SeAndroid上指纹系统的权限说明
1.什么是SeAndroid
SEAndroid 美国国家安全局在2012年1月发布SEAndroid开源项目和代码,使Android系统支持强制访问控制(Mandatory Access Control)以增加系统安全性。
Android从4.4开始支持SeAndroid,并默认关闭。
Android5.0及以上默认开启SeAndroid,adb shell下使用命令
#getenforce
查看当前的Se状态,使用命令
#setenforce 0
使当前系统Se处于permissive状态,该状态下,违反SeAndroid规则的越权资源访问将不予拒绝执行,系统仅发出日志输出。
使用命令
setenforce 1
使系统处于enforcing状态下,该状态下,违反SeAndroid规则的越权资源访问均被拒绝。
以上的设置命令时暂时关闭,系统重启后将被恢复。
系统启动参数中加入[selinux=enforcing | selinux=permissive | selinux=disable]可以永久的设置系统SeAndroid状态,或者将命令seenforce n 写入系统启动脚本中。
2.SeAndroid的策略
SeAndroid除了传统的DAC(自主访问控制),另外加了一层权限检查MAC(强制访问控制),任何进程想在SeAndroid中干任何事情,都必须先在【安全策略配置文件】中赋予权限。范式美柚出现在安全策略配置文件中的权限,进程就没有该权限,操作时均被操作系统拒绝。
3.指纹系统的DAC控制
应用程序app以用户权限运行,则需要赋予其设备访问权限。具体操作方法:
修改Android源码下