如何修复.te文件中的sepolicy拒绝?
喜欢这个:[ 08-06 18:30:27.029 2267: 2267 I/main ]
type=1400 audit(0.0:219): avc: denied { getattr } for path="/sys/kernel/debug/tracing/trace_marker" dev="debugfs" ino=447 scontext=u:r:zygote:s0 tcontext=u:object_r:debugfs:s0 tclass=file permissive=1
由于
答案 0 :(得分:0)
为此,您应该将以下内容添加到zygote.te:
allow zygote debugfs:file { getattr };
了解如何修复SEPolicy拒绝的好指南是https://gist.github.com/MSF-Jarvis/ec52b48eb2df1688b7cbe32bcd39ee5f
答案 1 :(得分:0)
使用audit2allow工具
每当收到拒绝消息时,请将它们保存到某些日志文件中
如果要搜索特定任务,请在转储相关消息时尝试grep它的名称
dmesg | grep avc | grep some_task_name > log.txt
然后使用audit2allow工具获取信息
audit2allow < log.txt
您的日志的audit2allow结果
#============= zygote ==============
allow zygote debugfs:file getattr;
这意味着您应该将允许规则添加到 zygote.te
您还可以参考指南here