Android 根据AVC报错添加Selinux 权限

Android 根据AVC报错添加Selinux 权限

调试确认SELinux问题

为了澄清是否因为SELinux导致的问题，临时禁用selinux ，重启失效，可先执行：

adb shell getenforce
//临时禁用selinux ，重启失效
adb shell setenforce 0
adb shell getenforce
//显示Permissive表示临时禁用了selinux
Permissive

如果问题消失了，基本可以确认是SELinux造成的权限问题，需要通过正规的方式来解决权限问题。

如何查看具体的SELinux报错

遇到权限问题，在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限，可以通过命令过滤出所有的avc denied，再根据这些log各个击破：

cat /proc/kmsg | grep avc

或

dmesg | grep avc

例如：

audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

可以看到有avc denied，且最后有permissive=0，表示不允许。

示例

解决原则是：缺什么权限补什么，一步一步补到没有avc denied为止。

解决权限问题需要修改的权限文件如下位置，以.te结尾

audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=/1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0

分析过程：

• 缺少什么权限：{ write }权限，

• 谁缺少权限：scontext=u:r:kernel:s0

• 对哪个文件缺少权限：tcontext=u:object_r:block_device

• 什么类型的文件：tclass=blk_file

完整的意思：kernel进程对block_device类型的blk_file缺少write权限。

解决方法：在上文A位置，找到kernel.te这个文件，加入以下内容：

allow  kernel  block_device:blk_file  write;

后重新编译(make installclean && make bootimage) ，刷boot.img才会生效。