Android selinux 导入之后,在 linux 原有的 uid gid 权限基础上增加了更强大的控制。
比如android 系统app,即便有了 android.uid.system权限,还是无法访问某些应用目录。
读写这些目录可能会提示 Permission denied。
这就是被 sepolicy 给限制了,检查原因可以通过:
cat /proc/kmsg | grep avc
或者
dmesg | grep avc
查看内核输出信息,当然必须 adb root 之后才能看这些信息。
比如输出这样错误:
audit(1441759284.810:5): avc: denied { read } for pid=1494 comm="sdcard" name="0" dev="nandk" ino=245281 scontext=u:r:sdcardd:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=0
解决办法是,修改 scontext 里对应的sdcardd.te文件,修改对象是 tcontext里的对象,赋予权限即可:
allow sdcardd system_data_file:dir rw_dir_perms;
