Esta página proporciona un método canónico para agregar o definir propiedades del sistema en Android, con pautas para refactorizar las propiedades del sistema existentes. Asegúrese de utilizar las pautas cuando refactorice, a menos que tenga un problema importante de compatibilidad que indique lo contrario.
Paso 1: definir la propiedad del sistema
Cuando agrega una propiedad del sistema, decida un nombre para la propiedad y asóciela con un contexto de propiedad SELinux. Si no existe un contexto apropiado, cree uno nuevo. El nombre se utiliza al acceder a la propiedad; el contexto de propiedad se utiliza para controlar la accesibilidad en términos de SELinux. Los nombres pueden ser cualquier cadena, pero AOSP recomienda seguir un formato estructurado para que queden claros.
Nombre de la propiedad
Utilice este formato con la carcasa Snake_case:
[{prefix}.]{group}[.{subgroup}]*.{name}[.{type}]
Utilice “” (omitido), ro (para propiedades configuradas solo una vez) o persist (para propiedades que persisten después de los reinicios) para el prefix del elemento.
Advertencias
Utilice ro sólo cuando esté seguro de que no necesita que prefix pueda escribirse en el futuro. ** No especifique el prefijo ro . ** En su lugar, confíe en sepolicy para hacer que prefix sea de solo lectura (en otras palabras, solo escribible mediante init ).
Utilice persist solo cuando esté seguro de que el valor debe persistir durante los reinicios y que usar las propiedades del sistema es su única opción. (Para obtener más detalles, consulte la sección Preparación ).
Google revisa estrictamente las propiedades del sistema que tienen propiedades ro o persist .
El término group se utiliza para agregar propiedades relacionadas. Su intención es ser un nombre de subsistema similar en uso a audio o telephony . No utilice términos ambiguos o sobrecargados como sys , system , dev , default o config .
Es una práctica común utilizar el nombre del tipo de dominio de un proceso que tiene acceso exclusivo de lectura o escritura a las propiedades del sistema. Por ejemplo, para las propiedades del sistema a las que el proceso vold tiene acceso de escritura, es común usar vold (el nombre del tipo de dominio para el proceso) como nombre del grupo.
Si es necesario, agregue subgroup para categorizar aún más las propiedades, pero evite términos ambiguos o sobrecargados para describir este elemento. (También puedes tener más de un subgroup ).
Ya se han definido muchos nombres de grupos. Verifique el archivo system/sepolicy/private/property_contexts y utilice nombres de grupos existentes siempre que sea posible, en lugar de crear otros nuevos. La siguiente tabla proporciona ejemplos de nombres de grupos utilizados con frecuencia.
| Dominio | Grupo (y subgrupo) |
|---|---|
| relacionado con bluetooth | bluetooth |
| sysprops de la línea cmd del kernel | boot |
| sysprops que identifican una compilación | build |
| relacionado con la telefonía | telephony |
| relacionado con el audio | audio |
| gráficos relacionados | graphics |
| relacionado con vold | vold |
A continuación se define el uso de name y type en el ejemplo de expresión regular anterior.
[{prefix}.]{group}[.{subgroup}]*.{name}[.{type}]
nameidentifica una propiedad del sistema dentro de un grupo.typees un elemento opcional que aclara el tipo o intención de la propiedad del sistema. Por ejemplo, en lugar de nombrar un sysprop comoaudio.awesome_feature_enabledo simplementeaudio.awesome_feature, cámbiele el nombre aaudio.awesome_feature.enabledpara reflejar el tipo de propiedad y la intención del sistema.
No existe una regla específica sobre cuál debe ser el tipo; estas son recomendaciones de uso:
-
enabled: se usa si el tipo es una propiedad booleana del sistema que se usa para activar o desactivar una función. -
config: Úselo si la intención es aclarar que la propiedad del sistema no representa un estado dinámico del sistema; representa un valor preconfigurado (por ejemplo, algo de solo lectura). -
List: Úselo si es una propiedad del sistema cuyo valor es una lista. -
Timeoutmillis: Úselo si es una propiedad del sistema para un valor de tiempo de espera en unidades de ms.
Ejemplos:
-
persist.radio.multisim.config -
drm.service.enabled
Contexto de propiedad
El nuevo esquema de contexto de propiedades de SELinux permite una granularidad más fina y nombres más descriptivos. De manera similar a lo que se usa para los nombres de propiedades, AOSP recomienda el siguiente formato:
{group}[_{subgroup}]*_prop
Los términos se definen de la siguiente manera:
group y subgroup tienen el mismo significado definido para la expresión regular de muestra anterior. Por ejemplo, vold_config_prop significa propiedades que son configuraciones de un proveedor y deben ser configuradas por vendor_init , mientras que vold_status_prop o simplemente vold_prop significa propiedades que deben exponer el estado actual de vold .
Al nombrar un contexto de propiedad, elija nombres que reflejen el uso general de las propiedades. En particular, evite los siguientes tipos de términos:
- Términos que parecen demasiado generales y ambiguos, como
sys,system,default. - Términos que codifican directamente la accesibilidad: como
exported,apponly,ro,public,private.
Prefiera usos de nombres como vold_config_prop a exported_vold_prop o vold_vendor_writable_prop , etc.
Tipo
Un tipo de propiedad puede ser uno de los siguientes como se enumeran en la tabla.
| Tipo | Definición |
|---|---|
| Booleano | true o 1 para verdadero, false o 0 para falso |
| Entero | entero de 64 bits con signo |
| Entero sin signo | entero de 64 bits sin signo |
| Doble | coma flotante de doble precisión |
| Cadena | cualquier cadena UTF-8 válida |
| enumeración | los valores pueden ser cualquier cadena UTF-8 válida sin espacios en blanco |
| Lista de arriba | Se utiliza una coma ( , ) como delimitador.La lista de enteros [1, 2, 3] se almacena como 1,2,3 |
Internamente, todas las propiedades se almacenan como cadenas. Puede aplicar el tipo especificándolo como un archivo property_contexts . Para obtener más información, consulte property_contexts en el Paso 3 .
Paso 2: Determinar los niveles de accesibilidad requeridos
Hay cuatro macros auxiliares que definen una propiedad.
| Tipo de accesibilidad | Significado |
|---|---|
system_internal_prop | Propiedades que se utilizan sólo en /system |
system_restricted_prop | Propiedades que se leen fuera de /system , pero no se escriben |
system_vendor_config_prop | Propiedades que se leen fuera de /system y se escriben únicamente mediante vendor_init |
system_public_prop | Propiedades que se leen y escriben fuera de /system |
Alcance el acceso a las propiedades del sistema lo más estrictamente posible. En el pasado, el acceso amplio provocaba roturas de aplicaciones y vulnerabilidades de seguridad. Considere las siguientes preguntas al determinar el alcance:
- ¿Es necesario conservar esta propiedad del sistema? (si es así, ¿por qué?)
- ¿Qué proceso debería tener acceso de lectura a esta propiedad?
- ¿Qué proceso debería tener acceso de escritura a esta propiedad?
Utilice las preguntas anteriores y el siguiente árbol de decisiones como herramientas para determinar un ámbito de acceso adecuado.
Figura 1. Árbol de decisión para determinar el alcance del acceso a las propiedades del sistema
Paso 3: Agregarlo al sistema/sepolicy
Al acceder a sysprop, SELinux controla la accesibilidad de los procesos. Después de determinar qué nivel de accesibilidad se requiere, defina contextos de propiedad en system/sepolicy , junto con reglas de permiso y nunca permiso adicionales sobre qué procesos pueden (y no pueden) leer o escribir.
Primero, defina el contexto de la propiedad en el archivo system/sepolicy/public/property.te . Si la propiedad es interna del sistema, defínala en el archivo system/sepolicy/private/property.te . Utilice una de las macros system_[accessibility]_prop([context]) que proporcione la accesibilidad requerida de la propiedad de su sistema. Este es un ejemplo para el archivo system/sepolicy/public/property.te :
system_public_prop(audio_foo_prop)
system_vendor_config_prop(audio_bar_prop)
Ejemplo para agregar en el archivo system/sepolicy/private/property.te :
system_internal_prop(audio_baz_prop)
En segundo lugar, conceda acceso de lectura y (o) escritura al contexto de propiedad. Utilice las macros set_prop y get_prop para otorgar acceso, ya sea en el archivo system/sepolicy/public/{domain}.te o system/sepolicy/private/{domain}.te . Utilice private siempre que sea posible; public es adecuado sólo si la macro set_prop o get_prop afecta a cualquier dominio fuera del dominio principal.
Ejemplo, en el archivo system/sepolicy/private/audio.te :
set_prop(audio, audio_foo_prop)
set_prop(audio, audio_bar_prop)
Ejemplo, en el archivo system/sepolicy/public/domain.te :
get_prop(domain, audio_bar_prop)
En tercer lugar, agregue algunas reglas de nunca permitir para reducir aún más la accesibilidad dentro del alcance de la macro. Por ejemplo, suponga que ha utilizado system_restricted_prop porque los procesos del proveedor deben leer las propiedades del sistema. Si el acceso de lectura no es requerido por todos los procesos del proveedor y solo lo requiere un determinado conjunto de procesos (como vendor_init ), prohíba los procesos del proveedor que no necesitan el acceso de lectura.
Utilice la siguiente sintaxis para restringir el acceso de escritura y lectura:
Para restringir el acceso de escritura:
neverallow [domain] [context]:property_service set;
Para restringir el acceso de lectura:
neverallow [domain] [context]:file no_rw_file_perms;
Coloque reglas neverallow en el archivo system/sepolicy/private/{domain}.te si la regla neverallow está vinculada a un dominio específico. Para reglas nunca permitidas más amplias, utilice dominios generales como estos cuando sea apropiado:
-
system/sepolicy/private/property.te -
system/sepolicy/private/coredomain.te -
system/sepolicy/private/domain.te
En el archivo system/sepolicy/private/audio.te , coloque lo siguiente:
neverallow {
domain -init -audio
} {audio_foo_prop audio_bar_prop}:property_service set;
En el archivo system/sepolicy/private/property.te , coloque lo siguiente:
neverallow {
domain -coredomain -vendor_init
} audio_prop:file no_rw_file_perms;
Tenga en cuenta que {domain -coredomain} captura todos los procesos del proveedor. Entonces {domain -coredomain -vendor_init} significa "todos los procesos del proveedor excepto vendor_init ".
Finalmente, asocie una propiedad del sistema con el contexto de la propiedad. Esto garantiza que el acceso otorgado y las reglas de nunca permitir que se aplican a los contextos de propiedades se apliquen a las propiedades reales. Para hacer esto, agregue una entrada al archivo property_contexts , un archivo que describe la asignación entre las propiedades del sistema y los contextos de propiedad. En este archivo, puede especificar una sola propiedad o un prefijo para que las propiedades se asignen a un contexto.
Esta es la sintaxis para mapear una sola propiedad:
[property_name] u:object_r:[context_name]:s0 exact [type]
Esta es la sintaxis para mapear un prefijo:
[property_name_prefix] u:object_r:[context_name]:s0 prefix [type]
Opcionalmente, puede especificar el tipo de propiedad, que puede ser una de las siguientes:
-
bool -
int -
uint -
double -
enum [list of possible values...] -
string(usestringpara las propiedades de la lista).
Asegúrese de que cada entrada tenga su tipo designado siempre que sea posible, ya que type se aplica al configurar property . El siguiente ejemplo muestra cómo escribir una asignación:
# binds a boolean property "ro.audio.status.enabled"
# to the context "audio_foo_prop"
ro.audio.status.enabled u:object_r:audio_foo_prop:s0 exact bool
# binds a boolean property "vold.decrypt.status"
# to the context "vold_foo_prop"
# The property can only be set to one of these: on, off, unknown
vold.decrypt.status u:object_r:vold_foo_prop:s0 exact enum on off unknown
# binds any properties starting with "ro.audio.status."
# to the context "audio_bar_prop", such as
# "ro.audio.status.foo", or "ro.audio.status.bar.baz", and so on.
ro.audio.status. u:object_r:audio_bar_prop:s0 prefix
Cuando una entrada exacta y una entrada de prefijo entran en conflicto, la entrada exacta tiene prioridad. Para obtener más ejemplos, consulte system/sepolicy/private/property_contexts .
Paso 4: Determinar los requisitos de estabilidad
La estabilidad es otro aspecto de las propiedades del sistema y se diferencia de la accesibilidad. La estabilidad se refiere a si una propiedad del sistema se puede cambiar (por ejemplo, cambiarle el nombre o incluso eliminarla) en el futuro. Esto es particularmente importante a medida que el sistema operativo Android se vuelve modular. Con Treble, las particiones del sistema, del proveedor y del producto se pueden actualizar de forma independiente unas de otras. Con Mainline, algunas partes del sistema operativo se modularizan como módulos actualizables (en APEX o APK).
Si una propiedad del sistema se va a utilizar en piezas de software actualizables, por ejemplo en particiones del sistema y del proveedor, debe ser estable. Sin embargo, si se usa solo dentro, por ejemplo, de un módulo Mainline específico, puede cambiar su nombre, tipo o contextos de propiedad, e incluso eliminarlo.
Haga las siguientes preguntas para determinar la estabilidad de una propiedad del sistema:
- ¿Esta propiedad del sistema está destinada a ser configurada por socios (o configurada de manera diferente por dispositivo)? En caso afirmativo, debe ser estable.
- ¿Esta propiedad del sistema definida por AOSP está destinada a escribirse o leerse en código (no en proceso) que existe en particiones que no son del sistema como
vendor.imgoproduct.img? En caso afirmativo, debe ser estable. - ¿Se accede a esta propiedad del sistema a través de los módulos Mainline o a través de un módulo Mainline y la parte no actualizable de la plataforma? En caso afirmativo, debe ser estable.
Para las propiedades estables del sistema, defina formalmente cada una como una API y use la API para acceder a la propiedad del sistema, como se explica en el Paso 6 .
Paso 5: establecer propiedades en el momento de la compilación
Establezca propiedades en el momento de la compilación con variables de archivo MAKE. Técnicamente, los valores están integrados en {partition}/build.prop . Luego init lee {partition}/build.prop para establecer las propiedades. Hay dos conjuntos de tales variables: PRODUCT_{PARTITION}_PROPERTIES y TARGET_{PARTITION}_PROP .
PRODUCT_{PARTITION}_PROPERTIES contiene una lista de valores de propiedad. La sintaxis es {prop}={value} o {prop}?={value} .
{prop}={value} es una asignación normal que garantiza que {prop} esté establecido en {value} ; sólo es posible una asignación de este tipo por cada propiedad.
{prop}?={value} es una asignación opcional; {prop} se establece en {value} solo si no hay ninguna asignación {prop}={value} . Si existen varias asignaciones opcionales, gana la primera.
# sets persist.traced.enable to 1 with system/build.prop
PRODUCT_SYSTEM_PROPERTIES += persist.traced.enable=1
# sets ro.zygote to zygote32 with system/build.prop
# but only when there are no other assignments to ro.zygote
# optional are useful when giving a default value to a property
PRODUCT_SYSTEM_PROPERTIES += ro.zygote?=zygote32
# sets ro.config.low_ram to true with vendor/build.prop
PRODUCT_VENDOR_PROPERTIES += ro.config.low_ram=true
TARGET_{PARTITION}_PROP contiene una lista de archivos, que se emite directamente a {partition}/build.prop . Cada archivo contiene una lista de pares {prop}={value} .
# example.prop
ro.cp_system_other_odex=0
ro.adb.secure=0
ro.control_privapp_permissions=disable
# emits example.prop to system/build.prop
TARGET_SYSTEM_PROP += example.prop
Para obtener más detalles, consulte build/make/core/sysprop.mk .
Paso 6: acceder a las propiedades en tiempo de ejecución
Por supuesto, las propiedades se pueden leer y escribir en tiempo de ejecución.
Guiones de inicio
Los archivos de script de inicio (generalmente archivos *.rc) pueden leer una propiedad mediante ${prop} o ${prop:-default} , pueden establecer una acción que se ejecuta cada vez que una propiedad se convierte en un valor específico y pueden escribir las propiedades usando setprop dominio.
# when persist.device_config.global_settings.sys_traced becomes 1,
# set persist.traced.enable to 1
on property:persist.device_config.global_settings.sys_traced=1
setprop persist.traced.enable 1
# when security.perf_harden becomes 0,
# write /proc/sys/kernel/sample_rate to the value of
# debug.sample_rate. If it's empty, write -100000 instead
on property:security.perf_harden=0
write /proc/sys/kernel/sample_rate ${debug.sample_rate:-100000}
Comandos de shell getprop y setprop
Puede utilizar los comandos de shell getprop o setprop , respectivamente, para leer o escribir las propiedades. Para obtener más detalles, invoque getprop --help o setprop --help .
$ adb shell getprop ro.vndk.version
$
$ adb shell setprop security.perf_harden 0
Sysprop como API para C++/Java/Rust
Con sysprop como API, puede definir propiedades del sistema y utilizar API generadas automáticamente que son concretas y escritas. Establecer scope con Public también hace que las API generadas estén disponibles para los módulos a través de límites y garantiza la estabilidad de la API. Aquí hay una muestra de un archivo .sysprop , un módulo Android.bp y código C++, Java y Rust usándolos.
# AudioProps.sysprop
# module becomes static class (Java) / namespace (C++) for serving API
module: "android.sysprop.AudioProps"
# owner can be Platform or Vendor or Odm
owner: Platform
# one prop defines one property
prop {
prop_name: "ro.audio.volume.level"
type: Integer
scope: Public
access: ReadWrite
api_name: "volume_level"
}
…
// Android.bp
sysprop_library {
name: "AudioProps",
srcs: ["android/sysprop/AudioProps.sysprop"],
property_owner: "Platform",
}
// Rust, Java and C++ modules can link against the sysprop_library
rust_binary {
rustlibs: ["libaudioprops_rust"],
…
}
java_library {
static_libs: ["AudioProps"],
…
}
cc_binary {
static_libs: ["libAudioProps"],
…
}
// Rust code accessing generated API.
// Get volume. Use 50 as the default value.
let vol = audioprops::volume_level()?.unwrap_or_else(50);
// Java codes accessing generated API
// get volume. use 50 as the default value.
int vol = android.sysprop.AudioProps.volume_level().orElse(50);
// add 10 to the volume level.
android.sysprop.AudioProps.volume_level(vol + 10);
// C++ codes accessing generated API
// get volume. use 50 as the default value.
int vol = android::sysprop::AudioProps::volume_level().value_or(50);
// add 10 to the volume level.
android::sysprop::AudioProps::volume_level(vol + 10);
Para obtener más información, consulte Implementación de propiedades del sistema como API .
Funciones y métodos de propiedad de bajo nivel de C/C++, Java y Rust
Cuando sea posible, utilice Sysprop como API aunque tenga disponibles funciones C/C++ o Rust de bajo nivel o métodos Java de bajo nivel.
libc , libbase y libcutils ofrecen funciones de propiedades del sistema C++. libc tiene la API subyacente, mientras que las funciones libbase y libcutils son contenedores. Si es posible, utilice las funciones sysprop libbase ; son los más convenientes y los binarios del host pueden usar las funciones libbase . Para obtener más detalles, consulte sys/system_properties.h ( libc ), android-base/properties.h ( libbase ) y cutils/properties.h ( libcutils ).
La clase android.os.SystemProperties ofrece métodos de propiedades del sistema Java.
El módulo rustutils::system_properties ofrece funciones y tipos de propiedades del sistema Rust.
Apéndice: Agregar propiedades específicas del proveedor
Los socios (incluidos los empleados de Google que trabajan en el contexto del desarrollo de Pixel) quieren definir propiedades del sistema específicas del hardware (o específicas del dispositivo). Las propiedades específicas del proveedor son propiedades propiedad de los socios que son exclusivas de su propio hardware o dispositivo, no de la plataforma. Como dependen del hardware o del dispositivo, deben usarse dentro de las particiones /vendor o /odm .
Desde Project Treble, las propiedades de la plataforma y las propiedades del proveedor se han dividido completamente para evitar que entren en conflicto. A continuación se describe cómo definir las propiedades del proveedor y se indica qué propiedades del proveedor se deben utilizar siempre.
Espacio de nombres en nombres de propiedades y contextos
Todas las propiedades del proveedor deben comenzar con uno de los siguientes prefijos para evitar colisiones entre ellas y las propiedades de otras particiones.
-
ctl.odm. -
ctl.vendor. -
ctl.start$odm. -
ctl.start$vendor. -
ctl.stop$odm. -
ctl.stop$vendor. -
init.svc.odm. -
init.svc.vendor. -
ro.odm. -
ro.vendor. -
odm. -
persist.odm. -
persist.vendor. -
vendor.
Tenga en cuenta que ro.hardware. está permitido como prefijo, pero sólo por compatibilidad. No lo utilices para propiedades normales.
Todos los siguientes ejemplos utilizan uno de los prefijos enumerados anteriormente:
-
vendor.display.primary_red -
persist.vendor.faceauth.use_disk_cache -
ro.odm.hardware.platform
Todos los contextos de propiedad del proveedor deben comenzar con vendor_ . Esto también es por compatibilidad. Los siguientes son ejemplos:
-
vendor_radio_prop. -
vendor_faceauth_prop. -
vendor_usb_prop.
Es responsabilidad del proveedor nombrar y mantener las propiedades, así que siga el formato sugerido en el Paso 2 , además de los requisitos de espacios de nombres del proveedor.
Reglas SEPolicy y contextos de propiedad específicos del proveedor
Las propiedades del proveedor se pueden definir mediante la macro vendor_internal_prop . Coloque las reglas específicas del proveedor que defina en el directorio BOARD_VENDOR_SEPOLICY_DIRS . Por ejemplo, supongamos que está definiendo una propiedad de autenticación de proveedor en coral.
En el archivo BoardConfig.mk (o en cualquier incluido BoardConfig.mk ), coloque lo siguiente:
BOARD_VENDOR_SEPOLICY_DIRS := device/google/coral-sepolicy
En el archivo device/google/coral-sepolicy/private/property.te , coloque lo siguiente:
vendor_internal_prop(vendor_faceauth_prop)
En el archivo device/google/coral-sepolicy/private/property_contexts , coloque lo siguiente:
vendor.faceauth.trace u:object_r:vendor_faceauth_prop:s0 exact bool
Limitaciones de las propiedades del proveedor
Debido a que las particiones del sistema y del producto no pueden depender del proveedor, nunca permita que se acceda a las propiedades del proveedor desde las particiones system , system-ext o product .
Apéndice: Cambiar el nombre de propiedades existentes
Cuando deba desaprobar una propiedad y pasar a una nueva, utilice Sysprop como API para cambiar el nombre de sus propiedades existentes. Esto mantiene la compatibilidad con versiones anteriores al especificar tanto el nombre heredado como el nuevo nombre de propiedad. Específicamente, puede establecer el nombre heredado mediante el campo legacy_prop_name en el archivo .sysprop . La API generada intenta leer prop_name y usa legacy_prop_name si prop_name no existe.
Por ejemplo, los siguientes pasos cambian el nombre awesome_feature_foo_enabled a foo.awesome_feature.enabled .
En el archivo foo.sysprop
module: "android.sysprop.foo"
owner: Platform
prop {
api_name: "is_awesome_feature_enabled"
type: Boolean
scope: Public
access: Readonly
prop_name: "foo.awesome_feature.enabled"
legacy_prop_name: "awesome_feature_foo_enabled"
}
En código C++
// is_awesome_feature_enabled() reads "foo.awesome_feature.enabled".
// If it doesn't exist, reads "awesome_feature_foo_enabled" instead
using android::sysprop::foo;
bool enabled = foo::is_awesome_feature_enabled().value_or(false);
Tenga en cuenta las siguientes advertencias:
Primero, no puedes cambiar el tipo de sysprop. Por ejemplo, no puedes convertir un accesorio
inten un accesoriostring. Sólo puedes cambiar el nombre.En segundo lugar, solo la API de lectura recurre al nombre heredado. La API de escritura no retrocede. Si se puede escribir en el sysprop, no podrá cambiarle el nombre.