本文详细介绍了解决Android系统中因SELinux导致的权限问题的方法,包括如何通过日志定位问题,修改SEPolicy文件,以及如何处理第三方进程的权限问题。
Android O/P/Q SELinux avc dennied权限问题分析与解决
1.概述
Android SELinux是Google从android L 开始,强制引入的一套非常严格的权限管理机制,主要用于增强系统的安全性。
然而,在开发中,特别是手机开发中,我们经常会遇到由于SELinux造成的各种权限不足,即使拥有“万能的root权限”,也不能获取全部的权限。本文旨在结合具体案例,讲解如何根据log来快速解决90%的SELinux权限问题。
2.确认SELinux问题
为了澄清是否因为SELinux导致的问题,可先执行:
setenforce 0 (临时禁用掉SELinux,在项目初始阶段经常使用该方式,以免权限问题影响开发进度)
getenforce (得到结果为Permissive)
如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。
遇到权限问题,在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限,可以通过命令过滤出所有的avc denied,再根据这些log各个击破:
k79v1_64_tee_ven_p:/ #cat /dev/kmsg |grep avc
或
k79v1_64_tee_ven_p:/ #logcat |grep avc
例如:
audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev=“tmpfs” ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
可以看到有avc denied,且最后有permissive=0,表示不允许。
3.案例分析
解决原则是:缺什么权限补什么,一步一步补到没有avc denied为止。
解决权限问题需要修改的权限文件如下位置,以.te结尾
such as:
device/mediatek/mt6779/sepolicy/bsp/*.te
下面给出四个案例:
案例1
audit(0.0:67): avc: denied {
write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=/1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
分析过程:
缺少什么权限: { write }权限,
谁缺少权限: scontext=u:r:kernel:s0
对哪个文件缺少权限:tcontext=u:object_r:block_device
什么类型的文件: tclass=blk_file
完整的意思: kernel进程对block_device类型的blk_file缺少write权限。
解决方法:在上文A位置,找到kernel.te这个文件,加入以下内容:
allow kernel block_device:blk_file write;
make installclean后重新编译,刷boot.img才会生效。
案例2
audit(0.0
最低0.47元/天 解锁文章
扫一扫
717
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
