如何修复sepolicy拒绝?

时间:2017-08-06 15:56:47

标签: android selinux device-tree

如何修复.te文件中的sepolicy拒绝?

喜欢这个:[ 08-06 18:30:27.029 2267: 2267 I/main ] type=1400 audit(0.0:219): avc: denied { getattr } for path="/sys/kernel/debug/tracing/trace_marker" dev="debugfs" ino=447 scontext=u:r:zygote:s0 tcontext=u:object_r:debugfs:s0 tclass=file permissive=1

由于

2 个答案:

答案 0 :(得分:0)

为此,您应该将以下内容添加到zygote.te:

allow zygote debugfs:file { getattr };

了解如何修复SEPolicy拒绝的好指南是https://gist.github.com/MSF-Jarvis/ec52b48eb2df1688b7cbe32bcd39ee5f

答案 1 :(得分:0)

使用audit2allow工具

每当收到拒绝消息时,请将它们保存到某些日志文件中

如果要搜索特定任务,请在转储相关消息时尝试grep它的名称

dmesg | grep avc | grep some_task_name > log.txt

然后使用audit2allow工具获取信息

audit2allow < log.txt

您的日志的audit2allow结果

#============= zygote ==============
allow zygote debugfs:file getattr;

这意味着您应该将允许规则添加到 zygote.te

您还可以参考指南here