SELinux

 

android\system\sepolicy\

 

 

一 SELinux背景知识

1.  DAC和MAC

 

SELinux出现之前，Linux上的安全模型叫DAC，全称是Discretionary Access Control，翻译为自主访问控制。DAC的核心思想很简单，就是：

• 进程理论上所拥有的权限与执行它的用户的权限相同。比如，以root用户启动Browser，那么Browser就有root用户的权限，在Linux系统上能干任何事情。

显然，DAC太过宽松了，所以各路高手想方设法都要在Android系统上搞到root权限。那么SELinux如何解决这个问题呢？原来，它在DAC之外，设计了一个新的安全模型，叫MAC（Mandatory Access Control），翻译为强制访问控制。MAC的处世哲学非常简单：即任何进程想在SELinux系统中干任何事情，都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限，进程就没有该权限

 

 

 

/*

  from external/sepolicy/netd.te

 下面这条SELinux语句表示 允许（allow ）netd域（domain）中的进程  ”写（write）“ 

 类型为proc的文件

 注意，SELinux中安全策略文件有自己的一套语法格式，下文我们将详细介绍它

*/

allow netd proc:file write