इस पेज का अनुवाद Cloud Translation API से किया गया है.

SELinux को अनुकूलित करना

आपके द्वारा SELinux कार्यक्षमता के आधार स्तर को एकीकृत करने और परिणामों का पूरी तरह से विश्लेषण करने के बाद, आप Android ऑपरेटिंग सिस्टम में अपने अनुकूलन को कवर करने के लिए अपनी स्वयं की नीति सेटिंग्स जोड़ सकते हैं। इन नीतियों को अभी भी Android संगतता कार्यक्रम की आवश्यकताओं को पूरा करना चाहिए और डिफ़ॉल्ट SELinux सेटिंग्स को नहीं निकालना चाहिए।

निर्माताओं को मौजूदा SELinux नीति को नहीं हटाना चाहिए। अन्यथा, वे Android SELinux कार्यान्वयन और इसके द्वारा नियंत्रित अनुप्रयोगों को तोड़ने का जोखिम उठाते हैं। इसमें तृतीय-पक्ष एप्लिकेशन शामिल हैं जिन्हें अनुपालन और संचालन के लिए बेहतर बनाने की आवश्यकता होगी। SELinux-सक्षम उपकरणों पर कार्य करना जारी रखने के लिए अनुप्रयोगों को किसी संशोधन की आवश्यकता नहीं होनी चाहिए।

SELinux को अनुकूलित करना शुरू करते समय, याद रखें:

सभी नए डेमॉन के लिए SELinux नीति लिखें
जब भी उपयुक्त हो पूर्वनिर्धारित डोमेन का उपयोग करें
एक init सेवा के रूप में उत्पन्न किसी भी प्रक्रिया के लिए एक डोमेन असाइन करें
नीति लिखने से पहले मैक्रोज़ से परिचित हो जाएं
AOSP को मूल नीति में परिवर्तन सबमिट करें

और याद रखें कि नहीं:

असंगत नीति बनाएं
अंतिम उपयोगकर्ता नीति अनुकूलन की अनुमति दें
एमडीएम नीति अनुकूलन की अनुमति दें
नीति उल्लंघनों से उपयोगकर्ताओं को डराएं
पिछले दरवाजे जोड़ें

विशिष्ट आवश्यकताओं के लिए Android संगतता परिभाषा दस्तावेज़ का कर्नेल सुरक्षा सुविधाएँ अनुभाग देखें।

SELinux एक श्वेतसूची दृष्टिकोण का उपयोग करता है, जिसका अर्थ है कि सभी पहुंच को नीति में स्पष्ट रूप से अनुमति दी जानी चाहिए। चूंकि Android की डिफ़ॉल्ट SELinux नीति पहले से ही Android ओपन सोर्स प्रोजेक्ट का समर्थन करती है, इसलिए आपको किसी भी तरह से SELinux सेटिंग्स को संशोधित करने की आवश्यकता नहीं है। यदि आप SELinux सेटिंग्स को अनुकूलित करते हैं, तो इस बात का बहुत ध्यान रखें कि मौजूदा अनुप्रयोगों को भंग न करें। आरंभ करना:

नवीनतम Android कर्नेल का उपयोग करें।
कम से कम विशेषाधिकार के सिद्धांत को अपनाएं ।
Android में केवल अपने स्वयं के परिवर्धन को संबोधित करें। डिफ़ॉल्ट नीति स्वचालित रूप से Android ओपन सोर्स प्रोजेक्ट कोडबेस के साथ काम करती है।
सॉफ़्टवेयर घटकों को एकवचन कार्यों का संचालन करने वाले मॉड्यूल में विभाजित करें।
SELinux नीतियां बनाएं जो उन कार्यों को असंबंधित कार्यों से अलग करती हैं।
उन नीतियों को *.te फ़ाइलों (SELinux नीति स्रोत फ़ाइलों के लिए एक्सटेंशन) में /device/ manufacturer / device-name /sepolicy निर्देशिका में रखें और उन्हें अपने निर्माण में शामिल करने के लिए BOARD_SEPOLICY चर का उपयोग करें।
प्रारंभ में नए डोमेन को अनुमेय बनाएं। यह डोमेन की .te फ़ाइल में एक अनुमोदक घोषणा का उपयोग करके किया जाता है।
परिणामों का विश्लेषण करें और अपनी डोमेन परिभाषाओं को परिशोधित करें।
जब उपयोगकर्ता डिबग बिल्ड में कोई और अस्वीकरण प्रकट नहीं होता है तो अनुमेय घोषणा को हटा दें।

अपने SELinux नीति परिवर्तन को एकीकृत करने के बाद, SELinux अनुकूलता को सुनिश्चित करने के लिए अपने विकास कार्यप्रवाह में एक चरण जोड़ें। एक आदर्श सॉफ्टवेयर विकास प्रक्रिया में, SELinux नीति तभी बदलती है जब सॉफ्टवेयर मॉडल बदलता है न कि वास्तविक कार्यान्वयन।

जैसे ही आप SELinux को अनुकूलित करना शुरू करते हैं, पहले Android में अपने परिवर्धन का ऑडिट करें। यदि आपने एक घटक जोड़ा है जो एक नया कार्य करता है, तो सुनिश्चित करें कि घटक एंड्रॉइड की सुरक्षा नीति के साथ-साथ ओईएम द्वारा तैयार की गई किसी भी संबद्ध नीति को लागू करने वाले मोड को चालू करने से पहले पूरा करता है।

अनावश्यक मुद्दों को रोकने के लिए, बहुत अधिक प्रतिबंधात्मक और असंगत की तुलना में अधिक व्यापक और अति-संगत होना बेहतर है, जिसके परिणामस्वरूप डिवाइस के कार्य टूट जाते हैं। इसके विपरीत, यदि आपके परिवर्तनों से दूसरों को लाभ होगा, तो आपको संशोधनों को डिफ़ॉल्ट SELinux नीति में पैच के रूप में सबमिट करना चाहिए। यदि पैच को डिफ़ॉल्ट सुरक्षा नीति पर लागू किया जाता है, तो आपको प्रत्येक नई Android रिलीज़ के साथ यह परिवर्तन करने की आवश्यकता नहीं होगी।

उदाहरण नीति वक्तव्य

SELinux M4 कंप्यूटर भाषा पर आधारित है और इसलिए समय बचाने के लिए विभिन्न मैक्रोज़ का समर्थन करता है।

निम्नलिखित उदाहरण में, सभी डोमेन को /dev/null से पढ़ने या लिखने और /dev/zero से पढ़ने की अनुमति दी गई है।

# Allow read / write access to /dev/null
allow domain null_device:chr_file { getattr open read ioctl lock append write};

# Allow read-only access to /dev/zero
allow domain zero_device:chr_file { getattr open read ioctl lock };

यही कथन SELinux *_file_perms मैक्रोज़ (आशुलिपि) के साथ लिखा जा सकता है:

# Allow read / write access to /dev/null
allow domain null_device:chr_file rw_file_perms;

# Allow read-only access to /dev/zero
allow domain zero_device:chr_file r_file_perms;

उदाहरण नीति

यहां डीएचसीपी के लिए एक संपूर्ण उदाहरण नीति है, जिसकी हम नीचे जांच करते हैं:

type dhcp, domain;
permissive dhcp;
type dhcp_exec, exec_type, file_type;
type dhcp_data_file, file_type, data_file_type;

init_daemon_domain(dhcp)
net_domain(dhcp)

allow dhcp self:capability { setgid setuid net_admin net_raw net_bind_service
};
allow dhcp self:packet_socket create_socket_perms;
allow dhcp self:netlink_route_socket { create_socket_perms nlmsg_write };
allow dhcp shell_exec:file rx_file_perms;
allow dhcp system_file:file rx_file_perms;
# For /proc/sys/net/ipv4/conf/*/promote_secondaries
allow dhcp proc_net:file write;
allow dhcp system_prop:property_service set ;
unix_socket_connect(dhcp, property, init)

type_transition dhcp system_data_file:{ dir file } dhcp_data_file;
allow dhcp dhcp_data_file:dir create_dir_perms;
allow dhcp dhcp_data_file:file create_file_perms;

allow dhcp netd:fd use;
allow dhcp netd:fifo_file rw_file_perms;
allow dhcp netd:{ dgram_socket_class_set unix_stream_socket } { read write };
allow dhcp netd:{ netlink_kobject_uevent_socket netlink_route_socket
netlink_nflog_socket } { read write };

आइए उदाहरण को विच्छेदित करें:

पहली पंक्ति में, प्रकार की घोषणा, डीएचसीपी डेमॉन को आधार सुरक्षा नीति ( domain ) से विरासत में मिला है। पिछले कथन के उदाहरणों से, डीएचसीपी /dev/null से पढ़ और लिख सकता है।

दूसरी पंक्ति में, डीएचसीपी को एक अनुमेय डोमेन के रूप में पहचाना जाता है।

init_daemon_domain(dhcp) लाइन में, नीति बताती है कि DHCP init से उत्पन्न हुआ है और इसके साथ संचार करने की अनुमति है।

net_domain(dhcp) लाइन में, नीति डीएचसीपी को net डोमेन से सामान्य नेटवर्क कार्यक्षमता का उपयोग करने की अनुमति देती है जैसे टीसीपी पैकेट पढ़ना और लिखना, सॉकेट्स पर संचार करना और डीएनएस अनुरोधों का संचालन करना।

लाइन में allow dhcp proc_net:file write; , नीति में कहा गया है कि डीएचसीपी विशिष्ट फाइलों को /proc में लिख सकता है। यह लाइन SELinux की फाइन-ग्रेन्ड फाइल लेबलिंग को प्रदर्शित करती है। यह केवल /proc/sys/net के अंतर्गत फ़ाइलों तक लेखन पहुंच को सीमित करने के लिए proc_net लेबल का उपयोग करता है।

allow dhcp netd:fd use; यह दर्शाता है कि अनुप्रयोगों को एक दूसरे के साथ बातचीत करने की अनुमति कैसे दी जा सकती है। नीति कहती है कि डीएचसीपी और नेटड फाइल डिस्क्रिप्टर, फीफो फाइल, डेटाग्राम सॉकेट और यूनिक्स स्ट्रीम सॉकेट के माध्यम से एक दूसरे के साथ संवाद कर सकते हैं। डीएचसीपी केवल डेटाग्राम सॉकेट और यूनिक्स स्ट्रीम सॉकेट से पढ़ और लिख सकता है और उन्हें बना या खोल नहीं सकता है।

उपलब्ध नियंत्रण

कक्षा	अनुमति
फ़ाइल	ioctl read write create getattr setattr lock relabelfrom relabelto append unlink link rename execute swapon quotaon mounton
निर्देशिका	add_name remove_name reparent search rmdir open audit_access execmod
सॉकेट	ioctl read write create getattr setattr lock relabelfrom relabelto append bind connect listen accept getopt setopt shutdown recvfrom sendto recv_msg send_msg name_bind
फाइल सिस्टम	mount remount unmount getattr relabelfrom relabelto transition associate quotamod quotaget
प्रक्रिया	fork transition sigchld sigkill sigstop signull signal ptrace getsched setsched getsession getpgid setpgid getcap setcap share getattr setexec setfscreate noatsecure siginh setrlimit rlimitinh dyntransition setcurrent execmem execstack execheap setkeycreate setsockcreate
सुरक्षा	compute_av compute_create compute_member check_context load_policy compute_relabel compute_user setenforce setbool setsecparam setcheckreqprot read_policy
क्षमता	chown dac_override dac_read_search fowner fsetid kill setgid setuid setpcap linux_immutable net_bind_service net_broadcast net_admin net_raw ipc_lock ipc_owner sys_module sys_rawio sys_chroot sys_ptrace sys_pacct sys_admin sys_boot sys_nice sys_resource sys_time sys_tty_config mknod lease audit_write audit_control setfcap
अधिक	और अधिक

नियमों की अनुमति न दें

neverallow कभी नहीं होने वाले नियमों की अनुमति नहीं देता है जो कभी नहीं होना चाहिए। संगतता परीक्षण के साथ, SELinux neverallow नियम अब सभी उपकरणों पर लागू किए गए हैं।

निम्नलिखित दिशानिर्देशों का उद्देश्य निर्माताओं को अनुकूलन के दौरान नियमों की neverallow न देने से संबंधित त्रुटियों से बचने में मदद करना है। यहां उपयोग की जाने वाली नियम संख्याएं एंड्रॉइड 5.1 के अनुरूप हैं और रिलीज द्वारा परिवर्तन के अधीन हैं।

नियम 48: neverallow { domain -debuggerd -vold -dumpstate -system_server } self:capability sys_ptrace;
ptrace के लिए मैन पेज देखें। sys_ptrace क्षमता किसी भी प्रक्रिया को ptrace करने की क्षमता प्रदान करती है, जो अन्य प्रक्रियाओं पर बहुत अधिक नियंत्रण की अनुमति देती है और केवल नियम में उल्लिखित निर्दिष्ट सिस्टम घटकों से संबंधित होनी चाहिए। इस क्षमता की आवश्यकता अक्सर किसी ऐसी चीज़ की उपस्थिति को इंगित करती है जो उपयोगकर्ता-सामना करने वाले निर्माण या कार्यक्षमता के लिए नहीं है जिसकी आवश्यकता नहीं है। अनावश्यक घटक निकालें।

नियम 76: neverallow { domain -appdomain -dumpstate -shell -system_server -zygote } { file_type -system_file -exec_type }:file execute;
इस नियम का उद्देश्य सिस्टम पर मनमाने कोड के निष्पादन को रोकना है। विशेष रूप से, यह दावा करता है कि केवल /system पर कोड निष्पादित होता है, जो सत्यापित बूट जैसे तंत्र के लिए सुरक्षा गारंटी की अनुमति देता है। अक्सर, इस neverallow नियम के साथ किसी समस्या का सामना करते समय सबसे अच्छा समाधान आपत्तिजनक कोड को /system विभाजन में स्थानांतरित करना है।

Android 8.0+ . में SEpolicy को अनुकूलित करना

यह खंड एंड्रॉइड 8.0 और उच्चतर में विक्रेता SELinux नीति के लिए दिशानिर्देश प्रदान करता है, जिसमें Android ओपन सोर्स प्रोजेक्ट (AOSP) SEpolicy और SEpolicy एक्सटेंशन के विवरण शामिल हैं। SELinux नीति को सभी विभाजनों और Android संस्करणों में कैसे संगत रखा जाता है, इस बारे में अधिक जानकारी के लिए, संगतता देखें।

नीति प्लेसमेंट

Android 7.0 और इससे पहले के संस्करण में, डिवाइस निर्माता BOARD_SEPOLICY_DIRS में नीति जोड़ सकते हैं, जिसमें विभिन्न डिवाइस प्रकारों में AOSP नीति को बढ़ाने वाली नीति भी शामिल है। Android 8.0 और उच्चतर में, BOARD_SEPOLICY_DIRS में नीति जोड़ने से नीति केवल विक्रेता छवि में आती है।

Android 8.0 और उच्चतर में, AOSP में निम्न स्थानों में नीति मौजूद है:

सिस्टम/सेपॉलिसी/पब्लिक । विक्रेता-विशिष्ट नीति में उपयोग के लिए निर्यात की गई नीति शामिल है। सब कुछ Android 8.0 संगतता बुनियादी ढांचे में चला जाता है। सार्वजनिक नीति सभी रिलीज़ों पर बनी रहने के लिए है ताकि आप अपनी अनुकूलित नीति में कुछ भी /public शामिल कर सकें। इस वजह से, जिस प्रकार की पॉलिसी को /public में रखा जा सकता है, वह अधिक प्रतिबंधित है। इस प्लेटफॉर्म की निर्यात नीति एपीआई पर विचार करें: जो कुछ भी /system और /vendor के बीच इंटरफेस से संबंधित है, वह यहां है।
सिस्टम/सेपॉलिसी/प्राइवेट . सिस्टम छवि के कामकाज के लिए आवश्यक नीति शामिल है, लेकिन जिसकी विक्रेता छवि नीति का कोई ज्ञान नहीं होना चाहिए।
सिस्टम/सेपॉलिसी/विक्रेता । उन घटकों के लिए नीति शामिल है जो /vendor में जाते हैं लेकिन कोर प्लेटफॉर्म ट्री में मौजूद हैं (डिवाइस-विशिष्ट निर्देशिका नहीं)। यह उपकरणों और वैश्विक घटकों के बीच बिल्ड सिस्टम के अंतर का एक आर्टिफैक्ट है; अवधारणात्मक रूप से यह नीचे वर्णित उपकरण-विशिष्ट नीति का एक भाग है।
डिवाइस/ manufacturer / device-name /सेपॉलिसी । डिवाइस-विशिष्ट नीति शामिल है। इसमें नीति के लिए उपकरण अनुकूलन भी शामिल है, जो Android 8.0 और उच्चतर में विक्रेता छवि पर घटकों के लिए नीति के अनुरूप है।

Android 11 और उच्चतर में, system_ext और उत्पाद विभाजन में विभाजन-विशिष्ट नीतियां भी शामिल हो सकती हैं। system_ext और उत्पाद नीतियां भी सार्वजनिक और निजी में विभाजित हैं, और विक्रेता system_ext और उत्पाद की सार्वजनिक नीतियों का उपयोग कर सकते हैं, जैसे सिस्टम नीति।

SYSTEM_EXT_PUBLIC_SEPOLICY_DIRS । विक्रेता-विशिष्ट नीति में उपयोग के लिए निर्यात की गई नीति शामिल है। System_ext विभाजन में स्थापित।
SYSTEM_EXT_PRIVATE_SEPOLICY_DIRS । system_ext छवि के कामकाज के लिए आवश्यक नीति शामिल है, लेकिन किस विक्रेता छवि नीति का कोई ज्ञान नहीं होना चाहिए। System_ext विभाजन में स्थापित।
PRODUCT_PUBLIC_SEPOLICY_DIRS । विक्रेता-विशिष्ट नीति में उपयोग के लिए निर्यात की गई नीति शामिल है। उत्पाद विभाजन में स्थापित।
PRODUCT_PRIVATE_SEPOLICY_DIRS । उत्पाद छवि के कामकाज के लिए आवश्यक नीति शामिल है, लेकिन जिसकी विक्रेता छवि नीति का कोई ज्ञान नहीं होना चाहिए। उत्पाद विभाजन में स्थापित।

नोट: जब GSI का उपयोग किया जाता है, तो OEM का system_ext और उत्पाद विभाजन माउंट नहीं किया जाएगा। OEM के system_ext और उत्पाद सार्वजनिक नीति का उपयोग करने वाले विक्रेता sepolicy के नियम NOP बन जाते हैं क्योंकि OEM-विशिष्ट प्रकार की परिभाषाएँ अनुपलब्ध हैं।

नोट: system_ext और उत्पाद सार्वजनिक नीतियों का उपयोग करते समय अतिरिक्त सावधानी बरतें। सार्वजनिक नीतियां system_ext/उत्पाद और विक्रेता के बीच निर्यात किए गए API के रूप में कार्य करती हैं। भागीदारों से अपेक्षा की जाती है कि वे संगतता समस्याओं का प्रबंधन स्वयं करें।

समर्थित नीति परिदृश्य

एंड्रॉइड 8.0 और उच्चतर के साथ लॉन्च होने वाले उपकरणों पर, विक्रेता छवि को ओईएम सिस्टम छवि और Google द्वारा प्रदान की गई संदर्भ एओएसपी सिस्टम छवि के साथ काम करना चाहिए (और इस संदर्भ छवि पर सीटीएस पास करें)। ये आवश्यकताएं ढांचे और विक्रेता कोड के बीच एक साफ अलगाव सुनिश्चित करती हैं। ऐसे उपकरण निम्नलिखित परिदृश्यों का समर्थन करते हैं।

विक्रेता-छवि-केवल एक्सटेंशन

उदाहरण : विक्रेता छवि से vndservicemanager में एक नई सेवा जोड़ना जो विक्रेता छवि से प्रक्रियाओं का समर्थन करता है।

पिछले Android संस्करणों के साथ लॉन्च होने वाले उपकरणों की तरह, device/ manufacturer / device-name /sepolicy में डिवाइस-विशिष्ट अनुकूलन जोड़ें। विक्रेता घटक (केवल) अन्य विक्रेता घटकों के साथ कैसे इंटरैक्ट करते हैं, इसे नियंत्रित करने वाली नई नीति में केवल device/ manufacturer / device-name /sepolicy में मौजूद प्रकार शामिल होने चाहिए । यहां लिखी गई नीति विक्रेता पर काम करने के लिए कोड की अनुमति देती है, केवल ढांचे के ओटीए के हिस्से के रूप में अपडेट नहीं की जाएगी, और संदर्भ एओएसपी सिस्टम छवि वाले डिवाइस पर संयुक्त नीति में मौजूद होगी।

AOSP के साथ काम करने के लिए विक्रेता-छवि समर्थन

उदाहरण : एक नई प्रक्रिया जोड़ना (विक्रेता छवि से hwservicemanager के साथ पंजीकृत) जो AOSP-परिभाषित HAL को लागू करता है।

पिछले Android संस्करणों के साथ लॉन्च होने वाले उपकरणों की तरह, device/ manufacturer / device-name /sepolicy में डिवाइस-विशिष्ट अनुकूलन करें। system/sepolicy/public/ के हिस्से के रूप में निर्यात की गई पॉलिसी उपयोग के लिए उपलब्ध है, और विक्रेता नीति के हिस्से के रूप में भेज दी जाती है। सार्वजनिक नीति के प्रकार और विशेषताओं का उपयोग नए नियमों में किया जा सकता है जो नए विक्रेता-विशिष्ट बिट्स के साथ बातचीत को निर्धारित करते हैं, बशर्ते कि neverallow अनुमति न दें। केवल विक्रेता के मामले की तरह, यहां नई नीति को केवल ढांचे के ओटीए के हिस्से के रूप में अपडेट नहीं किया जाएगा और संदर्भ एओएसपी सिस्टम छवि वाले डिवाइस पर संयुक्त नीति में मौजूद होगा।

सिस्टम-छवि-केवल एक्सटेंशन

उदाहरण : एक नई सेवा (servicemanager के साथ पंजीकृत) जोड़ना जो केवल सिस्टम छवि से अन्य प्रक्रियाओं द्वारा एक्सेस की जाती है।

इस नीति को system/sepolicy/private में जोड़ें। आप पार्टनर सिस्टम छवि में कार्यक्षमता को सक्षम करने के लिए अतिरिक्त प्रक्रियाएं या ऑब्जेक्ट जोड़ सकते हैं, बशर्ते उन नए बिट्स को विक्रेता छवि पर नए घटकों के साथ बातचीत करने की आवश्यकता न हो (विशेष रूप से, ऐसी प्रक्रियाओं या वस्तुओं को विक्रेता छवि से नीति के बिना पूरी तरह से कार्य करना चाहिए) . system/sepolicy/public द्वारा निर्यात की गई नीति यहां उसी तरह उपलब्ध है जैसे वेंडर-इमेज-ओनली एक्सटेंशन के लिए है। यह नीति सिस्टम इमेज का हिस्सा है और इसे केवल-फ्रेमवर्क OTA में अपडेट किया जा सकता है, लेकिन संदर्भ AOSP सिस्टम इमेज का उपयोग करते समय मौजूद नहीं होगा।

विक्रेता-छवि एक्सटेंशन जो विस्तारित AOSP घटकों की सेवा करते हैं

उदाहरण: विस्तारित क्लाइंट द्वारा उपयोग के लिए एक नया, गैर-एओएसपी एचएएल जो एओएसपी सिस्टम छवि (जैसे विस्तारित सिस्टम_सर्वर) में भी मौजूद है।

सिस्टम और वेंडर के बीच बातचीत के लिए नीति को वेंडर पार्टीशन पर शिप किए गए device/ manufacturer / device-name /sepolicy निर्देशिका में शामिल किया जाना चाहिए। यह संदर्भ एओएसपी छवि के साथ काम करने के लिए विक्रेता-छवि समर्थन जोड़ने के उपरोक्त परिदृश्य के समान है, संशोधित एओएसपी घटकों को छोड़कर शेष सिस्टम विभाजन के साथ ठीक से संचालित करने के लिए अतिरिक्त नीति की आवश्यकता हो सकती है (जो तब तक ठीक है जब तक वे अभी भी ठीक हैं सार्वजनिक एओएसपी प्रकार के लेबल हैं)।

सिस्टम-इमेज-ओनली एक्सटेंशन के साथ सार्वजनिक एओएसपी घटकों की बातचीत के लिए नीति system/sepolicy/private में होनी चाहिए।

सिस्टम-इमेज एक्सटेंशन जो केवल एओएसपी इंटरफेस तक पहुंचते हैं

उदाहरण: एक नई, गैर-एओएसपी प्रणाली प्रक्रिया को एक एचएएल तक पहुंचना चाहिए जिस पर एओएसपी निर्भर करता है।

यह सिस्टम-इमेज-ओनली एक्सटेंशन उदाहरण के समान है, सिवाय इसके कि नए सिस्टम घटक पूरे system/vendor इंटरफेस में इंटरैक्ट कर सकते हैं। नए सिस्टम घटक के लिए नीति system/sepolicy/private में होनी चाहिए, जो स्वीकार्य है बशर्ते कि यह system/sepolicy/public में एओएसपी द्वारा पहले से स्थापित इंटरफेस के माध्यम से हो (यानी कार्यक्षमता के लिए आवश्यक प्रकार और विशेषताएं हैं)। हालांकि नीति को डिवाइस-विशिष्ट नीति में शामिल किया जा सकता है, लेकिन यह केवल फ्रेमवर्क अपडेट के परिणामस्वरूप अन्य system/sepolicy/private प्रकारों या परिवर्तन (किसी भी नीति-प्रभावित तरीके से) का उपयोग करने में असमर्थ होगा। नीति को केवल-फ्रेमवर्क ओटीए में बदला जा सकता है, लेकिन एओएसपी सिस्टम छवि का उपयोग करते समय मौजूद नहीं होगा (जिसमें नया सिस्टम घटक भी नहीं होगा)।

विक्रेता-छवि एक्सटेंशन जो नए सिस्टम घटकों की सेवा करते हैं

उदाहरण: एओएसपी एनालॉग के बिना क्लाइंट प्रक्रिया द्वारा उपयोग के लिए एक नया, गैर-एओएसपी एचएएल जोड़ना (और इस प्रकार इसके अपने डोमेन की आवश्यकता होती है)।

एओएसपी-एक्सटेंशन उदाहरण के समान, सिस्टम और विक्रेता के बीच बातचीत के लिए नीति को विक्रेता विभाजन पर भेजे गए device/ manufacturer / device-name /sepolicy निर्देशिका में जाना चाहिए (यह सुनिश्चित करने के लिए कि सिस्टम नीति को विक्रेता-विशिष्ट विवरण का कोई ज्ञान नहीं है)। आप नए सार्वजनिक प्रकार जोड़ सकते हैं जो नीति को system/sepolicy/public में विस्तारित करते हैं; यह केवल मौजूदा AOSP नीति के अतिरिक्त किया जाना चाहिए, अर्थात AOSP सार्वजनिक नीति को न हटाएं। फिर नए सार्वजनिक प्रकारों का उपयोग system/sepolicy/private और device/ manufacturer / device-name /sepolicy में नीति के लिए किया जा सकता है।

ध्यान रखें कि system/sepolicy/public में हर जोड़ एक नई संगतता गारंटी को उजागर करके जटिलता जोड़ता है जिसे मैपिंग फ़ाइल में ट्रैक किया जाना चाहिए और जो अन्य प्रतिबंधों के अधीन है। system/sepolicy/public में केवल नए प्रकार और संबंधित अनुमति नियम जोड़े जा सकते हैं; विशेषताएँ और अन्य नीति विवरण समर्थित नहीं हैं। इसके अलावा, नए सार्वजनिक प्रकारों का उपयोग /vendor नीति में वस्तुओं को सीधे लेबल करने के लिए नहीं किया जा सकता है।

असमर्थित नीति परिदृश्य

Android 8.0 और उच्चतर के साथ लॉन्च होने वाले डिवाइस निम्न नीति परिदृश्य और उदाहरणों का समर्थन नहीं करते हैं।

सिस्टम-इमेज के अतिरिक्त एक्सटेंशन जिन्हें केवल फ्रेमवर्क ओटीए के बाद नए विक्रेता-छवि घटकों की अनुमति की आवश्यकता होती है

उदाहरण: एक नई गैर-एओएसपी प्रणाली प्रक्रिया, जिसके लिए अपने स्वयं के डोमेन की आवश्यकता होती है, को अगले एंड्रॉइड रिलीज में जोड़ा जाता है और एक नए, गैर-एओएसपी एचएएल तक पहुंच की आवश्यकता होती है।

नए (नॉन-एओएसपी) सिस्टम और वेंडर कंपोनेंट्स इंटरेक्शन के समान, नए सिस्टम टाइप को छोड़कर केवल फ्रेमवर्क ओटीए में पेश किया गया है। हालांकि नए प्रकार को system/sepolicy/public में नीति में जोड़ा जा सकता है, मौजूदा विक्रेता नीति को नए प्रकार का कोई ज्ञान नहीं है क्योंकि यह केवल एंड्रॉइड 8.0 सिस्टम सार्वजनिक नीति को ट्रैक कर रहा है। एओएसपी एक विशेषता (उदाहरण के लिए hal_foo विशेषता) के माध्यम से विक्रेता द्वारा प्रदान किए गए संसाधनों को उजागर करके इसे संभालता है, लेकिन विशेषता भागीदार एक्सटेंशन system/sepolicy/public में समर्थित नहीं हैं, यह विधि विक्रेता नीति के लिए अनुपलब्ध है। पहुंच पहले से मौजूद सार्वजनिक प्रकार द्वारा प्रदान की जानी चाहिए।

उदाहरण: सिस्टम प्रक्रिया में परिवर्तन (एओएसपी या गैर-एओएसपी) को यह बदलना होगा कि यह नए, गैर-एओएसपी विक्रेता घटक के साथ कैसे इंटरैक्ट करता है।

सिस्टम छवि पर नीति विशिष्ट विक्रेता अनुकूलन के ज्ञान के बिना लिखी जानी चाहिए। एओएसपी में विशिष्ट इंटरफेस से संबंधित नीति इस प्रकार सिस्टम/सेपॉलिसी/सार्वजनिक में विशेषताओं के माध्यम से उजागर होती है ताकि विक्रेता नीति भविष्य की सिस्टम नीति में ऑप्ट-इन कर सके जो इन विशेषताओं का उपयोग करती है। हालांकि, system/sepolicy/public में एट्रीब्यूट एक्सटेंशन समर्थित नहीं हैं , इसलिए सिस्टम घटक नए विक्रेता घटकों के साथ कैसे इंटरैक्ट करते हैं (और जो एओएसपी system/sepolicy/public में पहले से मौजूद एट्रिब्यूट्स द्वारा नियंत्रित नहीं किए जाते हैं) को निर्धारित करने वाली सभी नीतियां device/ manufacturer / device-name /sepolicy में होनी चाहिए। device/ manufacturer / device-name /sepolicy । इसका मतलब यह है कि सिस्टम प्रकार केवल-फ्रेमवर्क ओटीए के हिस्से के रूप में विक्रेता प्रकारों तक पहुंच की अनुमति नहीं बदल सकते हैं।