如何解决.te文件中的sepolicy拒绝?
像这样:[ 08-06 18:30:27.029 2267: 2267 I/main ]
type=1400 audit(0.0:219): avc: denied { getattr } for path="/sys/kernel/debug/tracing/trace_marker" dev="debugfs" ino=447 scontext=u:r:zygote:s0 tcontext=u:object_r:debugfs:s0 tclass=file permissive=1
谢谢
为此,您应该将以下内容添加到zygote.te:
allow zygote debugfs:file { getattr };
学习如何修复SEPolicy否认的好指南是https://gist.github.com/MSF-Jarvis/ec52b48eb2df1688b7cbe32bcd39ee5f
使用audit2allow工具
每当您收到拒绝消息时,请将它们保存到某个日志文件中
如果要搜索特定任务,请在转储相关消息时尝试grep其名称
dmesg | grep avc | grep some_task_name > log.txt
然后使用audit2allow工具获取信息
audit2allow < log.txt
audit2allow日志的结果
#============= zygote ==============
allow zygote debugfs:file getattr;
这意味着您应该将允许规则添加到zygote.te
您也可以参考指南here