Android SELinux语法

在 SELinux 中，标签采用以下形式：user:role:type:mls_level，其中 type 是访问决定的主要组成部分，可通过构成标签的其他组成部分进行修改。对象会映射到类，对每个类的不同访问类型由权限表示。

政策规则采用以下形式：allow domains types:classes permissions;，其中：

Domain - 一个进程或一组进程的标签。也称为域类型，因为它只是指进程的类型。
Type - 一个对象（例如，文件、套接字）或一组对象的标签。
Class - 要访问的对象（例如，文件、套接字）的类型。
Permission - 要执行的操作（例如，读取、写入）。 

使用政策规则时将遵循的结构示例：

allow appdomain app_data_file:file rw_file_perms;

这表示所有应用域都可以读取和写入带有 app_data_file 标签的文件。请注意，该规则依赖于在 global_macros 文件中定义的宏，您还可以在 te_macros 文件中找到一些其他非常实用的宏。其中提供了一些适用于常见的类、权限和规则分组的宏。应尽可能使用这些宏，以便降低因相关权限被拒而导致失败的可能性。这些宏文件位于 system/sepolicy 目录中。在 Android 8.0 及更高版本中，它们位于 public 子目录中（其中包含其他受支持的公共 sepolicy）。

除了在规则中逐个列出域或类型之外，还可以通过属性引用一组域或类型。简单来说，属性是一组域或类型的名称。每个域或类型都可以与任意数量的属性相关联。当编写的规则指定了某个属性名称时，该名称会自动扩展为列出与该属性关联的所有域或类型。例如，domain 属性与所有进程域相关联，file_type 属性与所有文件类型相关联。

使用上述语法可以创建构成 SELinux 政策基本内容的 avc 规则。规则采用以下形式：

RULE_VARIANT SOURCE_TYPES TARGET_TYPES : CLASSES PERMISSIONS

该规则指明了，当带有任何 source_types 标签的主体尝试对包含任何 classes 类且带有 target_types 标签的对象执行与任何 permissions 对应的操作时，应该发生什么情况。这些规则的一个最常见示例是 allow 规则，例如：

allow domain null_device:chr_file { open };

该规则允许具有与 domain 属性关联的任何 domain 的进程对 target_type 标签为 null_device 的 class chr_file（字符设备文件）的对象执行 permission open 所描述的操作。在实践中，该规则可能会扩展为包含其他权限：

allow domain null_device:chr_file { getattr open read ioctl lock append write};

当了解到 domain 是分配给所有进程域的属性，并且 null_device 是字符设备 /dev/null 的标签时，该规则基本上会允许对 /dev/null 进行读写操作。

一个 domain 通常对应一个进程，而且具有与其关联的标签。

例如，典型的 Android 应用会在自己的进程中运行，并且具有 untrusted_app 标签（用于向其授予特定受限权限）。

系统中内置的平台应用会以单独的标签运行，并会被授予一组不同的权限。作为核心 Android 系统的一部分，系统 UID 应用以表示另一组权限的 system_app 标签运行。

在任何情况下，都不应直接允许域访问以下通用标签；而应为一个或多个对象创建一个更具体的类型：

socket_device
device
block_device
default_service
system_data_file
tmpfs