快速添加Android seLinux权限

selinux 权限问题中90%的场景都是在补足缺少的权限,下面的通用方法主要用来解决我们在日志中获取到 avc denied 的问题:

首先获取avc的打印信息,可以通过 logcat | grep avc 获取,假设有如下日志:

type=1400 audit(0.0:1639): avc: denied { read } for name="u:object_r:hwservicemanager_prop:s0" dev="tmpfs" ino=2257 scontext=u:r:tcl_factory_service_default:s0 tcontext=u:object_r:hwservicemanager_prop:s0 tclass=file permissive=1

这里我们先介绍下对应的字段的概念:
操作权限 - action 具体缺少的权限,这个权限属于tclass组
源上下文 - scontext 发起者对象的类型
目前上下文 - tcontext 正在操作的对象类型
目标类 - tclass 正在操作的对象的类型

说的简单一点就是:
缺少什么权限: { read }权限,
谁缺少权限: scontext=u:r:tcl_factory_service_default:s0
对谁操作时缺少权限: tcontext=u:object_r:hwservicemanager_prop:s0
什么类型的权限: tclass=file

得出的权限解决语句:

# tcl_factory_service_default.te
allow tcl_factory_service_default hwservicemanager_prop:file { read };

总结出的通用公式:

要添加的权限语句: allow scontext tcontext:tclass { action };
要添加的目标文件: {scontext}.te

你可能感兴趣的:(#,知识体系,android)