SELinux规则与语法

更新时间：2025-03-31

基础概念

简介

SELinux开发目的旨在增强Linux系统的安全性。它是一种强制访问控制（MAC）系统，通过为进程和文件分配安全上下文，确保每个进程只能访问其所需资源，从而防止资源误用和潜在的安全威胁‌。

工作模式

• Enforcing：强制执行安全策略
• Permissive：仅记录不拦截（调试模式）
• Disabled：完全禁用

核心概念

• Domain：进程的上下文标签（如 init、system_server）
• Type：文件/资源的上下文标签（如 device、app_data_file）
• Context：完整安全标签格式：user:role:type:sensitivity

策略文件位置

/system/etc/selinux/        # 公共策略
/vendor/etc/selinux/        # 厂商策略
/odm/etc/selinux/           # 设备定制策略

查看与分析

ls -Z		# 查看文件上下文
ps -Z		# 查看进程上下文
allow st tt:<class> <permissions>;	#基本格式
adb logcat | grep "avc: denied"		#查看权限拒绝日志