1、确认是否是selinux 问题
setenforce 0 (临时禁用掉SELinux)
getenforce (得到结果为Permissive)
如果问题消失了,基本可以确认是SELinux造成的权限问题,需要通过正规的方式来解决权限问题。
type=1400 audit(1603165146.056:161): avc: denied { getattr } for pid=2635 comm="busybox" path="/mnt/media_rw" dev="tmpfs" ino=11498 scontext=u:r:lcdparamservice:s0 tcontext=u:object_r:mnt_media_rw_file:s0 tclass=dir permissive=0
scontext = u:r:lcdparamservice
tcontex t= u:object_r:mnt_media_rw_file:s0
tclass = dir
avc: denied { getattr }
得到万能套用公式如下:
在scontext所指的.te文件(例如sdcardd.te)中加入类似如下allowe内容:
allow lcdparamservice mnt_media_rw_file:dir getattr ;
有时候avc denied的log不是一次性暴露所有权限问题,要等解决一个权限问题之后,才会暴露另外一个权限问题。比如提示缺少某个目录的read权限,加入read之后,才显示缺少write权限,要一次次一次试,一次一次加,时间成本极大。 针对dir缺少的任何权限,建议赋予create_dir_perms,基本涵盖对dir的所有权限,比如: { open search write read rename create rmdir getattr }等等。 针对file缺少的任何权限,建议赋予rwx_file_perms,基本涵盖对file的所有权限,比如: 包含{ open read write open execute getattr create ioctl }等等。