untrusted_app启动不了是被SELinux的MLS挡住了。把ump_device加入mlstrustedobject就可以了。
至此,SEAndroid设为enforce状态,手机工作基本正常了。从Audit.log中还能看到一些零星错误。完全去除还需要细致地工作。
sepolicy可以动态加载,其它配置文件(file_context、seapp_context、mac_permission.xml)呢?这是下一步的一个方向。
静态改变需要解开CM的zip文件,加入改过的配置文件,签名,再打包(zip -r ../new.zip *)。
SEAndroid能干什么呢?我试了简单的设置变量,限制某些功能。下面可以研究一下Intent Firewall和Eops,做隔离和权限控制。