一、案例
我们举个案例,比如recovery升级中,碰到这个的log
01-01 08:03:22.410000 217 217 W applypatch: type=1400 audit(0.0:16): avc: denied { read } for name="mmcblk0p15" dev="tmpfs" ino=3364 scontext=u:r:install_recovery:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
说明install_revovery没有block_device的权限。
而在原生的domain.te文件中,明确domain中是没有对block_device的读写权限,除了recovery vold等。
neverallow { domain -kernel -init -recovery -vold -uncrypt -emsd -rild -radio_config} block_device:blk_file { open read write };
二、方法1(后续cts测试会有问题)
那我们如何是好呢,可以在上面这句nevera中把install_recovery也减去,然后再install_recovery.te中再加入相应的allow,这个时候编译就不会报错了。
但是这个方法,后续会在cts测试的时候过不了。
因此我们不能采取这种方法。