SELinux配置:如何授权Android应用访问硬件设备
嘿,我刚好折腾过类似的Android硬件集成+SELinux权限问题,给你一步步捋清楚怎么解决:
首先得搞清楚SELinux到底拒了啥——你只提到“den...”,完整的报错信息是精准解决问题的核心,先把这个拿到手:
1. 获取完整的SELinux拒绝日志
用adb抓实时日志:
adb logcat | grep avc:或者直接查看SELinux缓存的审计记录(需要设备有root权限):
adb shell cat /sys/fs/selinux/avc/cache你会拿到类似这样的完整报错:
avc: denied { read write } for pid=1234 comm="com.your.app.name" name="your_device_node" dev="tmpfs" ino=5678 scontext=u:r:untrusted_app:s0:c123,c456 tcontext=u:object_r:default_android:s0 tclass=chr_file permissive=0
这里的关键信息:
scontext是你的应用安全上下文,tcontext是硬件设备节点的上下文,tclass是资源类型(比如字符设备是chr_file),还有被拒绝的具体权限(read/write/ioctl等)。
2. 给硬件设备节点设置匹配的SELinux上下文
先看看你的设备节点当前的上下文:
adb shell ls -Z /dev/your_device_node
如果它的上下文是u:object_r:default_android:s0这类和应用不兼容的类型,就得调整:
临时测试(重启失效)
先临时改上下文验证是否有效:
adb shell chcon u:object_r:vendor_device:s0 /dev/your_device_node
改完启动APP试试,如果能正常访问,说明问题出在上下文不匹配,接下来做永久配置。
永久配置上下文规则
找到设备上的SELinux文件上下文配置文件(通常在/vendor/etc/selinux/vendor_file_contexts或/system/etc/selinux/system_file_contexts,看你设备节点的路径),添加一行:
/dev/your_device_node u:object_r:vendor_device:s0
然后重新加载规则:
adb shell restorecon /dev/your_device_node
重启设备后,节点的上下文就会自动保持这个设置了。
3. 添加SELinux权限允许策略(如果上下文调整后还报错)
要是改完上下文还是被拒,就得给SELinux加一条允许应用访问设备的规则:
编写TE(类型强制)规则文件,比如叫
my_hardware.te:# 允许普通应用访问vendor_device类型的字符设备,权限按需调整 allow untrusted_app vendor_device:chr_file { read write ioctl };注意:如果你的APP是系统应用,把
untrusted_app换成system_app;权限列表根据你之前拿到的报错调整,缺啥加啥。把TE文件编译成二进制策略:
checkpolicy -M -o my_hardware.pp my_hardware.te推到设备上加载测试:
adb push my_hardware.pp /data/local/tmp/ adb shell semodule -i /data/local/tmp/my_hardware.pp测试生效后,把
my_hardware.pp放到设备的/vendor/etc/selinux/或/system/etc/selinux/目录,让系统启动时自动加载。
4. 最终验证
重启设备,先确认SELinux处于强制模式:
adb shell getenforce
返回Enforcing就对了,然后启动APP,应该就能正常访问硬件设备了。
如果是定制ROM或者有厂商支持,把这些规则整合到系统默认的SELinux策略里会更稳定。
内容的提问来源于stack exchange,提问作者Jean-Marc
