SEAndroid相关名词解释和缩写如下:
缩写 | 解释 |
---|---|
DAC | Discretionary Access Control,自主访问控制系统 |
MAC | Mandatory Access Control,强制访问控制系统 |
SELinux/SEAndroid | Security Enforce for linux / Security Enforce for Android |
SContext | SELinux 给每一个文件、进程、属性、服务都给打上一个标签,叫安全上下文(Security Context),也可以理解为附加在对象上的标签(label); 由四部分内容组成:SELinux 用户、SELinux 角色、类型、安全级别 ;格式为user:role:type:sensitivity ; 在日志中出现的 scontext 为 source context, tcontext 为 target context |
Subject/Object | 主体:一般指进程;客体: 一般指资源(文件,socket,属性, IPC 等 |
Action | 对 Object 做的动作,例如 读取、写入或者执行等 |
CIL | Common Intermediate Language,通用中间语言,CIL 的最终目标是生成将由内核强制 执行的策略.将相关策略文件转换成完全忠实地代表内核的语言 |
Policy | 策略,用于制定主体对客体的访问规则 |
User | 用户 |
Role | 角色 |
Type | 类型, selinux 是以 type 为单位进行控制的, 可以认为是一个动词, 表示为某某 设置类型, 也可以表示一个个体/单位, 比如某个 type |
te 文件 | Type Enforce 文件: 类型强制 |
non-platform/platform | 非平台(如 vendor,odm, oem) 平台(如谷歌编写的核心代码 |
attributes | 属性组或类型组, 如 exec_type, file_type,fs_type,vendor_file_type 等. 一 般 用 于 将 type 和 attribute 进 行 关 联 , 若 对 attribute 进 行 allow 或 者 neverallow, 那么 type 也就跟着拥有同样的控制策略了,这样可以简化 te 规则的编写 |
typeattribute | 将某个类型个体关连连另外一个属性(权限组), 如:typeattribute platform_app unconfineddomain, 此时 platform_app 就拥有了 unconfineddomain 类型的权限,可以理解为一堆权利(如 经理有人事任免,财务审计, 采购审批等权限 |
class | 权限类, 也是一种组别或集合, 侧重于权限行为的集合, 如: class service_manager { add find list } 拥有权限类, 就自然拥有权限类中的各个 |
Security Server | 用户空间服务, 是一个统称, android 系统里面由 init, zygote,PMS, intalld 共 同组成 |
LSM | Linux security module 内核安全模块,是一个通用的安全策略管理子系统,selinux 作为模块,被 LSM 管理 |
AVC | Access Vector Cache 用于缓存访问决策结果的, 以提升性能 |