Android 8.1 非系统进程设置系统域属性问题

最新推荐文章于 2024-05-27 11:48:27 发布
最新推荐文章于 2024-05-27 11:48:27 发布
阅读量1.2w 收藏 13
点赞数 2
分类专栏: android 系统优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19923217/article/details/83820902
版权
1. 进程间通过设置属性进行交互

Android 系统开发中经常需要通过属性在各个进程间传递信息,通过一个进程 set_property,另一个进程 get_property 达到进程间通信的需求。

属性获取没有限制,但是如果需要进程可以进行设置属性操作,则需要做一些处理。因为在 init 进程属性设置处理过程中会进行 selinux 权限的检查,如果不通过的话,设置属性的请求会被拒绝。
报错 fail 如下:

W libc    : Unable to set property "use_xxx" to "1": connection failed; errno=13 (Permission denied)

以一个进程为例,如果 a 进程需要在运行过程中设置属性,则需要添加在 device/xxx/common/sepolicy/a.te 文件中添加:

allow mediacodec default_prop:property_service set;
(该命令可以通过 audit2allow 命令生成)

添加成功之后,重新编译 system/sepolicy/。

2. android 8.1(及以上版本)系统设置权限限制

这种方法在 8.1 以前的系统都可以通用,但是 Android 8.1 及以上版本系统添加了权限限制,不允许普通进程设置系统属性,编译错误如下:

FAILED: out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy 
/bin/bash -c "(out/host/linux-x86/bin/secilc -M true -G -c 30 out/target/product/xxxx/obj/ETC/plat_sepolicy.cil_intermediates/plat_sepolicy.cil out/target/product/xxxx/obj/ETC/27.0.cil_intermediates/27.0.cil out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil -o out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy.tmp -f /dev/null ) && (out/host/linux-x86/bin/sepolicy-analyze out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy.tmp permissive > out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy.permissivedomains ) && (if [ \"userdebug\" = \"user\" -a -s out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy.permissivedomains ]; then 		echo \"==========\" 1>&2; 		echo \"ERROR: permissive domains not allowed in user builds\" 1>&2; 		echo \"List of invalid domains:\" 1>&2; 		cat out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy.permissivedomains 1>&2; 	       exit 1; 		fi ) && (mv out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy.tmp out/target/product/xxxx/obj/ETC/sepolicy_intermediates/sepolicy )"
neverallow check failed at out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil:2614
  (neverallow base_typeattr_4_27_0 default_prop_27_0 (property_service (set)))
    <root>
    allow at out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil:6713
      (allow mediacodec_27_0 default_prop_27_0 (property_service (set)))

neverallow check failed at out/target/product/xxxx/obj/ETC/plat_sepolicy.cil_intermediates/plat_sepolicy.cil:4287 from system/sepolicy/public/domain.te:447
  (neverallow base_typeattr_4 default_prop (property_service (set)))
    <root>
    allow at out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil:6713
      (allow mediacodec_27_0 default_prop_27_0 (property_service (set)))

Failed to generate binary
Failed to build policydb
[ 34% 23/66] build out/target/product/xxxx/obj/ETC/precompiled_sepolicy_intermediates/precompiled_sepolicy
FAILED: out/target/product/xxxx/obj/ETC/precompiled_sepolicy_intermediates/precompiled_sepolicy 
/bin/bash -c "out/host/linux-x86/bin/secilc -M true -G -c 30 		out/target/product/xxxx/obj/ETC/plat_sepolicy.cil_intermediates/plat_sepolicy.cil out/target/product/xxxx/obj/ETC/27.0.cil_intermediates/27.0.cil out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil -o out/target/product/xxxx/obj/ETC/precompiled_sepolicy_intermediates/precompiled_sepolicy -f /dev/null"
neverallow check failed at out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil:2614
  (neverallow base_typeattr_4_27_0 default_prop_27_0 (property_service (set)))
    <root>
    allow at out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil:6713
      (allow mediacodec_27_0 default_prop_27_0 (property_service (set)))

neverallow check failed at out/target/product/xxxx/obj/ETC/plat_sepolicy.cil_intermediates/plat_sepolicy.cil:4287 from system/sepolicy/public/domain.te:447
  (neverallow base_typeattr_4 default_prop (property_service (set)))
    <root>
    allow at out/target/product/xxxx/obj/ETC/nonplat_sepolicy.cil_intermediates/nonplat_sepolicy.cil:6713
      (allow mediacodec_27_0 default_prop_27_0 (property_service (set)))

Failed to generate binary
Failed to build policydb
ninja: build stopped: subcommand failed.
20:55:56 ninja failed with: exit status 1

#### failed to build some targets (02:13 (mm:ss)) ####
修正解决方案 1

允许 mediacodec 进程设置 use_xxx 属性

diff --git a/sepolicy/mediacodec.te b/sepolicy/mediacodec.te
index 3530bec..a3a0c38 100644
--- a/sepolicy/mediacodec.te
+++ b/sepolicy/mediacodec.te
@@ -5,4 +5,8 @@ allow mediacodec media_prop:file { open read getattr };
 allow mediacodec system_file:dir { open read };
 allow mediacodec sysfs:file { read open getattr };
 allow mediacodec sysfs:dir { read open getattr };
 get_prop(mediacodec,ctsgts_prop);
+set_prop(mediacodec,use_mpp_mode_prop);
diff --git a/sepolicy/property.te b/sepolicy/property.te
index c71f976..5912a09 100755
--- a/sepolicy/property.te
+++ b/sepolicy/property.te
@@ -2,5 +2,6 @@ type graphic_prop, property_type;
 type drm_prop, property_type, mlstrustedsubject;
 type media_prop, property_type, mlstrustedsubject;
 type ctsgts_prop, property_type, mlstrustedsubject;
+type use_xxx_prop, property_type, mlstrustedsubject;
 type secureboot_prop, property_type;
 type tee_supplicant_prop, property_type;
diff --git a/sepolicy/property_contexts b/sepolicy/property_contexts
index cd31e89..af47380 100755
--- a/sepolicy/property_contexts
+++ b/sepolicy/property_contexts
@@ -5,6 +5,7 @@ media.                  u:object_r:media_prop:s0
 mediaplayer.            u:object_r:media_prop:s0
 cts_gts.                u:object_r:ctsgts_prop:s0
 persist.cts_gts.        u:object_r:ctsgts_prop:s0
+use_xxx                 u:object_r:use_xxx_prop:s0
 pppoe.                  u:object_r:dhcp_prop:s0
 persist.ppp             u:object_r:dhcp_prop:s0
 ro.secureboot           u:object_r:secureboot_prop:s0
修正解决方案 2

非系统域的属性设置则没有如上限制,可以将 use_xxx 属性修改为 vendor.use_xxx 改为 vender 域的属性

岁月斑驳7
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
android setprop 权限,android property_getproperty_set设置与avc权限添加
weixin_30977281的博客
06-04 3532
androidproperty_get/property_set设置与avc权限添加介绍了作者的心中所想,无论在工作还是生活上都有较好的参考价值,喜欢的可以仔细研读一下1.使用需要添加对应的头文件,同时需要在Android.mk文件中加入库libcutils.#include 2.property_get/property_set 函数原型/* property_get: returns the ...
Android 8.1 系统多网口实现方法
08-31
Android 8.1版本引入了对多网口支持的功能,使得系统能够管理并利用多个有线网络连接。下面我们将详细讨论如何通过修改`framework`代码来实现这一功能。 首先,我们来看`EthernetNetworkFactory.java`文件。这个类...
failed to set system property error code: 0x18
xiaowang_lj的博客
03-08 9681
  在对Android操作系统进行开发的过程中,经常需要使用到Android的隐藏API SystemProperties.set(String key, String value) 这个接口,写入一些属性值存放到系统共享内存,配合SystemProperties.get(String key) 这个接口可以很方便的实现某些功能。由于是android:sharedUserId=“android.uid.system” 的系统级应用,有权限操作类似的隐藏接口。我们可以自定义属性节点,以方便第三方应用开发者获取
Android - failed to set system property
最新发布
感觉不怎么会的博客
05-27 936
进程将解析init.rc和启动属性服务。一旦收到设置“ ctrl.start ”属性的请求,属性服务将使用该属性值作为服务。如果属性名称以“net.”开头,当设置这个属性时,“net.change”属性将会自动设置,以加入到最后修改的属性名。如果属性名称以“persist.”开头,当设置这个属性时,其值也将写入/data/property。如果属性名称以“ro.”开头,那么这个属性被视为只读属性。发现确实不好使,然后意识到这个 ro开头的貌似是只读属性的,去网上确认了下,确实如此。
【QCM6125】Android12 selinux权限修改及快速调试
sunnywalden
01-04 2907
【QCM6125】Android12 selinux权限修改及快速调试
MTK6757 9.0 USB debugger 默认打开, 开发者选项无法打开
wpx712 博客
04-27 1440
一.USBdebugger默认打开 1.build\make\core\main.mk 将ro.debuggable值改为1 ADDITIONAL_DEFAULT_PROPERTIES += ro.debuggable=1 2.frameworks\base\services\usb\java\com\android\server\usb\UsbDeviceManager.ja...
MTK去掉系统提取odex、selinux改为permissive、adb root
纸上得来终觉浅,绝知此事要躬行
02-25 2750
1.去掉系统提取odex device/mediatek/common/BoardConfig.mk +WITH_DEXPREOPT := false 2.selinux改为permissive system/core/init/Android.mk  - ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT))) + ifn...
MTK Android User版本实现 root 功能 & 可进行APK的删减 和 系统img的替换
小路塔的博客
05-08 3662
最近项目需要,需要实现一个功能需要Android在user版本的状态下可以进行烧制system.img和 可以进行对系统的system/app下面的APK 以及 data/* 下所有的文件进行烧录.修改过程中也遇到了很多的坑能,在此记录一下,方便后期翻阅,也让修改的同学们别踩到我遇到的坑.遇到最大的坑就是 User版本编译出来之后 可以root 也可以remount $ adb root adbd is already running as root $ adb remount remount su..
android8.1系统签名所需文件
01-12
对于Android 8.1 Oreo(API级别27)来说,开发者如果想要创建一个系统应用或者修改系统组件,必须遵循特定的签名流程。这里我们将深入探讨"android8.1系统签名所需文件"这一主题,以及`platform.pk8`和`platform.x...
Android8.1 通过黑名单屏蔽系统短信和来电功能
08-26
最近小编接到一个新的需求,需要将8.1 设备的来电功能和短信功能都屏蔽掉,特殊产品就是特殊定制。接下来通过本文给大家介绍Android8.1 通过黑名单屏蔽系统短信和来电功能,需要的朋友参考下吧
Android 系统 8.1源码
08-13
Android 系统 8.1源码 可以用于在Linux系统中进行mm命令的源码编译。 链接:https://pan.baidu.com/s/1vnNsePbmjWjrmG-xkD78kg 提取码:h9l3
Android 8.1 Settings 源码下载
09-25
通过分析和学习Android 8.1 Settings的源码,开发者不仅可以了解Android系统设置的工作原理,还能掌握到高级的Android开发技巧和最佳实践,对提升个人技能和解决问题的能力大有裨益。同时,源码中的注释也是宝贵的...
Android 用户组权限,SELinux心得总结
Mis_wenwen的博客
11-09 7693
这里要分两个部分来说,一个是Linux权限组的设定,一个是SELinux。 我们先不考虑SELinux。先单独来说Linux权限组。 因为要想对某个文件进行操作(read,write,execute等),必须先满足Linux权限组的规则,然后再满足SeLinux的allow条件,才能成功操作。 我们最好找一台userdebug软件的手机来进行调试学习。我这边是在Android O上进行示范。...
Android安全策略SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
Android13 添加SELinux权限 编译的时候出现 neverallow 编译报错
qq_34694875的博客
11-01 1996
Android SELinux的neverallow错误解决
failed to set system property
热门推荐
visionliao的专栏
12-07 1万+
Android SystemProperties.set 概述   在对Android操作系统进行开发的过程中,经常需要使用到Android的隐藏API SystemProperties.set(String key, String value) 这个接口,写入一些属性值存放到系统共享内存,配合SystemProperties.get(String key) 这个接口可以很方便的实现某些功能。由...
android property实现路径
程序猿Ricky的日常干货
06-29 4384
上层接口实现 system/core/libcutils/properties.cpp: property_set/property_get: #include &amp;amp;amp;lt;sys/_system_properties.h&amp;amp;amp;gt; int property_set(const char *key, const char *value) { return __system_prope...
Android8.1系统精简
05-30
3. 禁用不必要的功能:在Android 8.1中,系统提供了一些设置,可以禁用不必要的功能,如蓝牙、NFC等。开发者可以通过设置禁用不必要的功能,从而减少系统的资源占用。 4. 压缩系统镜像:在Android 8.1中,系统提供...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值