Android11 SELinux：avc:denied { read } for name=“cache“ dev=“dm-4“ ino=16 scontext=u:r:system_app等报错

最新推荐文章于 2025-06-06 15:33:23 发布

奔跑滴小羊

最新推荐文章于 2025-06-06 15:33:23 发布

阅读量3.9k

点赞数 1

CC 4.0 BY-SA版权

分类专栏： android11-mtk6761 文章标签： android r语言

本文链接：https://blog.csdn.net/lwz622/article/details/120186338

android11-mtk6761 专栏收录该内容

15 篇文章

订阅专栏

本文介绍了如何分析和解决Android系统中由于SELinux策略导致的AVC denied错误，通过在特定的.te文件中添加权限允许规则，确保system_app和其他进程对特定文件的读取和设置属性权限。遵循错误日志，定位受影响的文件类型和上下文，然后在设备策略文件中进行修正。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

(1) avc: denied { read } for name="cache" dev="dm-4" ino=16 scontext=u:r:system_app:s0 tcontext=u:object_r:cache_file:s0 tclass=lnk_file permissive=0

分析过程：

缺少什么权限： { read }权限，

谁缺少权限： scontext=u:r:system_app:s0

对哪个文件缺少权限：tcontext=u:object_r:cache_file:s0

什么类型的文件： tclass=lnk_file

permissive=0 : 权限拒绝

完整的意思： system_app进程对cache_file类型的lnk_file缺少read权限。

解决的方法：

缺什么权限补什么，一步一步补到没有avc denied为止。

解决权限问题需要修改的权限文件如下位置，以.te结尾

device/mediatek/sepolicy/bsp/non_plat/system_app.te

device/mediatek/sepolicy/basic/non_plat/system_app.te

device/mediatek/sepolicy/basic/plat_private/system_app.te

device/mediatek/sepolicy/bsp/non_plat/system_app.te

device/mediatek/sepolicy/bsp/plat_private/system_app.te

在以上的路径文件中，加入以下代码

allow system_app cache_file:lnk_file read;

（2）avc: denied { read } for name="cache" dev="dm-4" ino=16 scontext=u:r:uncrypt:s0 tcontext=u:object_r:cache_file:s0 tclass=lnk_file permissive=0

解决思路同（1）：只是在找到的不同路径文件中，加入以下代码

allow uncrypt cache_file:lnk_file read;

（3）avc: denied { setattr } for name="uncrypt_file" dev="dm-9" ino=6587 scontext=u:r:system_app:s0 tcontext=u:object_r:cache_recovery_file:s0 tclass=file permissive=0

解决思路同（1）：只是在找到的不同路径文件中，加入以下代码

allow system_app cache_recovery_file:file setattr;

能在device中找到的.te文件尽量在其中添加selinux权限，而不是改变system下的selinux权限

感谢大佬的博文指导：https://blog.csdn.net/tung214/article/details/72734086

https://www.freesion.com/article/6573116485/