Android之动态修改system/etc目录下文件的一种实现方式-SELinux

最新推荐文章于 2023-08-24 17:34:19 发布
最新推荐文章于 2023-08-24 17:34:19 发布
阅读量2.7k 收藏 5
点赞数
分类专栏: andriod系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/long375577908/article/details/79384633
版权

在没有root的前提下,system分区为只读,若要动态修改该分区下的文件,可以按照下面流程实现:

1.写执行脚本,这里以修改system/etc/hosts文件为例,在/device/mediatek/mt67xx目录下创建名为modifyhosts.sh的文件,文件内容如下:

[python]  view plain  copy
  1. # 修改system分区为可读写  
  2. mount -o remount,rw /system  
  3.   
  4. # 修改内容,可以执行拷贝、删除、写入等操作  
  5. echo 127.0.0.1 localhost > /etc/hosts  
  6.   
  7. # 修改hosts文件权限  
  8. chmod 644 /etc/hosts  
  9.   
  10. # 修改system分区为只读  
  11. mount -o remount,ro /system  

2.配置脚本编译后的路径,在/device/mediatek/mt67xx/device.mk文件中配置脚本编译后的路径: 注意:脚本文件后缀可以不要

[java]  view plain  copy
  1. PRODUCT_COPY_FILES += $(LOCAL_PATH)/modifyhosts.sh:system/bin/modifyhosts.sh  

3.配置启动脚本的服务,/system/core/rootdir/init.rc文件为系统启动初始化文件,最先加载,配置sh脚本启动服务:

[java]  view plain  copy
  1. service remount-sys /system/bin/modifyhosts.sh  
  2. # 这个服务不能通过启动一类服务来启动,只能单独以名字来启动  
  3. disabled  
  4. # 服务只运行一次,退出后不再重启  
  5. oneshot  

4.定义主体的type,在/external/sepolicy目录下新建一个modifyhosts.te文件,在该文件中定义一个名为modifyhosts的domain以及名为modifyhosts_exec的type:

[java]  view plain  copy
  1. # 将domain设置为modifyhosts的属性,表明modifyhosts是用来描述进程的安全上下文的  
  2. type modifyhosts, domain;  
  3. # 调试时先加上下面这一句,它会打印出所有需要申请的权限,调试完成后删除该语句。  
  4. permissive modifyhosts;  
  5. # 将exec_type和file_type设置为modifyhosts_exec的属性,表明modifyhosts_exec是用来描述可执行文件的安全上下文的  
  6. type modifyhosts_exec, exec_type, file_type;  
  7. init_daemon_domain(modifyhosts)  

5.定义客体的type,remount-sys进程对应的可执行文件是/system/bin/modifyhosts.sh,则在/external/sepolicy/file_contexts文件中添加/system/bin/modifyhosts.sh文件的安全上下文:

[java]  view plain  copy
  1. /system/bin/modifyhosts.sh u:object_r:modifyhosts_exec:s0  

也就是说,客体/system/bin/modifyhosts.sh文件的type是modifyhosts_exec。

6.添加SELinux权限,由于不知道需要添加哪些权限,故按上面5个步骤操作完后,可以先编译版本刷机,之后在adb shell 下执行:

[java]  view plain  copy
  1. setprop ctl.start remount-sys  
  2. dmesg > /data/data/a.txt  

导出执行log到指定目录下,根据log内容添加指定权限,dmesg是打印kernel层log的命令。

log内容如下:

[java]  view plain  copy
  1. [  659.805760] .(0)[269:logd.auditd]type=1400 audit(1481859095.080:77): avc: denied { remount } for pid=5080 comm="mount" scontext=u:r:modifyhosts:s0 tcontext=u:object_r:labeledfs:s0 tclass=filesystem permissive=1  

从log可知,需要为modifyhosts.te文件添加权限,SELinux权限规则语句一般如下:

[java]  view plain  copy
  1. allow 主体的Type 客体的Type:操作 权限1;  
  2. 或者:  
  3. allow 主体的Type 客体的Type:操作 { 权限1 权限2 };  

可以从log中获取四个参数得出最后的规则:

[java]  view plain  copy
  1. allow modifyhosts labeledfs:filesystem { remount };  

添加权限后再次编译版本,如果编译失败,且失败原因如下:

[java]  view plain  copy
  1. libsepol.report_failure: neverallow on line 284 of external/sepolicy/domain.te (or line 5613 of policy.conf) violated by allow modifyhosts labeledfs:filesystem { remount };  
  2. libsepol.check_assertions: 1 neverallow failures occurred  

这是因为系统在domain.te文件中定义了全局的neverallow策略,与modifyhosts.te中allow的策略有冲突,此时请确认该权限是否是服务所必须的,如果是必须的可以在/external/sepolicy/domain.te文件中有冲突的neverallow语句中添加自己为例外:

[java]  view plain  copy
  1. neverallow { domain -kernel -init -recovery -vold -zygote  
  2.     -modifyhosts # add by zhangyongfei  
  3.  } { fs_type -sdcard_type }:filesystem { mount remount relabelfrom relabelto };  

7.通过前面6步之后就调试好了,下面该在系统代码中添加真正调用该服务的代码了,这里可以在系统服务(AMS、PMS等)中调用下面方法启动该服务:

[java]  view plain  copy
  1. // remount-sys是在init.rc中自定义的服务名  
  2. SystemProperties.set("ctl.start","remount-sys");  
longroey
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android开发:针对系统文件目录 /system目录下进行的文件操作
奋进的代码
07-23 2万+
Android的/system目录是安卓的系统目录,里面存放的都是系统文件,主要有以下文件夹: 更加具体的文件结构,有兴趣的读者可以安装一个RE文件管理器去查看,在这里我们只关注/system目录文件的操作问题。  /system/app/ : 一些系统APP /system/bin/ : Linux自带组件 /system/build.prop :系统的属性信息 /system/fo...
Android SELinux开发入门指南之权限解决万能规则
IT先森
07-04 3644
  Android SELinux开发入门指南之权限解决万能规则 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题,在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级,但是有时候的实际效果确实杀敌一千,自损八百给开开发造成许多的困难。今天将带领读者一起看看的是Android开启SELinux后,有没有一种通用...
Linux系统文件权限管理
CSDN
01-04 1万+
PAM 可以说是一套应用程序编程接口(Application Programming Interface,API)他提供了一连串的验证机制,只要使用者将验证阶段的需求告知 PAM 后,PAM 就能够回报使用者验证的结果(成功或失败),由于 PAM 仅是一套验证的机制,又可以提供给其他程序所呼叫引用,因此不论你使用什么程序,都可以使用 PAM 来进行验证,如此一来,就能够让账号口令或者是其他方式的验证具有一致的结果,也让程序设计师方便处理验证的问题.
Android etc目录文件一览表
DEV_linux的专栏
05-05 3736
这个里面主要存放的是常规下载的应用程序,可以看到都是以APK格式结尾的文件。在这个文件夹下的程序为系统默认的组件,自己安装的软件将不会出现在这里,而是\\data\\文件夹中。下面是详细的介绍: \\system\\app\\AlarmClock.apk 闹钟 \\system\\app\\AlarmClock.odex \\system\\app\\Browser.apk 浏览器 \\syste
[转]Android系统文件夹结构解析(三)--/system/etc
tracyli119的专栏
04-08 3656
 从文件夹名称来看保存的都是系统的配置文件,比如APN接入点设置等核心配置。/system/etc/apns-conf.xml APN接入点配置文件/system/etc/AudioFilter.csv 音频过滤器配置文件/system/etc/AudioPara4.csv/system/etc/bookmarks.xml 书签数据库/system/etc/dbus.conf 总线监视配置
container-selinux-2.74-1.el7.noarch.rar
03-03
SELinux一种强制访问控制(MAC)系统,它为Linux内核提供了一层额外的安全保护,能够对系统中的资源访问进行严格的控制。在容器环境中,多个独立的应用程序可能在同一主机上运行,`container-selinux`允许我们为每...
container-selinux2.9-4.rar
06-20
centos系统安装docker时常缺此安装包, 下载rpm安装包后执行命令: rpm -i container-selinux-2.9-4.el7.noarch.rpm 即可完成安装,再继续docker其他安装。
container-selinux-2.74-1.el7.noarch.rpm
12-02
解决container-selinux >= 2:2.74,它被软件包 3:docker-ce-19.03.5-3.el7.x86_64 需要问题.container-selinux-2.74-1.el7.noarch.rpm
container-selinux-2.9-4.el7.noarch.rpm.zip
02-27
在IT行业中,容器技术已经成为应用程序部署和管理的标准方式,而Docker则是最广泛使用的容器平台之一。`container-selinux-2.9-4.el7.noarch.rpm.zip`这个压缩包文件是与Docker相关的,它包含了一个名为`container-...
Android 设置/system/bin/cmd的权限遇到的问题
08-02
Android系统中,`/system/bin/cmd`是一个重要的命令行工具,它允许用户执行各种系统级别的操作。然而,出于安全考虑,Android系统通常对这些工具的权限进行了严格的限制。这篇博客文章“Android设置/system/bin/...
Android系统目录/system/etc下自建文件存在却无法访问
harry_helei的专栏
05-16 1万+
真机环境下由于项目需要,在Android系统的/system/etc目录下自建目录alta。开发阶段,通过adb shell进入控制台,执行mkdir命令新建该目录,并将需要的xml文件push到该目录下。         编写apk程序,读取xml文件内容,利用本人另外一片博客(Android一种打开并读取指定路径文件内容的方法)中的方法,执行发现始终找不到指定的路径,实际查看文件确实存在,
RK3568 Android系统客制化动态替换ro任意属性
最新发布
一歲抬頭的博客
08-24 428
本文将以RK3568 Android11为例,介绍如何动态替换任意的`ro`属性以及在此过程中遇到的问题和解决方案。
android学习】Android系统根目录结构及说明
zkq49099的专栏
11-19 2199
/system目录 /system/app/ 存放系统应用,包括google预先绑定得app,厂商或运营商得app(这些app应该放在/vendor/app目录) /system/bin主要是Linux系统自带的二进制可执行文件 /system/build.prop记录了系统的设置和改变 /system/etc存放安卓系统配置文件 /system/fonts 存放各种字体 /s...
玩机教程----安卓机型解锁system分区 任意修改删除系统文件
热门推荐
小马哥的专栏
07-24 4万+
今天的教程就到这里。我的教程面相初学玩机友友。关注我带你了解基本玩机搞机常识和一些故障解决。
RK平台Android12 系统水平居中切割屏显示修改
Android系统开发笔记
04-21 794
RK android12 800x800水平居中切割屏显示修改
android系统如何获得外置卡路径
History became legend, legend became myth
08-09 1万+
路径实际是存在系统文件"system/etc/vold.fstab"中,可以用一下语句获得路径。 Environment.getRootDirectory().getAbsoluteFile() + File.separator + "etc" + File.separator + "vold.fstab"; 使用联想K860i测试结果: dev_mount sdcard /mnt/s
Android判断获取内置外置sd卡
以梦为马
03-13 3994
项目有下载任务,需求可以选择下载路径到内置存储还是外置sd卡,网上查了很多内容,大致有: 1.注册sd卡插拔广播,在广播中调用 intent.getData().getPath()
35.注册监听器的两种方法(View.OnClickListener)
liuzhiqinag的博客
06-07 3364
1. 使用匿名类注册监听器public class MainActivity extends AppCompatActivity { @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentV
/etc/pam.d/system-auth 文件中enforce_for_root配置
06-03
在/etc/pam.d/system-auth文件中,enforce_for_root配置通常包含在pam_selinux.so模块的配置行中。该模块用于启用SELinux支持,并可以指定是否对root用户启用SELinux安全策略。例如,以下是一个包含enforce_for_root配置的pam_selinux.so模块配置行示例: ``` auth include postlogin auth optional pam_selinux.so enforce_for_root ``` 在上面的示例中,pam_selinux.so模块被配置为可选项,并且enforce_for_root被设置为启用SELinux安全策略,即root用户也受到SELinux保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值