1、确认是否是selinux 问题

setenforce 0 (临时禁用掉SELinux)

getenforce  (得到结果为Permissive)

如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。

type=1400 audit(1603165146.056:161): avc: denied { getattr } for pid=2635 comm="busybox" path="/mnt/media_rw" dev="tmpfs" ino=11498 scontext=u:r:lcdparamservice:s0 tcontext=u:object_r:mnt_media_rw_file:s0 tclass=dir permissive=0

 

scontext = u:r:lcdparamservice

tcontex t= u:object_r:mnt_media_rw_file:s0

tclass = dir

avc: denied { getattr }

 

得到万能套用公式如下:

在scontext所指的.te文件(例如sdcardd.te)中加入类似如下allowe内容:

allow  lcdparamservice mnt_media_rw_file:dir  getattr ;

有时候avc denied的log不是一次性暴露所有权限问题,要等解决一个权限问题之后,才会暴露另外一个权限问题。比如提示缺少某个目录的read权限,加入read之后,才显示缺少write权限,要一次次一次试,一次一次加,时间成本极大。
针对dir缺少的任何权限,建议赋予create_dir_perms,基本涵盖对dir的所有权限,比如:
{ open search write read rename create rmdir getattr }等等。
针对file缺少的任何权限,建议赋予rwx_file_perms,基本涵盖对file的所有权限,比如:
包含{ open read write open execute getattr create ioctl }等等。

Logo

更多推荐