析
安卓兼职framework和app工程师的博客
06-01 1196
10.0的系统中,systemserver进程也是非常重要的,system_server 进程承载着整个framework的核心服务, 例如创建 ActivityManagerService、PowerManagerService、DisplayManagerService、PackageManagerService、WindowManagerService、 LauncherAppsService等80多个核心系统服务。这些服务以不同的线程方式存在于system_server这个进程中,接下来简单分析下
android文件读写&访问sdcard&文件操作模式
brucexu1978的专栏
06-12 7800
文件操作模式 MODE_APPEND 只能被创建的应用使用 ,如果有就追加,没有就创建 MODE_PRIVATE 只能被创建应用使用,写入文件的时候会覆盖 MODE_WORLD_READABLE 其他应用程序可以读取 MODE_WORLD_WRITEABLE 其他应用程序可以写 覆盖原有程序 需要什么模式就让这些操作模式相加 访问sdcard 1、在程序中要访问sd卡就要申请sd卡
Android 11 system_server 读写 SDCARD
ansondroider的博客
02-22 4227
平台 RK3566 + Android 11 概述 在之前的SDK(Android 5, 6, 7, 8, 9)中, 增加了服务和系统接口, 方便第三方应用调用. 其中有一些功能, 需要让SYSTEM去访问内部存储的文件. 常用的路径有: File f = new File("/sdcard"); f = new File("/mnt/sdcard"); f = new File("/storage/emulated/0"); f = Environment.getExternalStorageDirect
android9 system_server 访问sd卡_sd卡访问
weixin_33647940的博客
12-29 574
Android6.0后如果一个应用想要读取SD卡上的文件或者向SD卡里写入文件,就必须要用户手动去授予也就是像下图这样,如果应用需要读取SD卡上的文件就必须要用户自授予才可以一般的授予方法都是出现这个界面之后选择SD卡,然后点击下图的允许点了下面的允许后,应用才能往SD卡里写入文件,比读取内部存储权限更要麻烦(普通的读取内部存储,只用弹出来一个权限的请求框,用户点了允许就可以了)http...
Android SystemServer启动流程源码解析
一口仨馍
08-08 4173
简介Android系统中各个进程的先后顺序为: init进程 –-> Zygote进程 –> SystemServer进程 –>应用进程 其中Zygote进程由init进程启动,SystemServer进程和应用进程由Zygote进程启动。本文依据6.0源码,主要分析SystemServer进程的启动流程。注意,是启动流程,不是启动过程。启动过程的解析可以移步我的另一片博文Zygote启动流程源码
Android system_server无法访问sdcard目录问题记录(Android 4.4 mtk平台)
lrh517的博客
03-25 2676
一、原因 原因:Android具有system权限为什么不可以访问SDcard 官方文档解释 Processes that continue holding open fds on the sdcard a little after it is requested to be unmounted will be killed so that it can unmount. We don’t want the system process to be able to access the sdcard t
Android源码分析 - SystemServer(下)
qq_34231329的博客
06-30 507
本篇以android-11.0.0_r25作为基础解析上一篇文章Android源码分析 - SystemServer(上)我们分析了进程是怎么被启动起来的,今天这篇,我们来分析进程启动后做了什么我们上一章中讲到,进程出子进程后,最终调用了方法,源代码在中,我们来看看做了什么 构造方法 非常简单,就是先new了一个对象,然后调用它的方法,我们先看一下构造方法 工厂模式 首先,先从系统属性中获取工厂模式级别,有三种属性:它们被定义在中紧接着便开始执行方法 可以看到,方法主要做了以下工作其中,创建这一步是由完成的
Android车载系列】第10系统服务-SystemServer源码分析(API28)
Yvan
04-24 1515
SystemServer进程启动,startBootstrapServices() 底层启动引导服务;startCoreServices()用户层启动核心服务;startOtherServices()应用层启动其它服务。 车载服务CarServiceHelperService的启动。
安卓Android源码——判断双SD卡_CheckDoubleSDCard.zip
10-11
Android系统允许有多个外部存储分区,这在多SD卡设备或某些支持扩展存储的设备上常见。我们可以通过`System.getenv("EXTERNAL_STORAGE")`和`System.getenv("SECONDARY_STORAGE")`来获取这些路径。如果`SECONDARY_...
安卓Android源码——开发之SD卡的使用.zip
10-14
在安卓(Android系统中,SD卡(Secure Digital Card)被广泛用于扩展设备的存储空间,以便用户存储照片、视频、音乐和其他大型文件。对于开发者来说,理解和掌握如何在源码层面使用SD卡进行开发至关重要。这篇...
一套完整的门禁系统(原理图+源程序).rar_门禁_门禁 源码_门禁系统 开源_门禁系统开源_门禁软件源码
07-15
门禁系统,全称为访问控制系统(Access Control System,简称ACS),是现代安全防范系统的重要组成部分。本套资源提供了一整套门禁系统的原理图及源程序,对于学习和理解门禁系统的设计与实现具有极高的价值。下面...
C#明华读卡器读写IC卡 源码(附带DLL动态库)
04-24
明华读卡器是一款常见的智能卡读取设备,广泛应用于门禁系统、公交卡充值等领域。为了实现这些功能,我们需要借助C#的串口通信技术以及DLL动态库。 首先,C#中的串口通信是通过`System.IO.Ports`命名空间下的`...
C# IC卡读写 实例源码(硬件读写)
04-22
本主题聚焦于“C# IC卡读写 实例源码(硬件读写)”,这意味着我们将探讨如何利用C#与智能IC卡进行交互,包括读取和写入数据到这些卡片上。IC卡,或集成电路卡,常见于身份证、交通卡、银行卡等,它们存储并处理数据,...
具有system权限的进程无法访问sdcard
Android_in_China
10-23 2478
最近遇到一个问题,之前运行好好的程序,在最近的daily build版本上无法正常运行,后来发现问题是: 我的程序在SDCard中找文件时找不到,而我shell进去后看到文件明明存在,而程序对该文件却视而不见。折腾了颇久,发现了一个问题: 正常版本上 adb shell mount 后: /dev/block/vold/179:19 /storage/sdcard1 vfat rw,
Android 11 system_server 读写 Sdcard
a546036242的博客
02-11 2357
2.第二种方式:修改frameworks/base/core/java/com/android/internal/os/ZygoteInit.java。由于Android 11之前的版本只需要按照常规配置后,system_server就可以正常读写sdcard。1.第一种方式:暴力修改:(实际项目不可取)kernel/fs/namei.c 最终输出。备注:对于在init.rc文件启动的hal层相关服务按如下配置即可。
selinux权限说明及问题解决
zyfzhangyafei的专栏
08-12 8003
一、SELinux文件访问安全策略和app权限配置 在android6.0以后的版本,google采用了SELinux的文件访问安全策略,想比较以前,绝对提高了文件的安全,不像以前那样, 对文件访问可以是无条件的。本篇文章就分享下常用的一些安全策略。 1.linux传统设备文件访问控制方法 传统的 Linux设备文件访问控制机制通过设置用户权限来实现. 超级用户(root),具有最高的系统权限,UID为0。 系统伪用户,Linux操作系统出于系统管理的需要,但又不愿赋予超级用户的权限,需要将某些关
Android SELinux avc dennied权限问题解决方法
qq_18273521的博客
03-21 2326
这篇文字本人原创于2015年,并作为原厂发布文档release,当时并未上传博客,估计已经被很多网友发表了。 1.概述 SELinux是Google从android 5.0开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。 然而,在开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例...
Android Selinux介绍,如何添加selinux 权限
yinhunzw的专栏
11-14 8874
文件类: type=1400 audit(0.0:104avc: denied { search } for name="vendor" dev="tmpfs" ino=9241 scontext=u:r:dumpstate:s0 tcontext=u:object_r:mnt_vendor_file:s0 tclass=dir permissive=0 分析: 缺少的权限:{write/read/search} 谁缺少权限:scontext=u:r:dumpstate:s0 哪个文件的权限:t.
android system_server进程异常死亡后,surfaceflinger进程回重启吗
最新发布
07-10
当`system_server`进程异常死亡后,`surfaceflinger`进程会尝试重新启动。`surfaceflinger`是一个重要的系统进程,负责Android系统中窗口的管理和渲染。 当`system_server`异常死亡时,`surfaceflinger`会检测到该进程的状态改变,并尝试重新启动它。这是为了确保系统的稳定性和正常运行。`surfaceflinger`会负责处理窗口的显示、布局和渲染工作,而`system_server`则负责管理系统的核心功能。 具体的重新启动机制可能会因设备和Android版本而有所不同。在某些情况下,系统可能会尝试自动恢复并重新启动`system_server`进程,以恢复正常的系统功能。在其他情况下,可能需要手动干预或进行特定的配置来重新启动`system_server`进程。 需要注意的是,由于Android系统的复杂性和设备的多样性,不同设备可能会有不同的实现和行为。因此,在特定设备上的行为可能会有所不同。如果遇到`system_server`异常死亡后`surfaceflinger`无法自动重启的情况,可能需要进行故障排查或联系设备制造商以获取支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值