selinux 权限问题中90%的场景都是在补足缺少的权限,下面的通用方法主要用来解决我们在日志中获取到 avc denied 的问题:
首先获取avc的打印信息,可以通过 logcat | grep avc 获取,假设有如下日志:
type=1400 audit(0.0:1639): avc: denied { read } for name="u:object_r:hwservicemanager_prop:s0" dev="tmpfs" ino=2257 scontext=u:r:tcl_factory_service_default:s0 tcontext=u:object_r:hwservicemanager_prop:s0 tclass=file permissive=1
这里我们先介绍下对应的字段的概念:
操作权限 - action 具体缺少的权限,这个权限属于tclass组
源上下文 - scontext 发起者对象的类型
目前上下文 - tcontext 正在操作的对象类型
目标类 - tclass 正在操作的对象的类型
说的简单一点就是:
缺少什么权限: { read }权限,
谁缺少权限: scontext=u:r:tcl_factory_service_default:s0
对谁操作时缺少权限: tcontext=u:object_r:hwservicemanager_prop:s0
什么类型的权限: tclass=file
得出的权限解决语句:
# tcl_factory_service_default.te
allow tcl_factory_service_default hwservicemanager_prop:file { read };总结出的通用公式:
要添加的权限语句: allow scontext tcontext:tclass { action };
要添加的目标文件: {scontext}.te
)
计算机网络(传输层))
、后备保护器(SCB)、断路器(CB)的区别与应用)
