在android修改代码后,经常会遇到运行时报avc denied问题。下面是我遇到的案例,以及我的解决方案,发出来供大家参考一下。
运行avc denied的日志:
03-08 11:00:02.502 6849 6849 W om.sdt.diagnose: type=1400 audit(0.0:500): avc: denied { write } for name="com.sdt.diagnose-1rFiy5LUwRI4Ho1vif0zwQ==" dev="dm-8" ino=155515 scontext=u:r:system_app:s0 tcontext=u:object_r:apk_data_file:s0 tclass=dir permissive=0
根据SEinux policy规则,我们在相应的.te文件中添加allow规则
allow system_app apk_data_file:dir{write };
接着编译一下android,发现编译会报never allow的错误,报错内容如下:
libsepol.report_failure: neverallow on line 489 of system/sepolicy/public/app.te (or line 10249 of policy.conf) violated by allow system_app apk_data_file:dir { write };
libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy
报错原因也比较直接,就是domain域中指明的规则,我们先看下为什么会报错吧
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/app.te,找到和我们添加的部分,搜索“apk_data_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。
neverallow { appdomain -platform_app }
apk_data_file:dir_file_class_set
{ create write setattr relabelfrom relabelto append unlink link rename };
那是什么原因导致的这个编译报错呢?说直白一点就是当前这个process进程申请的权限过高了。
那有没有办法绕过这个报错呢?当然是有的,可以参考如下步骤:1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
system\sepolicy\public\attributes2、新增加一个SELinux type根据申请的类型可以进修改一下访问的Object的Lable比如我这里是device节点,那我就在device.te(file.te)中
type my_apk_data_file, fs_type;
3、绑定文件到这个SELinux type因为我这里知道我访问的是/data/tcpdump文件,我在第一步中确认的,
所以在file_contexts中添加如下代码。
/data/tcpdump(/.log)? u:object_r:my_apk_data_file:s0
4、修改te文件,添加process/domain的访问权限这里就比较简单了,直接添加对应的规则就可以了。
allow system_app my_apk_data_file:dir { write };
最后重新再编译一下android,就不会再报之前的编译问题了。
另外补充一个在用户空间调用ioctl导致的selinux权限报错问题报错日志如下:
[ 36.348961] type=1400 audit(88595.495:24):
avc: denied { ioctl } for comm="tee-supplicant" path="/dev/mmcblk1rpmb" dev="tmpfs" ino=25620 ioctlcmd=0xb301 scontext=u:r:tee:s0 tcontext=u:object_r:tee_rpmb_device:s0 tclass=chr_file permissive=0
报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。
那有没有办法解决这个报错呢?当然也是有的~解决方法如下:1、在对应的te文件添加如下code根据报错的日志,添加如下对应code即可。
allow tee tee_rpmb_device:chr_file { open read write ioctl };
allow tee tee_rpmb_device:blk_file ioctl;
allowxperm tee tee_rpmb_device:blk_file ioctl 0xb301;