一 、 判断是否SELinux导致的问题,
先执行:
setenforce 0 (临时禁用掉SELinux)
getenforce (得到结果为Permissive)
如果问题消失了,基本可以确认是SELinux造成的权限问题
二、看log:
cat /proc/kmsg | grep avc 或dmesg | grep avc
三、举例:
audit(0.0:67): avc: denied { write } for path="/dev/block/vold/93:96" dev="tmpfs" ino=1263 scontext=u:r:kernel:s0 tcontext=u:object_r:block_device:s0 tclass=blk_file permissive=0
最后有permissive=0,表示不允许
缺少什么权限: { write }权限,
谁缺少权限: scontext=u:r:kernel:s0
扫描二维码关注公众号,回复:
3252739 查看本文章
对哪个文件缺少权限:tcontext=u:object_r:block_device
什么类型的文件: tclass=blk_file
完整的意思: kernel进程对block_device类型的blk_file缺少write权限。
解决方法:找到kernel.te这个文件,加入以下内容:
allow kernel block_device:blk_file write;
---------------------------------------------------------------------------
avc: denied { setattr } for name="libandroidvncserver.so" dev="dm-0" ino=65542
scontext=u:r:untrusted_app:s0:c512,c768 tcontext=u:object_r:apk_data_file:s0 tclass=file permissive=0
分析过程:
缺少什么权限: { setattr }权限,
谁缺少权限: scontext=u:r:untrusted_app:s0:c512,c768
对哪个文件缺少权限:u:object_r:apk_data_file:s0
什么类型的文件: tclass=file
完整的意思: untrusted_app进程对file类型的apk_data_file缺少setattr权限。
解决方法:找到untrusted_app.te这个文件,加入以下内容:
allow untrusted_app apk_data_file:file setattr;