asysbang

标题: sepolicy [打印本页]

作者: admin 时间: 2016-8-2 10:10
标题: sepolicy
最近做5.x项目遇到很多权限问题
这个是sepolicy的问题

wenku.baidu.com/link?url=2DD2L5m-SPhqussQhTUWCkIF3bd-0yXYZeE9cBZGQpGF3lw-W2foMChKq7daLzyGyVoBggE_ISs8qRnmhc905ysy4AYxKBWGE35e1vuHbSK

遇到权限问题就要去查kernel的log

adb shell cat /proc/kmsg |grep avc 或者 dmesg|grep avc
（注意如果是用tee命令保存了文件就要在文件里去查：要不很容易忽略：匹配到二进制文件 ./mobilelog/APLog_2015_0101_151910/last_kmsg）

<36>[ 50.716759]<0> (1)[244:logd.auditd]type=1400 audit(1420042606.520:5): avc: denied { write } for pid=1826 comm="rm" name="mtk_traces.txt" dev="mmcblk0p23" ino=161285 scontext=u:r:shell:s0 tcontext=u

bject_r:anr_data_file:s0 tclass=file permissive=0

根据log确定是  shell.te中需要添加allow shell anr_data_file:file write

也可以用rw_dir_perms  这个包括很多权限  具体参看externel/sepolicy/global_macros里面的定义

要包含多个权限时用{read write create}

要确定是否是由于sepolicy导致的权限问题可以用set enforece 0  让sepolicy 失效来确认这个问题

欢迎光临 asysbang (http://www.asysbang.com/)