[FAQ15571][SELinux] Android M 版本后进程无法访问直接访问data 目录的说明-天川一水-ChinaUnix博客

天川一水的ChinaUnix博客

首页　| 　博文目录　| 　关于我

天川一水

博客访问： 1371699
博文数量： 478
博客积分： 0
博客等级：民兵
技术积分： 4833
用户组：普通用户
注册时间： 2014-06-28 11:12

文章分类

全部博文（478）

Git（1）
Camera（8）
高通平台资料（3）
VIM终端操作指令（2）
Tools（8）
Selinux（4）
LCD（8）
MIPI（3）
DTS（2）
按键配置-key（1）
Andriod编译环境（9）
驱动知识（3）
ARM（2）
I2C驱动和协议（3）
面试题（1）
TP驱动（12）
Root（1）
Python（2）
Android 预（2）
adb指令（2）
MTK文档密码（1）
系统属性（1）
Android Log（3）
Android开发规范（4）
apk反编译（1）
Java知识点（6）
C/C++知识点（5）
IPO-快速开机（4）
makefile相关知识（6）
Android Sel（6）
关机流程（2）
关机动画（2）
Android签名（4）
重启不开机（5）
不开机（3）
不开机问题分析（1）
Meta模式（2）
如何单编译某个模（1）
Fastboot（1）
Recovery（71）
开机动画（11）
关机动画（2）
Linux常用工具安（1）
展讯平台联系人方（1）
MTK 联系人（2）
工作解决的问题（26）
工作解决的问题（6）
开机加速（24）

重启问题（2）
Android log（10）
Linux配置工具（2）
Java（4）
Android（181）

关机（1）

死机问题快速分析（11）

preloader,lk,ker（1）

Recovery（22）

FAQ（73）

Android 遇（1）

开机加速（7）

编译（4）

Intent（3）

Intent（1）
STM32（1）
未分配的博文（1）

文章存档

2019年（1）

2018年（27）

2017年（21）

2016年（171）

2015年（258）

我的朋友

内容

[Description]
[SELinux] Android M 版本后进程无法访问直接访问data 目录的说明

[Keyword]
SELinux, data, 拒绝, permission denied, 安全 , security

[Version]
android >= 6.0

[Solution]
Google 在android M 版本后, 通过SELinux 的neverallow 语法强制性限制了普通进程访问data 目录的权限. 严禁除init system_server installd system_app 之外的其他进程直接操作/data 目录比如在data 目录下面创建文件，写文件，重命名文件等等.

有很多客户都会在data 目录下创建文件, 保存资讯, 在M 版本上这个操作会被SELinux 直接拦截下来，并且没法直接添加访问system_data_file 的权限, 需要按下面的流程操作。
(1). 在init.rc 或者其他的init.xxx.rc 的on post-fs-data 段添加:
mkdir /data/xxxx 0770 root system

(2). 在/device/mediatek/common/sepolicy/file.te 里面添加：
type xxxx_data_file, file_type, data_file_type;

(3). /device/mediatek/common/sepolicy/file_contexts 里面添加：
/data/xxxx(/.*)? u:object_r:xxxx_data_file:s0

(4). 给你的进程添加权限, 比如你的进程的SELinux domain 是 yyyy
allow yyyy xxxx_data_file:dir create dir_perms;
allow yyyy xxxx_data_file:file create_file_perms;

这样你才能绕过Google 的设置. 这个xxxx 目录随你定义.

阅读(2107) | 评论(0) | 转发(0) |

上一篇：[FAQ13324]SELinux 常见问题汇总

下一篇：[FAQ11486][SELinux Policy] 如何设置SELinux 策略规则 ?

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6