Ostatnio postanowiłem cofnąć CyanogenMod z wersji 14.1 (Android 7.1) do wersji 13 (Android 6.0.1), oczywiście z próbą zachowania danych, co jak podejrzewałem łatwe nie będzie i może skończyć się krachem systemu – i oczywiście tak się stało, a do tego zrobiona kopia zapasowa okazała się wadliwa.

W tej sytuacji postanowiłem przywrócić system z wcześniejszej kopii zapasowej i niezbędne dane (katalog /data/data/katalog-aplikacji) skopiować ręcznie, tak jak to już kiedyś robiłem. Niestety zapomniałem, że chyba od Androida 4.3 Google w system wmontowało potworka (w tym kontekście jest to prawdziwy potworek ;-)) w postaci SELinuxa, który od Androida 4.4 został przełączony w tryb restrykcyjny…

Android i Security-Enhanced Linux (SELinux)

O ile sam SELinux ma swoje zalety (głównie związane z podniesieniem bezpieczeństwa zarówno całego systemu, jak i poszczególnych jego elementów/komponentów), to w tym przypadku okazał się diabełkiem, który sprawił, że jakakolwiek modyfikacja w strukturze plików (w tym przypadku podmiana plików odpowiedzialnych za ustawienia poszczególnych aplikacji, np. bazy zawierającej SMSy) powodowała albo krach całego systemu, albo – w przypadku podmiany plików tylko kilku wybranych aplikacji – krach danej aplikacji, bo podpis/etykiety plików się nie zgadzają, nawet jeśli są z tego samego telefonu.

Zobacz również: Dzięki aplikacji Magisk uruchomisz na zrootowanym telefonie (Android) aplikacje, które nie chcą działać (SafetyNet)

Enforcing vs Permissive

By zweryfikować podejrzenia, że to na pewno kwestia SELinuxa postanowiłem z poziomu konsoli (w końcu po coś ten root jest ;-)) sprawdzić w jakim trybie działa SELinux w moim telefonie, i czy zmiana z trybu „restrykcyjnego” (enforcing) na tryb „pobłażliwy” (permissive) rozwiąże mój problem:

Sprawdzenie trybu (tak, można to też zrobić przez ustawienia telefonu):

su
getenforce

W odpowiedzi otrzymałem „enforcing”, a więc tryb „restrykcyjny”. Szybka zmiana na „permissive” (pobłażliwy):

setenforce 0

Z tego co kojarzę, to taka zmiana jest możliwa dzięki temu, że tryb pracy urządzenia to „userdebug”, co można sprawdzić za pomocą polecenia:

getprop ro.build.type

Po tej zmianie aplikacje z podmienionymi plikami zaczęły działać, a więc przyczyna potwierdzona, choć powyższa komenda nie rozwiązuje problemu, gdyż po każdym restarcie telefonu system automatycznie przechodzi w tryb „restrykcyjny”.

Co nie zadziałało

Podczas rozmowy ze znajomym doszliśmy do wniosku, że można albo spróbować wyłączyć SELinuxa na stałe (wiązałoby się to prawdopodobnie z wgraniem jądra systemu bez tego zabezpieczenia), lub skorzystać z opcji „relabel”, czyli ponownego podpisywania plików.

Pierwsza próba – korekta uprawnień z poziomu Recovery (TWRP) niestety nic zmieniła, aplikacje jak nie działały, tak nie działały dalej.

W kolejnym kroku w głównej partycji systemu postanowić utworzyć plik „.autorelabel”, dzięki które miałem nadzieję, że nastąpi – tak jak to ma miejsce w systemach serwerowych/desktopowych – ponowne katalogowanie/podpisywanie plików:

su
mount -o rw,remount /
touch /.autorelabel

Niestety ta metoda również zawiodła, choć podczas uruchamiania system jakieś dodatkowe operacje wykonał…

Może jakiś skrypt

Kolejną metodą, którą postanowiłem sprawdzić, to jakiś prosty skrypt, który w odpowiednim miejscu podstawi 0 (zero), tym samym przełączając tryb pracy/działania SELinuxa:

echo 0 > /sys/fs/selinux/enforce

Niestety kilka różnych prób nie przyniosło spodziewanego efektu (skrypt musi zadziałać z uprawnieniami roota, a zarazem musi wykonać się po systemowym sprawdzeniu i ew. przełączeniu trybu SELinuxa na „restrykcyjny”).

SELinuxModeChanger

Szybkie wyszukiwanie w Google i trafiłem na aplikację „SELinuxModeChanger”, która dawała szansę na szybkie i skuteczne rozwiązanie mojego problemu z trybem pracy SELinuxa, gdyż wg opisu autora pilnuje wybranego trybu pracy również po restarcie/uruchomieniu telefonu.

Apliakcja kiedyś dostępna w Google Play, ale z niego wyleciała. Teraz znajdziecie ją do pobrania m.in. w serwisie F-Droid.

Oczywiście Google przy standardowo włączonej weryfikacji instalowanych aplikacji wyświetli nam ostrzeżenie, o tym, że „aplikacja może trwale uszkodzić urządzenie” (dlatego instalujecie aplikację, jak i robicie wszystkie inne wymienione operacje na własną odpowiedzialność):

Dalsza obsługa aplikacji wydaje się prostsza niż instalacja, gdyż sprowadza się do kliknięcia w odpowiedni przycisk, za pomocą którego wybieramy tryb pracy SELinuxa:

A co najważniejsze – jak autor obiecał, tak się dzieje, i odpowiedni/wybrany tryb pracy SELinuxa jest automatycznie ustawiany po każdym uruchomieniu telefonu.

(!) Zgłoś błąd na stronie
Przejdź do strony głównej
Lub napisz komentarz
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk
Ostatnie artykuły: Patryk (zobacz wszystkie)