本文主要是介绍android selinux报avc denied权限和编译报neverallow解决方案,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
avc: denied { read } for name=“present” dev=“sysfs” ino=42693 scontext=u:r:hal_health_default:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=1
denied {xxx}: 表示缺少什么权限
scontext:表示谁缺少权限
tcontext:表示对那些文件缺少权限:
tclass:表示什么文件类型缺少权限
修改公式如下:
通常需要在${scontext}.te添加 allow scontext tcontext:tclass denied
带入内容:修改hal_health_default.te
allow hal_health_default sysfs:fie { read };
allow hal_health_default sysfs:fie { open};
RK平台te文件一般在device/rockchip/common/sepolicy/下 类似上面的修改即可
如果编译时报错 提示
libsepol.report_failure: neverallow on line 444 of system/sepolicy/public/domain.te (or line 12990 of policy.conf) violated by allow tee device:chr_file { read write };
libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy报错原因也比较直接,就是domain域中指明的规则,我们先看下为什么会报错吧
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。
# Don't allow raw read/write/open access to generic devices.
# Rather force a relabel to a more specific type.
neverallow domain device:chr_file { open read write };以下是实例,我这边提示system_app权限异常
avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=12228 scontext=u:r:system_app:s0 tcontext=u:object_r:serialno_prop:s0 tclass=file permissive=1
在device/rockchip/common/sepolicy/system_app.te下修改
allow system_app serialno_prop:file { open read getattr };提示neverallow错误 找到对应的domain.te
system/sepolicy/public/domain.te
# a few whitelisted domains.
neverallow {domain-adbd-dumpstate-hal_drm-hal_cas-init-mediadrmserver-recovery-shell-system_server
} serialno_prop:file r_file_perms;查看到serialno_prop:file,其实直接将domain修改为-domain即可
neverallow {-domain-adbd-dumpstate-hal_drm-hal_cas-init-mediadrmserver-recovery-shell-system_server
} serialno_prop:file r_file_perms;这篇关于android selinux报avc denied权限和编译报neverallow解决方案的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
