android selinux报avc denied权限和编译报neverallow解决方案

avc: denied { read } for name=“present” dev=“sysfs” ino=42693 scontext=u:r:hal_health_default:s0 tcontext=u:object_r:sysfs:s0 tclass=file permissive=1
denied {xxx}: 表示缺少什么权限
scontext:表示谁缺少权限
tcontext:表示对那些文件缺少权限：
tclass：表示什么文件类型缺少权限
修改公式如下：
通常需要在${scontext}.te添加 allow scontext tcontext:tclass denied
带入内容：修改hal_health_default.te
allow hal_health_default sysfs:fie { read };
allow hal_health_default sysfs:fie { open};

RK平台te文件一般在device/rockchip/common/sepolicy/下 类似上面的修改即可

如果编译时报错 提示

libsepol.report_failure: neverallow on line 444 of system/sepolicy/public/domain.te (or line 12990 of policy.conf) violated by allow tee device:chr_file { read write };
libsepol.check_assertions: 1 neverallow failures occurred
Error while expanding policy

报错原因也比较直接，就是domain域中指明的规则，我们先看下为什么会报错吧
直接打开编译报错中那个domain.te，路径：system/sepolicy/public/domain.te，找到和我们添加的部分，搜索“device:chr_file”，可以找到如下内容了，看一下就明白了，不允许我们这样修改了。

# Don't allow raw read/write/open access to generic devices.
# Rather force a relabel to a more specific type.
neverallow domain device:chr_file { open read write };

以下是实例，我这边提示system_app权限异常

avc: denied { read } for name="u:object_r:serialno_prop:s0" dev="tmpfs" ino=12228 scontext=u:r:system_app:s0 tcontext=u:object_r:serialno_prop:s0 tclass=file permissive=1

在device/rockchip/common/sepolicy/system_app.te下修改

allow system_app serialno_prop:file { open read getattr };

提示neverallow错误 找到对应的domain.te

system/sepolicy/public/domain.te

# a few whitelisted domains.
neverallow {domain-adbd-dumpstate-hal_drm-hal_cas-init-mediadrmserver-recovery-shell-system_server
} serialno_prop:file r_file_perms;

查看到serialno_prop:file，其实直接将domain修改为-domain即可

neverallow {-domain-adbd-dumpstate-hal_drm-hal_cas-init-mediadrmserver-recovery-shell-system_server
} serialno_prop:file r_file_perms;