SELinux配置property

最新推荐文章于 2025-06-16 15:18:31 发布
最新推荐文章于 2025-06-16 15:18:31 发布
阅读量7.9k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: android移动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhudaozhuan/article/details/50966080
本文探讨了Android系统中property的使用,并重点讲解了在SEAndroid环境下如何配置和管理property,包括非SEAndroid环境下的property限制以及SEAndroid对property的具体配置策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

property是android常用的一个TOOL(可以理解为TOOL),使用起来非常方便,不管是Java层还是c++层,都可以使用property。

1.非SEAndroid property限定

android 5.X之前,例如kikat4.4 :
system\core\init\property_service.c 
    property_perms[] = {
    { "ril.",             AID_RADIO,    0 },
    { "gsm.",             AID_RADIO,    0 },
    { "persist.radio",    AID_RADIO,    0 },
    { "net.dns",          AID_RADIO,    0 },
    { "sys.usb.config",   AID_RADIO,    0 },
    { "net.",             AID_SYSTEM,   0 },
    { "dev.",             AID_SYSTEM,   0 },
    { "runtime.",         AID_SYSTEM,   0 },
    { "hw.",              AID_SYSTEM,   0 },
    { "sys.",             AID_SYSTEM,   0 },
    { "sys.powerctl",     AID_SHELL,    0 },
    { "service.",         AID_SYSTEM,   0 },
    { "wlan.",            AID_SYSTEM,   0 },
property根据AID不同,只能操作指定前缀的属性。比如gsm.* 只能是AID_RADIO process可以set & get,其他USER则无法设置此前缀的property。
AID和UID有如下对应关系:
system\core\include\private\android_filesystem_config.h 
#define AID_SYSTEM        1000  /* system server */

#define AID_RADIO         1001  /* telephony subsystem, RIL */
#define AID_BLUETOOTH     1002  /* bluetooth subsystem */
#define AID_GRAPHICS      1003  /* graphics devices */
#define AID_INPUT         1004  /* input devices */
#define AID_AUDIO         1005  /* audio devices */
#define AID_CAMERA        1006  /* camera devices */
#define AID_LOG           1007  /* log devices */
#define AID_COMPASS       1008  /* compass device */
#define AID_MOUNT         1009  /* mountd socket */
#define AID_WIFI          1010  /* wifi subsystem */
通过busybox ps可以查看进程的UID: 
PID   USER     TIME   COMMAND
 1741 10004      0:00 {d.process.media} android.process.media
 1804 10011      0:01 {ndroid.systemui} com.android.systemui
 1987 10005      0:00 {externalstorage} com.android.externalstorage
 2083 10038      0:00 {utmethod.pinyin} com.android.inputmethod.pinyin
 2176 1001       0:00 {m.android.phone} com.android.phone
 2195 1000       0:01 {droid.launcher3} com.android.launcher3

android5.X之后,在system\core\init\property_service.c以及其他文件,没有看到对property_perms的定义。
在TvSettings.apk写demo验证: 
SystemProperties.set("jacky.debug.prop","1");
SystemProperties.set("log.jacky.prop","1");
SystemProperties.set("gsm.jacky.prop","1");
get到结果: 
[gsm.jacky.prop]: [1]
[jacky.debug.prop]: [1]
[log.jacky.prop]: [1]
gsm和log前缀对于kikat4.4,UID=1000的process是无法设置的,但是在android 5.1平台可以设置,说明android 5.X后已经没有对property前缀的限制了。

2.SEAndroid对property配置

在property_service.c里面没有对property的限制了,但是在SEAndroid还是有根据前缀,给予不同的SContext。
external\sepolicy\property_contexts 
net.                    u:object_r:system_prop:s0
dev.                    u:object_r:system_prop:s0
runtime.                u:object_r:system_prop:s0
hw.                     u:object_r:system_prop:s0
sys.                    u:object_r:system_prop:s0
sys.powerctl            u:object_r:powerctl_prop:s0
service.                u:object_r:system_prop:s0
wlan.                   u:object_r:system_prop:s0
dhcp.                   u:object_r:dhcp_prop:s0
dhcp.bt-pan.result      u:object_r:pan_result_prop:s0
bluetooth.              u:object_r:bluetooth_prop:s0
类似以前版本,不同的前缀,对应不同的AID,这里对应不同的Scontext。

在上一篇文章<SELinux app配置>: http://blog.youkuaiyun.com/zhudaozhuan/article/details/50964832
有介绍,对于app,只有domain为system_app的process才可以进行prop相关操作。
因此当我们需要客制化property前缀试,需要在property_contexts进行相关的配置。
例如: 
ms.media.            u:object_r:audio_prop:s0
ms.dvfs.             u:object_r:audio_prop:s0
其他domain,比如surfaceflinger.te中配置:
# Set properties.
allow surfaceflinger system_prop:property_service set;
allow surfaceflinger ctl_bootanim_prop:property_service set;
也可以对prop进行设置,所以当其他的domain process无法设置prop时,可以添加allow语句添加权限。

总结:
SEAndroid对property的配置,和kikat4.4版本的AID配置一样,对应的前缀,指定对应的SContext即可。以及当其他domain的process需要设置property时,可以通过allow语句添加权限(不确定是否会违反neverallow).

Android SELinux——策略文件配置结构(八)
小旭的专栏
10-15 1066
在 Android 系统中,SELinux 主要是通过一系列配置文件来进行管理和配置的。这些配置文件涵盖了策略定义、标签映射、签名信息等多个方面。
Android SELinux——添加策略实例(十五)
小旭的专栏
10-21 691
通过前面的文章,我们基本了解在 Android 系统中 SELinux 策略配置和基本语法,这里我们就来看一些常见的问题及其解决方案。这里我们主要看通过 allow 添加策略的方案。
property_get/property_set
热门推荐
J.A.Y的专栏
04-26 7万+
<br />每个属性都有一个名称和值,他们都是字符串格式。属性被大量使用在Android系统中,用来记录系统设置或进程之间的信息交换。属性是在整个系统中全局可见的。每个进程可以get/set属性。<br /> <br />在系统初始化时,Android将分配一个共享内存区来存储的属性。这些是由“init”守护进程完成的,其源代码位于:device/system/init。“init”守护进程将启动一个属性服务。<br /> <br />属性服务在“init”守护进程中运行。每一个客户端想要设置属性时,必须连
SEAndroid策略分析
墨点梧桐的专栏
01-25 2万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
Linux系统中selinux详解
最新发布
xujiangyan_的博客
06-16 1063
例:找对象时,男人看作主体,女人就是目标,男人是否可以追到女人(主体是否可以访问目标),主要看两人的性格是否合适(主体和目标的安全上下文是否匹配),但两个人的性格是否合适,是需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断的((dhcpd,httpd,named,nscd,ntpd,portmap,snmpd,squid,以及 syslogd),对本机系统的限制极少。(Mandatory Access Control),可以针对特定的进程与特定的文件资源来进行权限的控制,
selinux android property_context作用(待完成)
xiayu98020214的专栏
02-04 1597
property_context是给属性务打标签。/system/core/init/property_service.c ./system/core/init/init.c 790 struct selabel_handle* selinux_android_prop_context_handle(void)  external/libselinux/src/label.c st
selinux属性
zwq1457的专栏
07-14 549
在crash之前有这样的出错信息: 07-11 17:49:29.364000 32272 32272 I auditd : type=1400 audit(0.0:1789): avc: denied { search } for comm="twitter.android" name="bin" dev="dm-1" ino=647169 scontext=u:r:untrusted
rild 部分系统属性property_set失败的原因分析
lqxandroid2012的专栏
08-26 2316
很奇怪,我已经禁用了我的内核SElinux,但是发现rild 调用的几个ril 库文件里面部分系统属性能够设置成功,部分设置失败,都是property_set,这是为何呢?难道还是要增加SElinux 引起的设置?       参考这篇文章http://blog.youkuaiyun.com/wince_lover/article/details/50164969,看看能否能够解决
android property属性property_set()&& property_get() selinux权限问题
u012542095的专栏
01-05 9985
首先得知道,android property属性,在selinux权限下我们不管是property_set还是property_get,相关服务都是需要权限去操作的,特别是property_set, 这里就我遇到的问题为例说明下(Android 8.0): 1.开始我就设置好需要的属性名(property_set("sys.dualcamera.cali.cit", "cit");) 2.我...
selinux怎么配置property
04-05
SELinux中,可以使用以下步骤配置属性: 1. 首先,确保已安装SELinux和相关工具。如果没有安装,请使用以下命令进行安装: ``` sudo yum install selinux-policy selinux-policy-targeted selinux-policy-devel ...
android selinux配置
02-27
### 如何在Android上进行SELinux安全配置 #### 定义安全策略 为了增强系统的安全性,在Android设备中可以通过定义细粒度的安全策略来限制进程对文件、网络及其他资源的访问。这涉及到编写特定的应用程序域以及它们...
SeLinux权限配置心得总结
u013357557的专栏
02-20 5222
SeLinux权限配置心得总结 1、编译命令: make selinux_policy 或者 cd system/sepolicy mm 2、编译后生成策略文件的路径: 需要替换验证的文件,替换后要修改读写执行权限跟之前一样: out\target\product\platform\root\plat_* out\target\product\platform\root\nonplat_* out\target\product\platform\vendor\etc\selinux\precompile
Android-failed to set system property
苏法迪的专栏
10-10 1万+
1. 现象 failed to set system property,无法写属性值的闪退报错 2019-10-09 18:56:20.020 10252-10252/com.fadi.gps_switch W/.fadi.gps_switch: type=1400 audit(0.0:211): avc: denied { write } for name="com.fadi.gps_switc...
Android - failed to set system property
感觉不怎么会的博客
05-27 1669
进程将解析init.rc和启动属性服务。一旦收到设置“ ctrl.start ”属性的请求,属性服务将使用该属性值作为服务。如果属性名称以“net.”开头,当设置这个属性时,“net.change”属性将会自动设置,以加入到最后修改的属性名。如果属性名称以“persist.”开头,当设置这个属性时,其值也将写入/data/property。如果属性名称以“ro.”开头,那么这个属性被视为只读属性。发现确实不好使,然后意识到这个 ro开头的貌似是只读属性的,去网上确认了下,确实如此。
Android 13 SELinux 设置属性properties然后在init.rc中添加触发命令,使用属性来控制设备节点读写。
BIG的专栏
06-06 1091
Android 13 SELinux 设置属性properties然后在init.rc中添加触发命令,使用属性来控制设备节点读写。
android property set方法,android的property_set失败
weixin_36418862的博客
05-26 605
property的设置是需要权限的,你在哪个进程里面做的?runtime开头的prop需要system权限,下面是部分权限的要求。/* White list of permissions for setting property services. */struct {const char *prefix;unsigned int uid;unsigned int gid;} property_p...
android无权限关闭setlinux,android property属性property_set()&& property_get() selinux权限问题...
weixin_39785422的博客
06-02 415
首先得知道,android property属性,在selinux权限下我们不管是property_set还是property_get,相关服务都是需要权限去操作的,特别是property_set,这里就我遇到的问题为例说明下(Android 8.0):1.开始我就设置好需要的属性名(property_set("sys.dualcamera.cali.cit", "cit");)2.我去prope...
Android获取selinux的setprop权限修改SystemProperties
zmlovelx(帅得不敢出门 程序员群31843264)
08-23 2296
自定义了个SystemProperties的属性,需要在system应用中修改它,介绍MTK及展锐的设置方法,可扩展到其他平台. 比如代码中要这么设置 ```java SystemProperties.set("property_name", "value"); ``` 默认会引发selinux无权限的报错.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值