blame | history | raw
huangcm
2025-07-01 676035278781360996553c427a12bf358249ebf7 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176

# zygote


typeattribute zygote coredomain;


typeattribute zygote mlstrustedsubject;


 


init_daemon_domain(zygote)


 


read_runtime_log_tags(zygote)


 


# Override DAC on files and switch uid/gid.


allow zygote self:global_capability_class_set { dac_override dac_read_search setgid setuid fowner chown };


 


# Drop capabilities from bounding set.


allow zygote self:global_capability_class_set setpcap;


 


# Switch SELinux context to app domains.


allow zygote self:process setcurrent;


allow zygote system_server_startup:process dyntransition;


allow zygote appdomain:process dyntransition;


allow zygote webview_zygote:process dyntransition;


allow zygote app_zygote:process dyntransition;


 


# Allow zygote to read app /proc/pid dirs (b/10455872).


allow zygote appdomain:dir { getattr search };


allow zygote appdomain:file { r_file_perms };


 


# Move children into the peer process group.


allow zygote system_server:process { getpgid setpgid };


allow zygote appdomain:process { getpgid setpgid };


allow zygote webview_zygote:process { getpgid setpgid };


allow zygote app_zygote:process { getpgid setpgid };


 


# Read system data.


allow zygote system_data_file:dir r_dir_perms;


allow zygote system_data_file:file r_file_perms;


 


# Write to /data/dalvik-cache.


allow zygote dalvikcache_data_file:dir create_dir_perms;


allow zygote dalvikcache_data_file:file create_file_perms;


 


# Create symlinks in /data/dalvik-cache.


allow zygote dalvikcache_data_file:lnk_file create_file_perms;


 


# Write to /data/resource-cache.


allow zygote resourcecache_data_file:dir rw_dir_perms;


allow zygote resourcecache_data_file:file create_file_perms;


 


# For updateability, the zygote may fetch the current boot


# classpath from the dalvik cache. Integrity of the files


# is ensured by fsverity protection (checked in art_apex_boot_integrity).


allow zygote dalvikcache_data_file:file execute;


 


# Allow zygote to create JIT memory.


allow zygote self:process execmem;


 


# Execute idmap and dex2oat within zygote's own domain.


# TODO:  Should either of these be transitioned to the same domain


# used by installd or stay in-domain for zygote?


allow zygote idmap_exec:file rx_file_perms;


allow zygote dex2oat_exec:file rx_file_perms;


 


# Allow apps access to /vendor/overlay


r_dir_file(zygote, vendor_overlay_file)


 


# Control cgroups.


allow zygote cgroup:dir create_dir_perms;


allow zygote cgroup:{ file lnk_file } r_file_perms;


allow zygote self:global_capability_class_set sys_admin;


 


# Allow zygote to stat the files that it opens. The zygote must


# be able to inspect them so that it can reopen them on fork


# if necessary: b/30963384.


allow zygote pmsg_device:chr_file getattr;


allow zygote debugfs_trace_marker:file getattr;


 


# Get seapp_contexts


allow zygote seapp_contexts_file:file r_file_perms;


# Check validity of SELinux context before use.


selinux_check_context(zygote)


# Check SELinux permissions.


selinux_check_access(zygote)


 


# Native bridge functionality requires that zygote replaces


# /proc/cpuinfo with /system/lib/<ISA>/cpuinfo using a bind mount


allow zygote proc_cpuinfo:file mounton;


 


# Allow remounting rootfs as MS_SLAVE.


allow zygote rootfs:dir mounton;


allow zygote tmpfs:filesystem { mount unmount };


allow zygote fuse:filesystem { unmount };


allow zygote sdcardfs:filesystem { unmount };


 


# Allow creating user-specific storage source if started before vold.


allow zygote mnt_user_file:dir { create_dir_perms mounton };


allow zygote mnt_user_file:lnk_file create_file_perms;


allow zygote mnt_user_file:file create_file_perms;


# Allowed to mount user-specific storage into place


allow zygote storage_file:dir { search mounton };


 


# Allow mounting and creating files, dirs on sdcardfs.


# TODO: reduce this back to only sdcardfs once b/123533205 is root-caused


# (Technically "sdcardfs" and "media_rw_data_file" are equivalent, since


# sdcardfs simply wraps files stored under /data/media.)


allow zygote { sdcard_type media_rw_data_file }:dir { create_dir_perms mounton };


allow zygote { sdcard_type media_rw_data_file }:file { create_file_perms };


 


# Allow zygote to expand app files while preloading libraries


allow zygote mnt_expand_file:dir getattr;


 


# Handle --invoke-with command when launching Zygote with a wrapper command.


allow zygote zygote_exec:file rx_file_perms;


 


# Allow zygote to write to statsd.


unix_socket_send(zygote, statsdw, statsd)


 


# Root fs.


r_dir_file(zygote, rootfs)


 


# System file accesses.


r_dir_file(zygote, system_file)


 


# /oem accesses.


allow zygote oemfs:dir search;


 


userdebug_or_eng(`


  # Allow zygote to create and write method traces in /data/misc/trace.


  allow zygote method_trace_data_file:dir w_dir_perms;


  allow zygote method_trace_data_file:file { create w_file_perms };


')


 


allow zygote ion_device:chr_file r_file_perms;


allow zygote tmpfs:dir r_dir_perms;


 


allow zygote same_process_hal_file:file { execute read open getattr map };


 


# Let the zygote access overlays so it can initialize the AssetManager.


get_prop(zygote, overlay_prop)


get_prop(zygote, exported_overlay_prop)


 


# Allow the zygote to access the runtime feature flag properties.


get_prop(zygote, device_config_runtime_native_prop)


get_prop(zygote, device_config_runtime_native_boot_prop)


 


# ingore spurious denials


dontaudit zygote self:global_capability_class_set sys_resource;


 


###


### neverallow rules


###


 


# Ensure that all types assigned to app processes are included


# in the appdomain attribute, so that all allow and neverallow rules


# written on appdomain are applied to all app processes.


# This is achieved by ensuring that it is impossible for zygote to


# setcon (dyntransition) to any types other than those associated


# with appdomain plus system_server_startup, webview_zygote and


# app_zygote.


neverallow zygote ~{


  appdomain


  system_server_startup


  webview_zygote


  app_zygote


}:process dyntransition;


 


# Zygote should never execute anything from /data except for /data/dalvik-cache files.


neverallow zygote {


  data_file_type


  -dalvikcache_data_file # map PROT_EXEC


}:file no_x_file_perms;


 


# Do not allow access to Bluetooth-related system properties and files


neverallow zygote {


  bluetooth_a2dp_offload_prop


  bluetooth_audio_hal_prop


  bluetooth_prop


  exported_bluetooth_prop


}:file create_file_perms;