2. 程式人生 > >Android之動態修改system/etc目錄下檔案的一種實現方式-SELinux

Android之動態修改system/etc目錄下檔案的一種實現方式-SELinux

阿新 發佈:2019-01-06

在沒有root的前提下,system分割槽為只讀,若要動態修改該分割槽下的檔案,可以按照下面流程實現:

1.寫執行指令碼,這裡以修改system/etc/hosts檔案為例,在/device/mediatek/mt67xx目錄下建立名為modifyhosts.sh的檔案,檔案內容如下:

# 修改system分割槽為可讀寫
mount -o remount,rw /system

# 修改內容,可以執行拷貝、刪除、寫入等操作
echo 127.0.0.1 localhost > /etc/hosts

# 修改hosts檔案許可權
chmod 644 /etc/hosts

# 修改system分割槽為只讀
mount -o remount,ro /system

2.配置指令碼編譯後的路徑,在/device/mediatek/mt67xx/device.mk檔案中配置指令碼編譯後的路徑:注意:指令碼檔案字尾可以不要 
PRODUCT_COPY_FILES += $(LOCAL_PATH)/modifyhosts.sh:system/bin/modifyhosts.sh

3.配置啟動指令碼的服務,/system/core/rootdir/init.rc檔案為系統啟動初始化檔案,最先載入,配置sh指令碼啟動服務: 
service remount-sys /system/bin/modifyhosts.sh
# 這個服務不能通過啟動一類服務來啟動,只能單獨以名字來啟動
disabled
# 服務只執行一次,退出後不再重啟
oneshot

4.定義主體的type,在/external/sepolicy目錄下新建一個modifyhosts.te檔案,在該檔案中定義一個名為modifyhosts的domain以及名為modifyhosts_exec的type: 
# 將domain設定為modifyhosts的屬性,表明modifyhosts是用來描述程序的安全上下文的
type modifyhosts, domain;
# 除錯時先加上下面這一句,它會打印出所有需要申請的許可權,除錯完成後刪除該語句。
permissive modifyhosts;
# 將exec_type和file_type設定為modifyhosts_exec的屬性,表明modifyhosts_exec是用來描述可執行檔案的安全上下文的
type modifyhosts_exec, exec_type, file_type;
init_daemon_domain(modifyhosts)

5.定義客體的type,remount-sys程序對應的可執行檔案是/system/bin/modifyhosts.sh,則在/external/sepolicy/file_contexts檔案中新增/system/bin/modifyhosts.sh檔案的安全上下文: 
/system/bin/modifyhosts.sh u:object_r:modifyhosts_exec:s0

也就是說,客體/system/bin/modifyhosts.sh檔案的type是modifyhosts_exec。

6.新增SELinux許可權,由於不知道需要新增哪些許可權,故按上面5個步驟操作完後,可以先編譯版本刷機,之後在adb shell 下執行:

setprop ctl.start remount-sys
dmesg > /data/data/a.txt

匯出執行log到指定目錄下,根據log內容新增指定許可權,dmesg是列印kernel層log的命令。

log內容如下:

[  659.805760] .(0)[269:logd.auditd]type=1400 audit(1481859095.080:77): avc: denied { remount } for pid=5080 comm="mount" scontext=u:r:modifyhosts:s0 tcontext=u:object_r:labeledfs:s0 tclass=filesystem permissive=1

從log可知,需要為modifyhosts.te檔案新增許可權,SELinux許可權規則語句一般如下: 
allow 主體的Type 客體的Type:操作 許可權1;
或者:
allow 主體的Type 客體的Type:操作 { 許可權1 許可權2 };

可以從log中獲取四個引數得出最後的規則: 
allow modifyhosts labeledfs:filesystem { remount };

新增許可權後再次編譯版本,如果編譯失敗,且失敗原因如下: 
libsepol.report_failure: neverallow on line 284 of external/sepolicy/domain.te (or line 5613 of policy.conf) violated by allow modifyhosts labeledfs:filesystem { remount };
libsepol.check_assertions: 1 neverallow failures occurred

這是因為系統在domain.te檔案中定義了全域性的neverallow策略,與modifyhosts.te中allow的策略有衝突,此時請確認該許可權是否是服務所必須的,如果是必須的可以在/external/sepolicy/domain.te檔案中有衝突的neverallow語句中新增自己為例外: 
neverallow { domain -kernel -init -recovery -vold -zygote
    -modifyhosts # add by zhangyongfei
 } { fs_type -sdcard_type }:filesystem { mount remount relabelfrom relabelto };

7.通過前面6步之後就除錯好了,下面該在系統程式碼中新增真正呼叫該服務的程式碼了,這裡可以在系統服務(AMS、PMS等)中呼叫下面方法啟動該服務: 
// remount-sys是在init.rc中自定義的服務名
SystemProperties.set("ctl.start","remount-sys");

相關推薦

Android動態修改system/etc目錄檔案實現方式-SELinux

在沒有root的前提下,system分割槽為只讀,若要動態修改該分割槽下的檔案,可以按照下面流程實現: 1.寫執行指令碼,這裡以修改system/etc/hosts檔案為例,在/device/mediatek/mt67xx目錄下建立名為modifyhosts.sh的檔案,檔

Android簽名與認證META-INFO目錄檔案

一、Android簽名概述 我們已經知道的是:Android對每一個Apk檔案都會進行簽名,在Apk檔案安裝時,系統會對其簽名信息進行比對,判斷程式的完整性,從而決定該Apk檔案是否可以安裝,在一定程度上達到安全的目的。 給定一個Apk檔案,解壓,可以看到一個META

Android動態改變控制元件的大小的方法

    在Android中有時候我們需要動態改變控制元件的大小。有幾種辦法可以實現  一是在onMeasure中修改尺寸,二是在onLayout中修改位置和尺寸。這個是可以進行位置修改的,onMeasure不行。 還有一種是用LayoutParams來進行修改。前兩種方法都

linux scandir顯示指定目錄檔案程式碼 c 實現

#include <stdio.h> #include <dirent.h> #include <string.h> #include <stdlib.h> #include <sys/stat.h>

【朝花夕拾】Android自定義View篇(四)自定義View的三實現方式及自定義屬性詳解

前言        儘管Android系統提供了不少控制元件,但是有很多酷炫效果仍然是系統原生控制元件無法實現的。好在Android允許自定義控制元件,來彌補原生控制元件的不足。但是在很多初學者看來,自定義View似乎很難掌握。其中有很大一部分原因是我們平時看到的自定

mybatis接口方法多參數的三實現方式

自動 spa commit col pri true keys use 數據 關鍵代碼舉例: DaoMapper.xml 1 <!-- 傳入多個參數時,自動轉換為map形式 --> 2 <insert id="insertByCol

動態內表的實現方式

loop days assign pla eat -name alc str ack SPAN { font-family: "Courier New"; font-size: 10pt; color: #000000; background: #FFFFFF } .L0S

Java框架Spring AOP 面向切面程式設計 有哪幾實現方式?如何選擇適合的AOP實現方式

文章目錄 1. 實現方式 2. JDK動態代理如何實現? 2.1 主要的實現過程 3. 如何選擇? 1. 實現方式 JDK 動態代理實現和 cglib 實現 2. JDK

Android RadioGroup中的RadioButton無法選中問題的處理方式

專案中用到了單選佈局,所以使用了RadioGroup和RadioButton,一組RadioGroup中增加了10個RadioButton,根據使用者的新增和刪除來動態調整每組RadioGroup需要顯示的RadioButton數量,使用VISIBLE和GONE屬性。效果圖

Android自定義控制元件:進度條的四實現方式

Progress Wheel為GitHub熱門專案,作者是:Todd-Davies,專案地址: https://github.com/Todd-Davies/ProgressWheel 前三種實現方式程式碼出自: http://stormzhang.com/ope

修改/etc目錄所有檔案許可權導致無法遠端訪問

注意:本人環境為centos,如果是ubuntu等其他系統,則下面第1步驟可能有些檔案報不存在的錯誤,不過不影響後面的步驟 修復步驟: 1.先用控制檯登入,敲下如下命令恢復遠端訪問 chmod o='' -R /etc/{sudoers,shadow,shadow-,li

androidViewPager修改滑動速度

int start star nal pager highlight 畫的 並且 src exception 在android中,使用過viewpager的人都清楚,我們如果使用viewpager進行滑動時,如果通過手指滑動來進行的話,可以根據手指滑動的距離來實現,但是如果

Python3儲存資料到指定目錄檔案

程式碼 import os def save(html, path): ''' 以檔案形式儲存資料 :param html: 要儲存的資料 :param path: 要儲存資料的路徑 :return: ''' # 判斷目錄是否存

Android自定義EditText游標和劃線顏色

最近在寫些小Demo複習基礎,在用到EditText的時候突然發現之前幾乎沒有注意到它的游標和下劃線的顏色,於是花了不少時間,看了不少部落格,現在就來總結和分享一下收穫。 1、第一印象:原生的EditText 我們要在原生的EditText上修改,首先當然要認識一下它的本來面目。在Andro

Android jar包裡面有assets目錄檔案,APP的assets裡面也有檔案,如何讀呢?

jar 包中可以寫 assets資料夾, APP裡面同時也可以寫assets,但是隻要assets下面的檔案不同名就可以了,忒棒 !!! 如果assets目錄下有檔案的,

Android 動態許可權的新增

       對於安卓 6.0 之前許可權的處理是標膠簡單的,只需要在清單檔案中加入自己所需要的許可權就可以了,但是隨著谷歌對許可權的稽核變的嚴厲起來之後,在  targetSdkVersion 23 以上就需要動動態申請許可權了,下面我就來介紹一下怎麼動態申請許可權,其中包

Android動態申請許可權(API23以上需求)

1 package com.dragon.android.permissionrequest; 2 3 import android.Manifest; 4 import android.content.DialogInterface; 5 import android.co

EasyUI動態修改或新增textbox等表單元件

在某個input標籤上新增 class="easyui-datebox" 它就能自動變成日曆,這其實是EasyUI掃描的結果,在網頁載入完成後,相當於在$(document).ready()事件中,對整個網頁進行了一次掃描,發現某個input標籤含有cl

使用adb命令刪除Android系統data目錄檔案及資料夾

使用命令刪除data目錄下的資料夾,和刪除一般檔案不同。 data目錄下的檔案需要777許可權,所以需要的命令不同 data目錄: C:\Users\aw>adb shell roo

刪除原生的app {system/app目錄}

$ sudo adb root [sudo] password for matthew:  adbd is already running as root $ sudo adb remount remount succeeded $ sudo adb shell [emai