[参考译文] AM62A7-Q1：SDK9.2支持 SELinux

嗨、专家：

如何在 SELinux 强制模式中解决以下问题：

[失败]未能收听日记审计 Socker

[失败]启动同步系统和硬件时钟失败

file_deref_link：   /sys/bus/platform/devices/78000000.r5f 的 readlink 失败

Shawn

10.1 (6.6内核+ Yocto Scarthgap 组合)是首次验证 SELinux。

建议先切换基线以开始任何实验。 执行此处提供的步骤。  

https://texasinstruments.github.io/processor-sdk-doc/processor-sdk-linux-AM62AX/esd/docs/10_01_00/linux/Foundational_Components / System_Security / SELinux.html 

您可以从这里看到。  

https://git.ti.com/cgit/arago-project/oe-layersetup/tree/configs/arago-scarthgap-selinux-config.txt#n7 

和

https://git.yoctoproject.org/meta-arago/commit/?h=scarthgap&id=ea02bcb375e63257efd2e239fc2db94af67262d7 

存在一些分布层更改来修补 SELinux  

9.2 (6.1内核+ Yocto Kirkstone 组合)不是我们尝试过的有效组合,也不能指导问题所在的位置。  

嗨、专家：

有 AVC 日志,我们认为你需要添加一些策略：

第316行：[ 12月25日04：43：56 2024]审核：type=1400审核(1709054764.656：3)：AVC：对于 pid=1 comm="systemd" capacity=37 scontext=system_u:system_r:kernel_t:s0 tcontext=system_r:kernel_t:s0 tclass=permission、拒绝｛audit_r:kernel_t:s0 tclass=1
第332行：[Wed Dec 25 04：43：57 2024]审核：type=1400审核(1709054764.752：4)：AVC：拒绝｛MODULE_LOAD｝for pid=161 comm="modprobe" path="mmcblk0p6" ino=3260 scontext=system_r:kernel_t:s0：t0：t0 /usr/lib/modules/6.1.80/kernel/fs/fuse/fuse.ko dev="mmcblk0p6" ino=3260 scontext=system_u=system_u:system_rt_orient=0
行/usr/lib/systemd/system/graphical.target 内容：[Wed Dec 25 04：44：00 2024]审核：type=1107审核(1735101840.336：38)：pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:kernel_t:s0 ms='AVC：denied｛status｝for auid=n/a 229494967295 ses=4294967295 subj=system_u_u:system_u_u_r:web=d=d=d_s=ducle_y=d_y=d_s=d=d_sid_s=d=d=d=duce_sid_s=d=d=d=d=d=d_sid_sid_web=d=d=d="/usr/lib/systemd/systemd 地址=？ 终端=？'
第454行：[Wed Dec 25 04：44：01 2024]审核：type=1400审核(1735101841.096：45)：AVC：denied｛checkpoint_restore｝for pid=327 comm="agetty" capacity=40 scontext=system_u:system_r:kernel_t:s0 tcontext=system_u:system_r:kernel_t:s0 t=capability2=1
第455行：[Wed Dec 25 04：44：01 2024]审核：type=1400审核(1735101841.096：44)：AVC：拒绝｛checkpoint_restore｝for pid=328 comm="agetty" capacity=40 scontext=system_u:system_r:kernel_t:s0 tcontext=system_u:system_r:kernel_t:s0 t=capability2=1
第3468行：[ 12月25日04：56：11 2024年]审核：type=1400审核(1735102571.272：48)：AVC：拒绝｛转换｝对于 pid=925 comm="login" path="mmcblk0p6"/usr/bin/bash.bash dev="mmcblk0p6" ino=1074 scontext=system_u:system_r:kernel_t:s0 t=unconfined class_t=unconstrained process
第3469行：[Wed Dec 25 04：56：11 2024]审核：type=1400审核(1735102571.272：48)：AVC：denied｛entypoint｝for pid=925 comm="login" path="mmcblk0p6" ino=1074 scontext=unconstined_u:unconstined_r:unconstined_r:unconstined_t:unconstined_t:ent_text=0：/usr/bin/bash.bash