报错信息
报错内容:
avc: denied { read } for comm="Binder:175_2" name="wakeup10" dev="sysfs" ino=25776 scontext=u:r:system_suspend:s0 tcontext=u:object_r:sysfs_power:s0 tclass=dir permissive=0
log格式:
avc: denied { 操作权限 } for pid=7201 comm="进程名" scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 tclass=访问类型 permissive=0
规则格式:
allow 源类型 目标类型:访问类型 {操作权限};
最终结果:
allow system_suspend sysfs_power:dir { read };
权限调试
有时候avc denied的log不是一次性显示所有问题,要等解决一个权限问题之后,才会提示另外一个权限问题,
比如提示缺失某个目录的read权限,你加入read之后,再显示缺少write权限,要你一次一次试,一次一次加。
所以建议在permissive模式下进行debug和添加权限,否则会无限放大工作量。
su
setenforce 0
chmod 666 /dev/ttyS*
使用app调用串口,调试串口会打印出所有的avc报错,再根据报错添加相关权限。
audit2allow
sudo apt install policycoreutils
adb shell logcat | grep avc > avc_log.txt
audit2allow -i avc_log.txt
c512,c768报错,添加mlstrustedobject 属性
type video_usb_device, dev_type, mlstrustedobject; //定义了一个名为 video_usb_device 的 SELinux 类型,并将其标记为 dev_type 和 mlstrustedobject。
typeattribute video_usb_device mlstrustedobject; //将一个名为 video_usb_device 的已有 SELinux 类型标记为具有 mlstrustedobject 属性。
SELinux工作模式
disabled:禁用模式,代表SELinux没有实际运作。
permissive:宽容模式,代表SELinux运作中,不过会有警告信息,但不会实际限制domain/type的存取。
enforcing:强制模式,代表SELinux运作中,且已经明确限制domain/type。
查看SELinux工作模式
getenforce
临时设置SELinux工作模式
setenforce 0:设置为permissive模式
setenforce 1:设置为enforcing模式
永久设置SELinux工作模式
修改/android11-source/system/core/init/selinux.cpp
![在这里插入图片描述](https://img-blog.csdnimg.cn/2b8186d48f6a4ef2a2c1498ec8f1608b.png)