android selinux报avc denied权限和编译报neverallow解决方案

avc: denied { read } for name="present" dev="sysfs" ino=42693 scontext=u:r:hal_health_default:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=1

denied {xxx}: 表示缺少什么权限

scontext:表示谁缺少权限

tcontext:表示对那些文件缺少权限:

tclass:表示什么文件类型缺少权限

修改公式如下:

通常需要在${scontext}.te添加 allow scontext tcontext:tclass denied

带入内容:修改hal_health_default.te

allow hal_health_default sysfs:fie { read };

allow hal_health_default sysfs:fie { open};

RK平台te文件一般在device/rockchip/common/sepolicy/下 类似上面的修改即可

如果编译时报错 提示

复制代码
libsepol.report_failure: neverallow on line 444 of system/sepolicy/public/domain.te (or line 12990 of policy.conf) violated by allow tee device:chr_file { read write };
libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy

报错原因也比较直接,就是domain域中指明的规则,我们先看下为什么会报错吧

直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索"device:chr_file",可以找到如下内容了,看一下就明白了,不允许我们这样修改了。

复制代码
# Don't allow raw read/write/open access to generic devices.
# Rather force a relabel to a more specific type.
neverallow domain device:chr_file { open read write };

以下是实例,我这边提示system_app权限异常

复制代码
avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=12228 scontext=u:r:system_app:s0 tcontext=u:object_r:serialno_prop:s0 tclass=file permissive=1

在device/rockchip/common/sepolicy/system_app.te下修改

复制代码
allow system_app serialno_prop:file { open read getattr };

提示neverallow错误 找到对应的domain.te

system/sepolicy/public/domain.te

复制代码
# a few whitelisted domains.
neverallow {
  domain
  -adbd
  -dumpstate
  -hal_drm
  -hal_cas
  -init
  -mediadrmserver
  -recovery
  -shell
  -system_server
} serialno_prop:file r_file_perms;

查看到serialno_prop:file,其实直接将domain修改为-domain即可

复制代码
neverallow {
  -domain
  -adbd
  -dumpstate
  -hal_drm
  -hal_cas
  -init
  -mediadrmserver
  -recovery
  -shell
  -system_server
} serialno_prop:file r_file_perms;
相关推荐
fundroid6 分钟前
Swift 进军 Android,Kotlin 该如何应对?
android·ios
前端世界9 分钟前
鸿蒙系统安全机制全解:安全启动 + 沙箱 + 动态权限实战落地指南
android·安全·harmonyos
_一条咸鱼_3 小时前
Vulkan入门教程:源码级解析
android·面试·android jetpack
嘉小华3 小时前
ThreadLocal 详解
android
wkj0013 小时前
php 如何通过mysqli操作数据库?
android·数据库·php
kymjs张涛5 小时前
零一开源|前沿技术周报 #7
android·前端·ios
wuwu_q7 小时前
RK3566/RK3568 Android11 修改selinux模式
android·rk3568
_一条咸鱼_7 小时前
Android Runtime内存共享与访问控制原理剖析(71)
android·面试·android jetpack
嘉小华8 小时前
第三章:焦点分发全链路源码解析
android
嘉小华8 小时前
Android 协程全景式深度解析:第六章 高阶并发模式
android