一，判断是否为Sepolicy问题

Step1. 当某个进程出问题时，举个例子，比如so明明存在却无法link，那么看日志里是否有相关的avc：

avc: denied { open } for path="/data/system/myapp.config" dev="dm-0" ino=4538462 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:system_data_file:s0 tclass=file permissive=0 app=com.android.launcher3

Step2. 临时关闭Selinux

adb shell
# 设置为Permissive模式
setenforce 0
# 看一下成功没
getenforce

上述方法重启后失效，仅限临时验证。

Step3. 看问题是否消失

如果log没有avc错误。消失了就是Selinux的问题。

二，快速修改

其实很好修改，再来看这句日志：

avc: denied { open } for path="/data/system/myapp.config" dev="dm-0" ino=4538462 scontext=u:r:platform_app:s0:c512,c768 tcontext=u:object_r:system_data_file:s0 tclass=file permissive=0 app=com.android.launcher3

这句日志的意思是：{被拒绝的动作} name=“客体名称” scontext=u:r:主体上下文:s0 tcontext=u:object_r:客体上下文:s0 tclass=客体类型

缺少的权限：{ open }

谁缺少权限：scontext=u:r:platform_app:s0:c512

对哪个文件缺少权限：tcontext=u:object_r:system_data_file:s0

什么类型的文件：tclass=file

也就是说：在platform_app进程对system_data_file类型的file缺少open 权限

在platform_app.te(device\qcom\sepolicy\generic\vendor\common\platform_app.te，找到自己项目中使用的相应的te文件)文件中添加：

allow platform_app system_data_file:file { open };

另外一种情况，再来看这句日志：

avc: denied { read } for name="libxxx.so" dev="xxx" ino=xxx scontext=u:r:abc:s0 tcontext=u:object_r:vendor_file:s0 tclass=file permissive=0

如果abc这个主体上下文不存在（全局搜下，正常都会有，没有说明是你自己独创的），那就要在file_context文件中加入

/vendor/bin/hw/android\.hardware\.abc@1\.0-service    u:object_r:abc_exec:s0

前面的abc对应文件名字，不一定是这个我只是举个例子。然后新建abc.te，开头写入：

type abc, domain;# allow init to launch processes in this context
type abc_exec, exec_type, vendor_file_type, file_type;
init_daemon_domain(abc)

类似的。然后下面再加上allow那个权限。

到这来就可以解决avc的权限报错问题了，如果需要进一步了解seLinux的机制可以往下继续看。

三，selinux查看权限

在SELinux（Security-Enhanced Linux）中，权限和访问控制是通过安全上下文（security contexts）和策略（policy）来管理的。安全上下文定义了文件、进程和端口的类型、用户和角色属性，而策略则定义了这些属性之间的允许和拒绝关系。

要查看SELinux的权限和设置，你可以使用多种命令和工具。以下是一些常用的方法：

1，查看文件的安全上下文：
使用ls -Z命令可以查看文件或目录的安全上下文。例如：

ls -lZ /path/to/file

输出将包括文件的权限、所有者、组以及安全上下文（如unconfined_u:object_r:httpd_sys_content_t:s0）。

2，查看SELinux状态：
使用getenforce命令可以查看SELinux当前的工作模式（Enforcing、Permissive或Disabled）。

getenforce

3，查看进程的安全上下文：
使用ps -eZ命令可以查看进程的安全上下文。

ps -eZ | grep process_name

四，Selinux工作模式

SELinux（Security-Enhanced Linux）有三种主要的工作模式，这些模式决定了SELinux在系统上实施安全策略的方式。以下是SELinux的三种工作模式的详细解释：

1，Enforcing模式（强制模式）：
违反SELinux规则的行为将被阻止并记录到日志中。
在此模式下，SELinux完全启用，并强制执行所有配置的安全策略。任何尝试违反这些策略的行为都将被阻止，并且相关信息将被记录到系统日志中。
这是SELinux的默认工作模式，用于提供最高级别的系统安全性。

2，Permissive模式（宽容模式）：
违反SELinux规则的行为只会记录到日志中，但不会阻止。
在此模式下，SELinux仍然监控所有进程和文件访问，但即使检测到违反策略的行为，也不会阻止它们。这允许管理员在不中断系统服务的情况下观察和分析SELinux的日志，以了解哪些策略可能需要调整。
此模式通常用于调试或测试SELinux策略，以便在将其部署到生产环境之前识别和解决潜在问题。

3，Disabled模式（关闭模式）：
SELinux被完全关闭，系统使用传统的Linux自主访问控制（DAC）机制。
在此模式下，SELinux不执行任何安全策略，系统行为与传统的Linux系统相同。这通常用于不需要SELinux提供额外安全性的环境，或者当SELinux的配置导致系统无法正常运行时。

需要注意的是，SELinux的工作模式可以在/etc/selinux/config文件中进行配置。如果要从Disabled模式切换到Enforcing或Permissive模式，或者从Enforcing/Permissive模式切换到Disabled模式，通常需要重启系统才能使更改生效。然而，Enforcing和Permissive模式之间可以通过setenforce 1|0命令进行快速切换，而无需重启系统。

此外，SELinux日志的记录需要借助auditd.service这个服务，因此请不要禁用它，以确保SELinux能够正常工作并记录所有必要的信息。