【android系统】chomd 777都解决不了的——SElinux权限问题解决方法

本文主要是介绍【android系统】chomd 777都解决不了的——SElinux权限问题解决方法，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

背景

在mediaservice中读取设备节点/dev/sst_storage失败，通过log发现没有权限。尝试chomd 777设置设备节点权限，发现在代码中还是无法获取到权限打开和读取。通过网上资料查询获知可能是SELinux策略导致的。
在这里插入图片描述

了解权限管理机制

权限管理机制介绍

SEAndroid 是SELinux 在Android 上面的一个移植。SELinux 是Linux上系统保护机制，SELinux 全称 Security Enhanced Linux (安全强化 Linux)，是MAC (Mandatory Access Control，强制访问控制系统)的一个实现。其目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

Android系统基于Linux实现。针对传统Linux系统，NSA开发了一套安全机制SELinux，用来加强安全性。然而，由于Android系统有着独特的用户空间运行时，因此SELinux不能完全适用于Android系统。为此，NSA同Google一起针对Android系统，在SELinux基础上开发了 SEAndroid。遇到这类问题的解决方法在Android

7.0上，因为采取了SEAndroid/SElinux的安全机制，即使拥有root权限，或者对某内核节点设置为777的权限，仍然无法在JNI层访问。Google 默认禁止app , 包括system app, radio app 等直接写/sys 下面的文件, 认为这个是有安全风险的。如果直接放开SELinux 权限, 会导致CTS 无法通过.

通常遇到此类情况，你有两种做法:

(1). 通过system_server 或者 init 启动的service 读写, 然后app 通过binder/socket 等方式连接APP 访问. 此类安全可靠, 并且可以在service 中做相关的安全审查, 推崇这种方法.

(2). 修改对应节点的SELinux Security Label, 为特定的APP, 如system app, radio,bluetooth 等内置APP开启权限, 但严禁为untrsted app 开启权限. 具体的做法下面以 system app 控制/sys/class/leds/lcd-backlight/brightness 来说明.本文主要采用这个做法来解决。

解决方案

两个命令确定问题是否与SELinux相关

1、命令：setenforce 0
2、命令：getenforce确认SELinux 是否正确关闭，如下图则说明关闭了。

在这里插入图片描述
如下图，则说明没有关闭

关闭手机的 SELINUX 机制，如果问题还能复现，那么此问题就与 SELinux 不相关，或者相关但是还与别的机制相关，比如还与 Linux 自主访问控制（DAC）有关。

修改对应的策略文件

1、分解log

重点log：

avc: denied { read } for name=“mmcblk0p12” dev=“tmpfs” ino=7011
scontext=u:r:mediaserver:s0 tcontext=u:object_r:block_device:s0
tclass=blk_file permissive=0

对应的分解：