如何根据log 信息修改SELinux 权限

当出现 SELinux 权限不足时，可根据LOG 信息提示进行相应的修改。下面介绍如何根据 kernel log 来查看信息

1. disable selinux

在终端下

su
setenforce 0

该操作主要是为了禁用系统SELinux，让权限暂时通过。但是依然是会输出 SELinux 校验时的LOG。后面根据输出的LOG 进行相应的处理。

2. 查看kernel log

复现问题，导出 kernel log.

或者 adb shell su 之后输入 cat /dev/kmsg | grep avc 在控制台输出关键信息

kernel 日志的输出在 /dev/kmsg 节点下，avc 是 SELinux 打印的信息

如：

5,4978,791423968,-;audit: type=1400 audit(1556096333.959:26): avc:  denied  { write } for  pid=5106 comm="Log_LogStrategy" name="Logs_Collector" dev="mmcblk0p40" ino=16321 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=1
5,4979,791424019,-;audit: type=1400 audit(1556096333.959:27): avc:  denied  { add_name } for  pid=5106 comm="Log_LogStrategy" name="amefrktoukgokiph_20190424165853.zip" scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=1
5,4980,791424176,-;audit: type=1400 audit(1556096333.959:28): avc:  denied  { create } for  pid=5106 comm="Log_LogStrategy" name="amefrktoukgokiph_20190424165853.zip" scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_file:s0 tclass=file permissive=1
5,4981,791425437,-;audit: type=1400 audit(1556096333.959:29): avc:  denied  { write } for  pid=5106 comm="Log_LogStrategy" path="/data/Logs_Collector/amefrktoukgokiph_20190424165853.zip" dev="mmcblk0p40" ino=16331 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_file:s0 tclass=file permissive=1
5,4982,797691545,-;audit: type=1400 audit(1556096340.229:30): avc:  denied  { remove_name } for  pid=5086 comm="xtc.systemagent" name="amefrktoukgokiph_20190424165853.zip" dev="mmcblk0p40" ino=16331 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_file:s0 tclass=dir permissive=1
5,4983,797691614,-;audit: type=1400 audit(1556096340.229:31): avc:  denied  { rename } for  pid=5086 comm="xtc.systemagent" name="amefrktoukgokiph_20190424165853.zip" dev="mmcblk0p40" ino=16331 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_file:s0 tclass=file permissive=1
5,4984,797693717,-;audit: type=1400 audit(1556096340.229:32): avc:  denied  { unlink } for  pid=5086 comm="xtc.systemagent" name="1556096340234" dev="mmcblk0p40" ino=16331 scontext=u:r:system_app:s0 tcontext=u:object_r:system_data_file:s0 tclass=file permissive=1

3. 修改te 文件

• 3.1 找到对应的domain

如：

scontext=u:r:system_app:s0

domain 为 system_app， 所以需要修改 system/sepolicy/system_app.te 文件

• 3.2 找到 target 和 Object Class

如：

tcontext=u:object_r:system_data_file:s0 tclass=dir

target 为 system_data_file, object class 为 dir

• 3.3 找到缺失的权限

如：

denied  { add_name }

缺失的权限为： add_name

• 3.4 最后整合整个缺失的权限，统一处理

最后针对上面的权限提示修改的 system/sepolicy/system_app.te 为，增加如下内容：

allow system_app system_data_file:dir { add_name remove_name rw_dir_perms };
allow system_app system_data_file:file { create rename unlink rw_file_perms };

格式(分号结尾)

allow scontext tcontext:tclass { perm };

4. 检查是否违反了 neverallow

可以先进行尝试编译，若有违反 neverallow 的 SELinux 定义，会编译不通过，同时会提示哪个 te 文件中定义的 neverallow 冲突了。

如上面的修改会导致 system/sepolicy/app.te 文件中的 neverallow 规则有冲突。

原先冲突的 nerverallow 定义为：

# Write to system-owned parts of /data.
# This is the default type for anything under /data not otherwise
# specified in file_contexts.  Define a different type for portions
# that should be writable by apps.
neverallow { appdomain} system_data_file:dir_file_class_set
    { create write setattr relabelfrom relabelto append unlink link rename };

这里定义了不允许 system_data_file 的 target 进行 create write unlink 等操作

此时解决方法是，需要过滤去除掉我们需要的 domain

进行修改如下：

neverallow { appdomain -system_app }
    system_data_file:dir_file_class_set
    { create write setattr relabelfrom relabelto append unlink link rename };

加上 -system_app 的排除语法。

5. 重编系统

至此根据 kernel log 信息提取权限完成，重新编译系统。