Andro的id 5.x 权限问题解决方法.docVIP

Android 5.x 权限问题解决方法 Revision History Version Date Section/ Page Changes compared to previous issue V1.0 2015-10-13 River initial version 一、 android 5.x开始，引入了非常严格的selinux权限管理机制，我们经常会遇到因为selinux权限问题本文如何根据log来快速解决 遇到权限问题，在logcat或者kernel的log中一定会打印avc denied提示缺少什么权限， cat /proc/kmsg | grep avc 或 dmesg | grep avc 解决原则是缺什么补什么，补到没有avc denied为止。 下面给出四个案例： 1. audit(0.0:67): avc: denied { write } for path=/dev/block/vold/93:96 dev=tmpfs ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0 tcontext=u:object_r:block_device 什么类型的文件： tclass=blk_file 解决方法：kernel.te allow kernel block_device:blk_file write; 2. audit(0.0:53): avc: denied { execute } for path=/data/data/com.mofing/qt-reserved-files/plugins/platforms/libgnustl_shared.so dev=nandl ino=115502 scontext=u:r:platform_app:s0 tcontext=u:object_r:app_data_file:s0 tclass=file permissive=0 解决方法 ：platform_app.te allow? platform_app? app_data_file:file execute; 3. audit(1444651438.800:8): avc: denied { search } for pid=158 comm=setmacaddr name=/ dev=nandi ino=1 scontext=u:r:engsetmacaddr:s0 tcontext=u:object_r:vfat:s0 tclass=dir permissive=0 解决方法 ：engsetmacaddr.te allow engsetmacaddr vfat:dir { search write add_name create }; allow engsetmacaddr? vfat:dir create_dir_perms; 4. audit(1441759284.810:5): avc: denied { read } for pid=1494 comm=sdcard name=0 dev=nandk ino=245281 scontext=u:r:sdcardd:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0 解决方法 ：sdcardd.te? allow sdcardd system_data_file:dir read;allow sdcardd system_data_file:dir? rw_dir_perms (rw_dir_perms包含read writeexternal/sepolicy/global_macros的定义声明) 通过这四个案例，我们可以总结出一般规律, 以第个为例 允许某个scontext对某个tcontext拥有某个权限 我们的log重新排列一下， scontext=u:r:sdcardd tcontext=u:object_r:system_data_file:s0 tclass=dir avc: denied { read } 得到万能套用公式如下： scontext所指的te文件中加入类似如下内容： 以上以.te为后缀的文件都在external/sepolicy/或者device/softwinner/xxxx-commm/sepolicy/下