Android5x权限问题解决方法

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

Android5.x权限问题解决方法Android5.x权限问题解决方法Copyright©2015AllwinnerTechnology.AllRightsReserved.IRevisionHistoryVersionDateSection/PageChangescomparedtopreviousissueV1.02015-10-13RiverinitialversionAndroid5.x权限问题解决方法Copyright©2015AllwinnerTechnology.AllRightsReserved.2一、android5.x开始,引入了非常严格的selinux权限管理机制,我们经常会遇到因为selinux权限问题造成的各种avcdenied困扰。本文结合具体案例,讲解如何根据log来快速解决90%的权限问题。遇到权限问题,在logcat或者kernel的log中一定会打印avcdenied提示缺少什么权限,Command:cat/proc/kmsg|grepavc或dmesg|grepavc解决原则是:缺什么补什么,一步一步补到没有avcdenied为止。下面给出四个案例:1.audit(0.0:67):avc:denied{write}forpath=/dev/block/vold/93:96dev=tmpfsino=1263scontext=u:r:kernel:s0tcontext=u:object_r:block_device:s0tclass=blk_filepermissive=0分析过程:缺少什么权限:{write}权限,谁缺少权限:scontext=u:r:kernel:s0,对哪个文件缺少权限:tcontext=u:object_r:block_device什么类型的文件:tclass=blk_file解决方法:kernel.teallowkernelblock_device:blk_filewrite;2.audit(0.0:53):avc:denied{execute}forpath=/data/data/com.mofing/qt-reserved-files/plugins/platforms/libgnustl_shared.sodev=nandlino=115502scontext=u:r:platform_app:s0tcontext=u:object_r:app_data_file:s0tclass=filepermissive=0解决方法:platform_app.teallowplatform_appapp_data_file:fileexecute;3.audit(1444651438.800:8):avc:denied{search}forpid=158comm=setmacaddrname=/dev=nandiino=1scontext=u:r:engsetmacaddr:s0tcontext=u:object_r:vfat:s0tclass=dirpermissive=0解决方法:engsetmacaddr.teallowengsetmacaddrvfat:dir{searchwriteadd_namecreate};或者allowengsetmacaddrvfat:dircreate_dir_perms;Android5.x权限问题解决方法Copyright©2015AllwinnerTechnology.AllRightsReserved.34.audit(1441759284.810:5):avc:denied{read}forpid=1494comm=sdcardname=0dev=nandkino=245281scontext=u:r:sdcardd:s0tcontext=u:object_r:system_data_file:s0tclass=dirpermissive=0解决方法:sdcardd.teallowsdcarddsystem_data_file:dirread;或者allowsdcarddsystem_data_file:dirrw_dir_perms(rw_dir_perms包含readwrite,可以参考external/sepolicy/global_macros的定义声明)通过这四个案例,我们可以总结出一般规律,以第4个为例允许某个scontext对某个tcontext拥有某个权限我们的log重新排列一下,scontext=u:r:sdcarddtcontext=u:object_r:system_data_file:s0tclass=diravc:denied{read}得到万能套用公式如下:在scontext所指的te文件中加入类似如下内容:以上以.te为后缀的文件都在external/sepolicy/或者device/softwinner/xxxx-commm/sepolicy/下,修改之后,都要重刷boot.img。补充说明:1.有时候avcdenied的log不是一次性显示所有问题,要等你解决一个权限问题之后,才会提示另外一个权限问题。比如提示确实某个目录的read权限,你加入read之后,再显示缺少write权限,要你一次次一次试,一次一次加。这时你可以简单粗暴写个rw_dir_perms,这个权限包含了{opensearchwrite...}等等很多权限。可以查看external/sepolicy/global_macros来了解更多权限声明;2.要加入的权限很多时,可以用中括号,比如allowengsetmacaddrvfat:dir{searchwriteadd_namecreate};3.遇到问题不确定是否由于selinux问题造成,可先在adbshell下,输入setenforce0,让selinux失效,看是否问题还出现。以此可以澄清是非selinux造成的问题。Android5.x权限问题解决方法Copyright©2015AllwinnerTechnology.AllRightsReserved.4二、以上基本是对已经存在的进程增加权限,但对第三方进程改如何新增一个全新的te文件并赋予权限呢?以写mac地址的setmacaddr执行文件为例(这个执行档android原生不存在,自行添加的):1.在external/sepolicy/file_contexts中,参考其他进程声明一个:/system/bin/install-recovery.shu:object_r:install_recovery_exec:s0/system/bin/dex2oatu:object_r:dex2oat_exec:s0/system/bin/patchoatu:object_r:dex2oat_exec:s0/system/bin/setmacaddru:object_r:engsetmacaddr_exec:s0指定setmacaddr的路径,并指定一个名字,一定要以_exec结尾2.参考其他文件在external/sepolicy/创建engsetmacaddr.te文件,内容如下:typeengsetmacaddr,domain;typeengsetmacaddr_exec,exec_type,file_type;init_daemon_domain(engsetmacaddr)allowengsetmacaddrvfat:dir{searchwriteadd_namecreate};allowengsetmacaddrvfat:file{createreadwriteopen};allowengsetmacaddrengsetmacaddr:capabilitydac_override;allowengsetmacaddrshell_exec:file{executereadopenexecute_no_trans};allowengsetmacaddrsystem_data_file:dir{writeadd_nameremove_name};allowengsetmacaddrsystem_data_file:file{createexecute_no_transwriteopensetattr};allowengsetmacaddrsystem_file:file{execute_no_trans};以上赋予的权限全部是根据avcdenied的log缺什么一步一步补什么来的。

1 / 5
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功