187 lines
7.1 KiB
C
187 lines
7.1 KiB
C
#include "magiskpolicy.h"
|
|
#include "sepolicy.h"
|
|
|
|
void allowSuClient(char *target) {
|
|
sepol_allow(target, "rootfs", "file", ALL);
|
|
sepol_allow(target, "rootfs", "lnk_file", ALL);
|
|
sepol_allow(target, "su", "unix_stream_socket", "connectto");
|
|
sepol_allow(target, "su", "unix_stream_socket", "getopt");
|
|
sepol_allow(target, "su_file", "dir", "search");
|
|
sepol_allow(target, "su_file", "dir", "read");
|
|
sepol_allow(target, "su_file", "sock_file", "read");
|
|
sepol_allow(target, "su_file", "sock_file", "write");
|
|
sepol_allow(target, "su_file", "file", ALL);
|
|
sepol_allow(target, "devpts", "chr_file", "ioctl");
|
|
sepol_allow("su", target, "fd", "use");
|
|
sepol_allow("su", target, "fifo_file", ALL);
|
|
}
|
|
|
|
void suRights() {
|
|
sepol_allow("servicemanager", "su", "dir", "search");
|
|
sepol_allow("servicemanager", "su", "dir", "read");
|
|
sepol_allow("servicemanager", "su", "file", "open");
|
|
sepol_allow("servicemanager", "su", "file", "read");
|
|
sepol_allow("servicemanager", "su", "process", "getattr");
|
|
sepol_allow("servicemanager", "su", "binder", "transfer");
|
|
sepol_allow("system_server", "su", "binder", "call");
|
|
sepol_allow("system_server", "su", "fd", "use");
|
|
|
|
sepol_allow("su", "servicemanager", "dir", "search");
|
|
sepol_allow("su", "servicemanager", "dir", "read");
|
|
sepol_allow("su", "servicemanager", "file", "open");
|
|
sepol_allow("su", "servicemanager", "file", "read");
|
|
sepol_allow("su", "servicemanager", "process", "getattr");
|
|
sepol_allow("su", "servicemanager", "binder", "transfer");
|
|
sepol_allow("su", "servicemanager", "binder", "call");
|
|
sepol_allow("su", "system_server", "binder", "transfer");
|
|
sepol_allow("su", "system_server", "binder", "call");
|
|
}
|
|
|
|
void otherToSU() {
|
|
// allowLog
|
|
sepol_allow("logd", "su", "dir", "search");
|
|
sepol_allow("logd", "su", "file", "read");
|
|
sepol_allow("logd", "su", "file", "open");
|
|
sepol_allow("logd", "su", "file", "getattr");
|
|
|
|
// suBackL0
|
|
sepol_allow("system_server", "su", "binder", "call");
|
|
sepol_allow("system_server", "su", "binder", "transfer");
|
|
|
|
// ES Explorer opens a sokcet
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "ioctl");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "read");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "getattr");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "write");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "setattr");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "lock");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "append");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "bind");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "connect");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "getopt");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "setopt");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "shutdown");
|
|
sepol_allow("untrusted_app", "su", "unix_stream_socket", "connectto");
|
|
|
|
// Any domain is allowed to send su "sigchld"
|
|
sepol_allow(ALL, "su", "process", "sigchld");
|
|
|
|
// uNetworkL0
|
|
sepol_attradd("su", "netdomain");
|
|
sepol_attradd("su", "bluetoothdomain");
|
|
|
|
// suBackL6
|
|
sepol_allow("surfaceflinger", "app_data_file", "dir", ALL);
|
|
sepol_allow("surfaceflinger", "app_data_file", "file", ALL);
|
|
sepol_allow("surfaceflinger", "app_data_file", "lnk_file", ALL);
|
|
sepol_attradd("surfaceflinger", "mlstrustedsubject");
|
|
|
|
// suMiscL6
|
|
if (sepol_exists("audioserver"))
|
|
sepol_allow("audioserver", "audioserver", "process", "execmem");
|
|
|
|
// Liveboot
|
|
sepol_allow("surfaceflinger", "su", "process", "ptrace");
|
|
sepol_allow("surfaceflinger", "su", "binder", "transfer");
|
|
sepol_allow("surfaceflinger", "su", "binder", "call");
|
|
sepol_allow("surfaceflinger", "su", "fd", "use");
|
|
sepol_allow("debuggerd", "su", "process", "ptrace");
|
|
|
|
// dumpsys
|
|
sepol_allow(ALL, "su", "fd", "use");
|
|
sepol_allow(ALL, "su", "fifo_file", "write");
|
|
sepol_allow(ALL, "su", "fifo_file", "read");
|
|
sepol_allow(ALL, "su", "fifo_file", "open");
|
|
sepol_allow(ALL, "su", "fifo_file", "getattr");
|
|
}
|
|
|
|
void sepol_magisk_rules() {
|
|
// First prevent anything to change sepolicy except ourselves
|
|
sepol_deny(ALL, "kernel", "security", "load_policy");
|
|
|
|
if (!sepol_exists("su"))
|
|
sepol_create("su");
|
|
if (!sepol_exists("su_file"))
|
|
sepol_create("su_file");
|
|
sepol_permissive("su");
|
|
|
|
sepol_attradd("su", "mlstrustedsubject");
|
|
sepol_attradd("su_file", "mlstrustedobject");
|
|
|
|
// Allow magiskinit daemon to run and run in su context
|
|
sepol_allow("kernel", "device", "dir", ALL);
|
|
sepol_allow("kernel", "device", "file", ALL);
|
|
sepol_allow("kernel", "su", "unix_stream_socket", "connectto");
|
|
sepol_allow("kernel", "kernel", "process", "setcurrent");
|
|
sepol_allow("kernel", "su", "process", "dyntransition");
|
|
|
|
// Let init run stuffs
|
|
sepol_allow("kernel", "su", "fd", "use");
|
|
sepol_allow("init", "su", "process", ALL);
|
|
sepol_allow("init", "system_file", "dir", ALL);
|
|
sepol_allow("init", "system_file", "lnk_file", ALL);
|
|
sepol_allow("init", "system_file", "file", ALL);
|
|
sepol_allow("init", "rootfs", "lnk_file", ALL);
|
|
|
|
// Shell, properties, logs
|
|
if (sepol_exists("default_prop"))
|
|
sepol_allow("su", "default_prop", "property_service", "set");
|
|
sepol_allow("su", "init", "unix_stream_socket", "connectto");
|
|
sepol_allow("su", "rootfs", "filesystem", "remount");
|
|
if (sepol_exists("logd"))
|
|
sepol_allow("su", "logd", "unix_stream_socket", "connectto");
|
|
sepol_allow("su", "su", ALL, ALL);
|
|
|
|
// For sepolicy live patching
|
|
sepol_allow("su", "kernel", "security", "read_policy");
|
|
sepol_allow("su", "kernel", "security", "load_policy");
|
|
|
|
// Allow these client to access su
|
|
allowSuClient("shell");
|
|
allowSuClient("untrusted_app");
|
|
allowSuClient("system_app");
|
|
allowSuClient("platform_app");
|
|
if (sepol_exists("priv_app"))
|
|
allowSuClient("priv_app");
|
|
if (sepol_exists("untrusted_app_25"))
|
|
allowSuClient("untrusted_app_25");
|
|
|
|
// Some superuser stuffs
|
|
suRights();
|
|
otherToSU();
|
|
|
|
// For mounting loop devices, mirrors, tmpfs
|
|
sepol_allow("su", "kernel", "process", "setsched");
|
|
sepol_allow("su", "labeledfs", "filesystem", "mount");
|
|
sepol_allow("su", "labeledfs", "filesystem", "unmount");
|
|
sepol_allow("su", "tmpfs", "filesystem", "mount");
|
|
sepol_allow("su", "tmpfs", "filesystem", "unmount");
|
|
sepol_allow("kernel", ALL, "file", "read");
|
|
|
|
// Allow su to do anything to any files/dir/links
|
|
sepol_allow("su", ALL, "file", ALL);
|
|
sepol_allow("su", ALL, "dir", ALL);
|
|
sepol_allow("su", ALL, "lnk_file", ALL);
|
|
sepol_allow("su", ALL, "blk_file", ALL);
|
|
sepol_allow("su", ALL, "sock_file", ALL);
|
|
sepol_allow("su", ALL, "chr_file", ALL);
|
|
sepol_allow("su", ALL, "fifo_file", ALL);
|
|
|
|
// For changing attributes
|
|
sepol_allow("rootfs", "tmpfs", "filesystem", "associate");
|
|
sepol_allow("su_file", "labeledfs", "filesystem", "associate");
|
|
sepol_allow("su_file", "tmpfs", "filesystem", "associate");
|
|
|
|
// Xposed
|
|
sepol_allow("untrusted_app", "untrusted_app", "capability", "setgid");
|
|
sepol_allow("system_server", "dex2oat_exec", "file", ALL);
|
|
|
|
// xperms
|
|
if (policydb->policyvers >= POLICYDB_VERSION_XPERMS_IOCTL) {
|
|
sepol_allowxperm("domain", "devpts", "chr_file", "0x5400-0x54FF");
|
|
if (sepol_exists("untrusted_app_25_devpts"))
|
|
sepol_allowxperm("domain", "untrusted_app_25_devpts", "chr_file", "0x5400-0x54FF");
|
|
}
|
|
}
|
|
|