快速入手必看:
- 如何確認是否是selinux問題:
可以通過運行 cat /proc/kmsg 或者 cat /sys/fs/pstore/console-ramoops 來獲取上次啟動時的事件日志。SELinux 日志消息中包含“avc:”字樣,因此可使用 grep 輕松找到。
一般如下:
[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
可以看到permissive=0 代表訪問被拒絕,permissive=1代表擁有訪問權限。
- 如何生成selinux rule
只需三步,
第一步,把手機里面的policy文件拉到本地。
第二步,復現問題。
第三步,把log喂給audit2allow命令來幫助我們生成selinux rule。
假如有提示本地環境找不到audit2allow,可以手動根據提示安裝或者在Android 目錄下尋找。
adb pull /sys/fs/selinux/policy
adb shell dmesg | audit2allow -p policy
這里比較靈活,我們可以直接把dmesg喂給audit2allow也可以直接把logcat喂給audit2allow(adb logcat -b all -d | audit2allow -p policy) ,甚至可以直接cat 或者echo文件給它。比如:
echo "[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0 " | audit2allow -p policy
cat logfile | audit2allow -p policy
最后生成的文件如下:
#============= system_app ==============
allow system_app sysfs:file read;
- 修復問題:
最后根據生成的文件,在源碼目錄找到或者新建system_app.te 把“allow system_app sysfs:file read;” 寫入到該文件即可。
原理說明(快速入手可跳過)
我們 仍以下面的例子說明,
[10104.199705] (0)[433:logd.auditd]type=1400 audit(1609222167.878:20645): avc: denied { read } for comm="com.miui.cit" comm="com.miui.cit" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
其規則可以表述如下
avc: denied { connectto } for comm="com.miui.cit" name="panel_info" dev="sysfs" ino=32487 scontext=u:r:system_app:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=0
該輸出的解讀:
上方的 { connectto } 表示執行的操作。根據它和末尾的 tclass (file),您可以大致了解是對什么對象執行什么操作。在此例中,是操作方正在試圖讀取文件。
scontext (u:r:system_app:s0) 表示發起相應操作的環境,在此例中是 system_app 中運行的某個程序。
tcontext (u:object_r:sysfs:s0) 表示操作目標的環境,在此例中是歸 sysfs 所有的某個file。
頂部的 comm="com.miui.cit" 可幫助您了解拒絕事件發生時正在運行的程序。在此示例中,表示小米的cit測試程序。
所以整體來看,這句avc的log就是屬於 system_app的“com.miui.cit”(comm="com.miui.cit")需要read屬於sysfs的panel_info(comm="com.miui.cit"),但是因為沒有權限讀取失敗。
資料來源: