OpenHarmony为了保护应用和用户数据,为每个应用创建了独立的沙箱环境,每个应用能访问的文件路径都是相互隔离的。但是,有些需求可能通过一个供多个应用共享的系统公共目录就非常方便实现。那在OpenHarmony的沙箱保护机制下,也是有办法实现这个需求的。

沙箱配置文件

沙箱路径映射由/etc/sandbox/路径下的一些json文件配置,每个文件格式如下

  {
      "common" : [{                                           // 应用沙盒通用挂载项
          "top-sandbox-switch": "ON",                         // 沙盒总开关 ON: 打开, OFF: 关闭
          "app-base" : [{
              "sandbox-root" : "/mnt/sandbox/<PackageName>",  // 沙盒根路径
              "mount-paths" : [{
                      "src-path" : "/config",                 // mount的源目录
                      "sandbox-path" : "/config",             // 沙盒挂载路径
                      "sandbox-flags" : [ "bind", "rec" ],    // 挂载方式
                      "check-action-status": "false"          // false 不检查当前项挂载结果, true: 检查当前项挂载结果
                  }
              ],
              "symbol-links" : [{                             // link 的目录项
                      "target-name" : "/system/bin",          // link 的源目录
                      "link-name" : "/bin",                   // 链接名称
                      "check-action-status": "false"
                  }
              ]
          }],
      // 应用独有配置参考
      "individual" : [{                                        // 个别应用单独挂载项
          "com.ohos.medialibrary.MediaLibraryDataA" : [{       // 应用名
              "sandbox-switch": "ON",                          // ON: 挂载沙盒路径, OFF: 挂载根路径
              "sandbox-root" : "/mnt/sandbox/<PackageName>",   // 沙盒根路径
              "mount-paths" : [{
                      "src-path" : "/storage/media/<currentUserId>",
                      "sandbox-path" : "/storage/media",
                      "sandbox-flags" : [ "bind", "rec" ],
                      "check-action-status": "false"
                  }
              ],
              "symbol-links" : []
          }]
      }]
  }

可以针对特定应用来添加路径映射。

实操

hdc file recv /etc/sandbox/appdata-sandbox.json .
# 编辑appdata-sandbox.json,为com.example.sandboxdemo应用增加独有的映射配置
# 例如,把/data/shared系统公共路径映射到应用的/data/storage/el1/base/shared
hdc shell mount -o rw,remount
hdc file send appdata-sandbox.json /etc/sandbox
# 注意,需要保证源路径存在,否则应用启动失败,可以考虑把创建目录的操作增加到init.cfg配置中
hdc shell mkdir /data/shared
hdc shell reboot

添加的应用独有映射配置如下

{
...
  "individual": [
    {
      "com.example.sandboxdemo": [
        {
          "sandbox-switch": "ON",
          "mount-paths": [
            {
              "src-path": "/data/shared",
              "sandbox-path": "/data/storage/el1/base/shared",
              "sandbox-flags": [
                "bind",
                "rec"
              ],
              "check-action-status": "true"
            }
          ],
          "symbol-links": []
        }
      ],
      ...
    }
  ]
  ...
}

启动应用后,可以通过hdc shell进入沙箱路径查看映射结果

hdc shell                         // 进入shell
ps -ef|grep [hapName]             // 通过ps命令找到对应应用的pid
nsenter -t [hapPid] -m /bin/sh    // 通过上一步找到的应用pid进入对应应用的沙箱环境中

内置到系统镜像

运行时的沙箱配置文件源代码路径在base/startup/appspawn/下,32位系统使用的是appdata-sandbox.json,64位系统使用的是appdata-sandbox64.json。
如果需要默认为特定应用映射路径,可以直接修改对应的源代码文件,重新构建镜像。

注意事项

需要保证映射的源路径是已经存在的,否则应用启动失败,可以考虑把创建目录的操作增加到init.cfg配置中。
测试时关闭了selinux,不排除需要增加必要selinux策略的可能。
只在OpenHarmony 4.1.1 Release版本上做了验证。

参考资料

应用孵化组件appspawn介绍
startup_appspawn项目
应用沙箱目录
向应用沙箱推送文件

Logo
欢迎加入Laval社区

社区规范:仅讨论OpenHarmony相关问题。

更多推荐

DFX框架之hilog源码详解:user space层(二)hilog进程(一)

相关源码 services\hilogd\cmd_executor.cpp 该源码对应实现图中hilogd进程中的其中部分功能 实现原理解释 该部分源码是日志记录框架的基础功能,能够将日志消息通过 Unix 域套接字发送到日志服务端。并且支持多线程环境下的日志记录,并提供了灵活的日志级别控制和可变参数日志打印功能。 相关API解释 MainLoop(const std::string& s

avatar Laval社区

解压updater.img

根据updater.img配置文件build/ohos/images/mkimage/updater_ramdisk_image_conf.txt可知,updater.img的格式是cpio,所以解压方法如下: mv updater.img updater.img.gz gunzip updater.img.gz cpio -i <updater.img rm -rf updater.im

avatar Laval社区

OpenHarmony应用开发-一套代码同时适配hos和ohos

前言 随着鸿蒙生态的愈渐成熟,越来越多的应用厂商会考虑hos和ohos双平台的兼容适配及商业化落地。 虽然hos和ohos基于同一套开源底座,但是也有着其天然的隔离性(hms、定制api等等)。因此,基于同一套应用代码,如何使用最小的工作量以及尽可能不使用重复代码并且能快速编译构建双平台hap就是许多开发者阻塞的一个问题。 下文会从多个维度来讲述如何进行最佳的双平台适配。 开发环境 hos设备:

avatar Laval社区