1. 从logcat中过滤avc信息

avc: denied { read write } for comm="vendor.demo" name="ttyHW5" dev="tmpfs" ino=610 scontext=u:r:hal_gnss_default:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=1
avc: denied { ioctl } for comm="vendor.demo" path="/dev/ttyHW5" dev="tmpfs" ino=610 ioctlcmd=0x5401 scontext=u:r:hal_gnss_default:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=1
avc: denied { ioctl } for comm="vendor.demo" path="/dev/ttyHW5" dev="tmpfs" ino=610 ioctlcmd=0x5401 scontext=u:r:hal_gnss_default:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=1

  2. 从avc中配置相关规则

allow hal_gnss_default device:chr_file rw_file_perms;

        但上面的规则无法生效。如上规则,放在系统里编译,会出现如下错误:

libsepol.report_failure: neverallow on line 681 of sepolicy/private/domain.te violated by allow hal_gnss_default

3. 解决拒绝提供核心服务的问题

3.1 权限过大问题

        要解决这类问题,可以给文件一个更具体的标签,在本例中就是: gnss_device。不需要其他权限,因为hal_gnss_default已经在核心策略中拥有访问 gnss_device 的必要权限。

allow hal_gnss_default gnss_device:chr_file rw_file_perms;

3.2 从file_contents中定义新的label

avc: denied { map } for comm="vendor.demo" path="/dev/__properties__/u:object_r:default_prop:s0" dev="tmpfs" ino=212 scontext=u:r:hal_gnss_default:s0 tcontext=u:object_r:default_prop:s0 tclass=file permissive=1

        从avc信息看,需要配置:

        但如上规则,放在系统里依然无法编译。原因是Google定义了相关规则,不允许按上述方法配置;

处理方案是:

        ①.  在file_contexts文件中新增label,如下图所示;

        ②. 在*.te文件中,通过set_prop/get_prop方法来配置;

        编辑/添加策略和file_contexts后,更新 /device/manufacturer/device-name/BoardConfig.mk 以引用 sepolicy 子目录和每个新策略文件。

        有关 BOARD_SEPOLICY 变量的更多信息,请参见:system/sepolicy/README文件。

BOARD_SEPOLICY_DIRS += \
        <root>/device/manufacturer/device-name/sepolicy

BOARD_SEPOLICY_UNION += \
        genfs_contexts \
        file_contexts \
        sepolicy.te
03-30 03:22