Modelo de erro:
avc: negado {ler escrever getattr} para pid = 3944 comm = "handsetpowerlib" name = "xxxx" dev = "tmpfs" ino = 5545 scontext = u: r: AAA : s0: c512, c768 tcontext = u: object_r: BBB : s0 tclass = CCC permissivo = 1
Extração de informação:
Assunto: AAA
Objeto: BBB
Categoria de objeto: CCC
Precisa de permissão de permissão: ler, escrever, getattr
Modificar estratégia:
1. Adicionar um novo tipo de assunto (se não existir) ao arquivo
Adicione AAA .te em devices / vendorxxx / sepolicy / common / :
tipo AAA , domínio, mlstrustedsubject; #mlstrustedsubject depende da situação para decidir se deseja adicionar
tipo AAA _exec, exec_type ,, file_type;
init_daemon_domain ( AAA )
permitir AAA BBB : CCC { ler e escrever getattr };
permitir .....; #Adicionar outro avc: negado
2. Modifique file_contexts
devices / vendorxxx / sepolicy / common / file_contexts 新增 :
/.../AAA u: object_r: AAA_exec: s0 # / ... / AAA é o caminho absoluto de AAA