2016-06-22 19 views
1

Auf AOSP bauen, erhalte ich folgende avc Nachrichten verweigert,avc verweigert auch mit der richtigen Politik hinzugefügt

01-01 00:01:28.600 1458-1458/? W/iw﹕ type=1400 audit(0.0:5): avc: denied { create } for scontext=u:r:system_app:s0 tcontext=u:r:system_app:s0 tclass=netlink_socket permissive=0 
01-01 00:01:28.660 1460-1460/? W/ndc﹕ type=1400 audit(0.0:6): avc: denied { write } for name="netd" dev="tmpfs" ino=1575 scontext=u:r:system_app:s0 tcontext=u:object_r:netd_socket:s0 tclass=sock_file permissive=0 
01-01 00:01:28.720 1461-1461/? W/ndc﹕ type=1400 audit(0.0:7): avc: denied { write } for name="netd" dev="tmpfs" ino=1575 scontext=u:r:system_app:s0 tcontext=u:object_r:netd_socket:s0 tclass=sock_file permissive=0 
01-01 00:01:28.790 1462-1462/? W/ndc﹕ type=1400 audit(0.0:8): avc: denied { write } for name="netd" dev="tmpfs" ino=1575 scontext=u:r:system_app:s0 tcontext=u:object_r:netd_socket:s0 tclass=sock_file permissive=0 
01-01 00:01:28.860 1463-1463/? W/ndc﹕ type=1400 audit(0.0:9): avc: denied { write } for name="netd" dev="tmpfs" ino=1575 scontext=u:r:system_app:s0 tcontext=u:object_r:netd_socket:s0 tclass=sock_file permissive=0 

die audit2allow Verwendung Ich habe folgende

allow system_app netd_socket:sock_file write; 
allow system_app self:netlink_socket create; 

Ich habe das gleiche zu device/<vendor-path>/sepolicy/system_app.te hinzugefügt Auch ausgeschlossen System App von neverallow Politik wie folgt in external/sepolicy/app.te

neverallow { appdomain -system_app } 
    self:{ 
     netlink_socket 
     netlink_firewall_socket 
     netlink_tcpdiag_socket 
     netlink_nflog_socket 
     netlink_xfrm_socket 
     netlink_audit_socket 
     netlink_ip6fw_socket 
     netlink_dnrt_socket 
    } *; 

Aber immer noch die gleiche Berechtigung verweigert avc Protokolle.

+0

Erhalten Sie nach dem Ändern der te-Dateien die gleichen Audit-Fehler? – odexcide

+0

@odexzid, Ja. – nmxprime

+0

Wie werden Sie neu erstellt und bereitgestellt? Es könnte sich lohnen, die Größe/Prüfsumme von '/ sepolicy' auf dem Gerät zu prüfen, um sicherzustellen, dass Ihre Änderungen an die initramfs weitergegeben werden. – odexcide

Antwort

0

Sie können nichts falsches von Ihrer Änderung sehen. Angenommen, deine Sepolicy-Änderung würde nicht zum Kernel führen.
pls versuchen kernelclean und den Wiederaufbau Kernel machen, vim in der folgenden Datei:

out/target/product/xxxx/obj/ETC/sepolicy_intermediates/policy.conf 

das All sepolicy im policy.conf sollte, Ihr neues Hinzufügen Politik grep zu überprüfen, ob es in den Kernel kompiliert worden ist.