|
SeLinux权限问题本来是在adb logcat中搜索avc,但是展讯平台的SeLinux权限相关log好像不会在logcat中打印出来,应该在ylog中的某个文件会打印权限问题log(由于项目配置原因,ylog用不了,所以没有跟下去),这里我只看了logcat
先说下展讯se权限相关文件位置:
init.rc 文件位置(android初始化文件,在此文件中初始化目标文件的777权限)
device/sprd/sharkle/common/rootdir/root/init.common.rc
file_contexts(在此文件中定义目标文件的权限域)
vendor/sprd/generic/sepolicy/selinux/vendor/file_contexts
file.te (在此文件中可以新建权限域,本文没有用到此文件)
vendor/sprd/generic/sepolicy/selinux/vendor/file.te
读写节点代码
private final String PATH = "/sys/devices/platform/leds/red/brightness";
public void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
String str = "200";
try {
BufferedReader reader = new BufferedReader(new FileReader(PATH));
String info = reader.readLine();
android.util.Log.d("sytest","info=" +info);
FileOutputStream fileOutputStream = new FileOutputStream(PATH);
fileOutputStream.write(str.getBytes());
fileOutputStream.close();
} catch (Exception e) {
e.printStackTrace();
}
}
以上代码在logcat中会报FileNotFoundException
这种情况一般就是权限问题了,
使用adb shell setenforce 0关闭se权限,发现读写正常,确定是se权限问题
sy@sy:~/work1$ adb shell
sl8541e_1h10_32b:/ # ps -AZ | grep validationtools
u:r:sprd_validationtools_app:s0:c512,c768 system 6554 327 1093620 131900 SyS_epoll_wait 0 S com.sprd.validationtools
sl8541e_1h10_32b:/
sl8541e_1h10_32b:/ # ls -alZ /sys/devices/platform/leds/red/brightness
-rwxr--r-- 1 system system u:object_r:sysfs:s0 4096 2022-03-04 14:18 brightness
sl8541e_1h10_32b:/
sl8541e_1h10_32b:/ # ls -alZ /sys/devices/platform
drwxr-xr-x 2 root root u:object_r:sysfs_leds:s0 0 2022-03-04 14:16 leds
以上使用ps -AZ查看当前应用的应用类型,(一般会在selinux/目录下会有同名的权限文件用来声明此应用类型对不同的权限域所拥有的去权限,此处是sprd_validationtools_app.te)
使用ls -alZ命令查看目标文件的权限域,可以看到brightness文件的权限域为sysfs,
报错是因为我们当前应用对此权限域没有权限
所以以上可以看出两个问题需要修改:
1、需要把目标文件权限改为777(chmod 777 brightness)如下
diff --git a/device/sprd/sharkle/common/rootdir/root/init.common.rc b/device/sprd/sharkle/common/rootdir/root/init.common.rc
index c16d945..42348e7 100755
--- a/device/sprd/sharkle/common/rootdir/root/init.common.rc
+++ b/device/sprd/sharkle/common/rootdir/root/init.common.rc
@@ -261,6 +261,17 @@ on boot
chmod 660 /sys/class/misc/gnss_common_ctl/gnss_subsys
chmod 660 /dev/gnss_pmnotify_ctl
+
+ chmod 0777 /sys/devices/platform/leds/red/brightness
+
chmod 0660 /dev/AKM099XX
chown system system /dev/AKM099XX
2、需要更改目标文件的权限域,(以上看到目标文件的上级目录为sysfs_leds域)
并声明sprd_validationtools_app应用类型对权限域有读写权限
如下
diff --git a/selinux/vendor/file_contexts b/selinux/vendor/file_contexts
index 4d66d6c..8db2493 100644
--- a/selinux/vendor/file_contexts
+++ b/selinux/vendor/file_contexts
@@ -21,3 +21,14 @@
/sys/devices/platform/sprd_backlight/backlight/sprd_backlight/actual_brightness u:object_r:sysfs_sprd_backlight:s0
/sys/class/backlight/sprd_backlight/actual_brightness u:object_r:sysfs_sprd_backlight:s0
+
+/sys/devices/platform/leds/red/brightness u:object_r:sysfs_leds:s0
+
diff --git a/selinux/vendor/sprd_validationTools_app.te b/selinux/vendor/sprd_validationTools_app.te
index 9e4508a..b9da8bc 100644
--- a/selinux/vendor/sprd_validationTools_app.te
+++ b/selinux/vendor/sprd_validationTools_app.te
@@ -8,6 +8,9 @@ allow sprd_validationtools_app vendor_file:file {r_file_perms execute execute_no
allow sprd_validationtools_app sysfs_leds:dir { search };
+
+allow sprd_validationtools_app sysfs_leds:file { read write open getattr }; //声明sprd_validationtools_app对
+
最后编译selinux并push到设备,相关命令如下
//编译selinux
make selinux_policy
//将编译好的相关文件push到设备
adb push out/target/product/sl8541e_1h10_32b/vendor/etc/selinux/* /vendor/etc/selinux/
//将修改好的init.rc文件push到设备(此文件直接push,不用编译)
adb push ./device/sprd/sharkle/common/rootdir/root/init.common.rc vendor/etc/init/hw/
最最后重启手机看是否生效
ps:其他mtk,qcom等平台一般有avc log可以配合audit2allow工具可以直接看到应该添加什么条件
|