Android coredomain 如何使用自定义的 property type?

最新推荐文章于 2024-01-08 15:10:01 发布
最新推荐文章于 2024-01-08 15:10:01 发布
阅读量5k 收藏 14
点赞数 3
分类专栏: SELinux Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwugang43210/article/details/105403746
版权

背景

Android 8.1 中引入了 Project Treble 架构,用于将 vendor 下的驱动和 Android system 系统分开,Android system 可以单独升级。SELinux 同样分成了两部分,位于 /system/etc/selinux 下的 platform 部分和位于 /vendor/etc/selinux 下的 vendor 部分。本文分析 Android 大版本升级过程中对 property 增加的一些限制,以及如何绕过这些限制。

Coredomain

哪些是 coredomain?

Coredomain 是 attribute,属于 domain (针对进程)或者 type(针对对象,如文件等)的集合。coremain 可以理解为包含 system 下可执行文件和 apps 所运行的 domain 或者说包含所有属于 Android 的 domain。

如何查看?

代码中查看

有两种定义方式:

    1. type XXX ..., coredomain ...;
    2. typeattribute XXX coredomain;

上面两种方式都是将 XXX 放入到 coredomain 集合中,即 XXX 是属于 coredomain,对 coredomain 配置的权限也会同步给 XXX,同样对 coredomain 的限制也会限制 XXX。

工具查看

Android system/sepolicy 源码下有 sepolicy-analyze 工具,然后需要编译好的 sepolicy 文件,使用下面命令可以查看 coredomain 都包含那些 domain:

    sepolicy-analyze 编译好的sepolicy  attribute coredomain

{:.warning}
编译好的policy,手机上可以从这两个地方取:1. /vendor(或者odm)/etc/selinux/precompiled_sepolicy; 2. /sys/fs/selinux/policy

Android P

新增限制

升级 Android P 后发现 property 新增了一个 neverallow(neverallow 用于限制配置,明确指定不能干什么)。来看下该 neverallow:

#https://cs.android.com/android/platform/superproject/+/android-9.0.0_r11:system/sepolicy/public/property.te;l=314
compatible_property_only(`
  # Neverallow coredomain to set vendor properties
  neverallow {
   
    coredomain
    -init
    -system_writes_vendor_properties_violators
  } {
   
    property_type
    -apexd_prop
    -audio_prop
    -bluetooth_a2dp_offload_prop
    -bluetooth_audio_hal_prop
    -bluetooth_prop
    -bootloader_boot_reason_prop
    -boottime_prop
    -bpf_progs_loaded_prop
    -config_prop
    -cppreopt_prop
    -ctl_adbd_prop
    -ctl_bootanim_prop
    -ctl_bugreport_prop
    -ctl_console_prop
    -ctl_default_prop
    -ctl_dumpstate_prop
    -ctl_fuse_prop
    -ctl_gsid_prop
    -ctl_interface_restart_prop
    -ctl_interface_start
最低0.47元/天 解锁文章
「已注销」
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
SELinux
DreamWendy
09-17 879
参考网址:https://www.cnblogs.com/ly565911158/p/3622942.html
Android定义domain设置SeAndroid权限
x2017x的博客
09-19 4393
Domain简介  在adbshell中输入命令ps-Z可查看到类似如下形式的信息,其中,第一栏第二个冒号后的内容(如system_app)即为domain,这些domain可用于通过定义.te文件中的权限控制属于该domain的应用的权限(如/external/sepolicy/system_app.te中的allowsystem_app system_data_file:dir crea
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
android 11添加property遇到的selinux问题
weixin_32104133的博客
12-18 7887
android 11 项目中添加新的property启动sh脚本,遇到如下几个问题。 问题1 :coredomaim编译报错 The following domain(s) must be associated with the "coredomain" attribute because they are executed off of /system: addnewservice 此处log 提示 addnewservice必须是coredomain类型的,为此我们在system/seploicy/p
领域驱动设计-读书笔记-第十五章-精炼
阿健小站
05-02 700
什么是精炼? 上面这4个方程式,再加上其中的术语定义,以及它们所依赖的数学体系,表达了19世纪经典电磁学的全部内涵。 如何才能专注于核心问题而不被大量的次要问题淹没呢?LAYEREDARCHITECTURE可以把领域概念从技术逻辑中(技术逻辑确保了计算机系统能够运转)分离出来,但在大型系统中,即使领域被分离出来,它的复杂性也可能仍然难以管理。精炼是把一堆混杂在一起的组件分开的过程,以便通过...
SELinux for Android的基本知识和实战
qq_40731414的博客
09-18 2110
了解selinux基本概念,解决常见的问题
Android定义gradle property详解及实例代码
08-31
主要介绍了Android定义gradle property详解及实例代码的相关资料,需要的朋友可以参考下
C#实现ProperTyGrid自定义属性的方法
09-04
主要介绍了C#实现ProperTyGrid自定义属性的方法,主要通过接口ICustomTypeDescriptor实现,需要的朋友可以参考下
C#自定义Property.7z
03-27
如果属性是List,则需要点击省略号(...)进入弹出界面进行设置,使用这个demo的方式可以直接列在PropertyGrid中。
PropertyGrid自定义控件使用详解
12-31
PropertyGrid是一个很强大的控件,使用该控件做属性设置面板的一个好处就是你只需要专注于代码而无需关注UI的呈现,PropertyGrid会默认根据变量类型选择合适的控件显示。但是这也带来了一个问题,就是控件的使用变得...
core-domain:核心领域类
05-21
先决条件 Java 8+ Maven 3.x + 如何建造 在您的IDE中:只需构建您的项目 从命令行: mvn clean install
android源码编译笔记--踩坑
热门推荐
Viewz的博客
03-05 1万+
错误:ninja: build stopped: subcommand failed. 解决: 打开prebuilts/sdk/tools/jack-admin 找到JACK_SERVER_COMMAND="java -XX:MaxJavaStackTraceDepth=-1 -Djava.io.tmpdir=$TMPDIR $JACK_SERVER_VM_ARGUMENTS -cp $LAUNCHER_JAR $LAUNCHER_NAME" 修改为JACK_SERVER_COMMAN...
Android P SELinux权限获取
arrol1786936883的博客
04-26 2103
Android SELinux权限问题
Android Q system_app默认写persist.sys.系统属性SEliux权限来源
u013398960的博客
08-09 7763
system_app为何可以写persist.sys开头的系统属性。 persist.sys.开头的系统属性默认授权来源。
Android13配置selinux让system应用可读sys,proc,SN号
最新发布
zmlovelx(帅得不敢出门 程序员群31843264)
01-08 950
Android13预置的system应用,需要读/sys, /proc目录,读(SN)serial number号, 需要修改selinux配置,否则会报avc错.其修改方法会比Android11复杂一些.。
MTK Android修改selinux允许system APP可读写sys与proc
zmlovelx(帅得不敢出门 程序员群31843264)
03-17 759
MTKAndroid 11需要为内置的APP打开读写/sys与/proc的权限。
android 8.0 添加开机服务
csh86277516的博客
03-16 5024
手动添加开机服务:1:做个独立文件夹,里面编辑要运行的bin,如下:Android.mk---这里面要做c和h这些文件编辑出bin生成到指定目录:csh.c---main函数在这里面qmi_dms_client.c  qmi_dms_client.h  ---调用qmi去与底层沟通函数2:bin服务文件做好了,开始把它加载到开机启动,device/qcom/common/rootdir/etc/i...
Android系统app的domain(安全上下文)设定方法
code/decode的博客
09-21 3857
背景 在运行了SELinux的Linux系统中,一般通过为C/C++编写的可执行文件指定特殊的安全上下文,然后用type_transition语句设定这些文件被执行后,产生对应的C/C++进程的安全上下文,通过这种方法,可以为系统的所有C/C++进程设定我们需要的安全上下文。 在Android系统中,除了C/C++进程外,还有大量的java应用,上述的通过type_transition指定安全上下...
【内核】调度域(Scheduling Domain)
weixin_34198881的博客
12-10 458
转自 http://www.ibm.com/developerworks/cn/linux/l-cn-schldom/ Scheduling Domains 引入的背景 Scheduling Domains 是现代硬件技术尤其是多 CPU 多核技术发展的产物。现在,一个复杂的高端系统由上到下可以这样构成: 它是一个 NUMA 架构的系统,系统中的每个 Node 访问系统中不同区域的内...
flowable6如何配置使用自定义数据源?
04-08
对于flowable6的自定义数据源配置,可以参考以下步骤: 1. 在项目的pom.xml文件中添加flowable-spring-boot-starter-dependencies和flowable-jdbc-spring-boot-starter两个依赖。 2. 在application.yml或application.properties中配置自定义数据源,例如: ``` spring: datasource: url: jdbc:mysql://localhost:3306/flowable?useUnicode=true&characterEncoding=utf-8&useSSL=false username: root password: 123456 ``` 3. 在Spring Boot应用中添加自定义数据源的配置类,例如: ``` @Configuration public class CustomDataSourceConfiguration { @Bean @Primary @ConfigurationProperties(prefix = "spring.datasource") public DataSource dataSource() { return DataSourceBuilder.create().build(); } } ``` 4. 在flowable.cfg.xml中配置自定义数据源,例如: ``` <bean id="processEngineConfiguration" class="org.flowable.spring.SpringProcessEngineConfiguration"> <property name="dataSource" ref="dataSource" /> ... </bean> ``` 以上是对于flowable6自定义数据源配置的简单介绍,如有不足之处,敬请谅解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值