SEAndroid 缩写与名词解释|极客笔记

SEAndroid相关名词解释和缩写如下：

SEAndroid名词解释

缩写	解释
DAC	Discretionary Access Control，自主访问控制系统
MAC	Mandatory Access Control，强制访问控制系统
SELinux/SEAndroid	Security Enforce for linux / Security Enforce for Android
SContext	SELinux 给每一个文件、进程、属性、服务都给打上一个标签，叫安全上下文（Security Context），也可以理解为附加在对象上的标签（label）；由四部分内容组成：SELinux 用户、SELinux 角色、类型、安全级别；格式为`user:role:type:sensitivity`；在日志中出现的 scontext 为 source context, tcontext 为 target context
Subject/Object	主体：一般指进程；客体：一般指资源(文件，socket，属性， IPC 等
Action	对 Object 做的动作，例如读取、写入或者执行等
CIL	Common Intermediate Language,通用中间语言,CIL 的最终目标是生成将由内核强制执行的策略.将相关策略文件转换成完全忠实地代表内核的语言
Policy	策略,用于制定主体对客体的访问规则
User	用户
Role	角色
Type	类型， selinux 是以 type 为单位进行控制的，可以认为是一个动词，表示为某某设置类型，也可以表示一个个体/单位，比如某个 type
te 文件	Type Enforce 文件：类型强制
non-platform/platform	非平台(如 vendor,odm, oem) 平台(如谷歌编写的核心代码
attributes	属性组或类型组，如 exec_type, file_type,fs_type，vendor_file_type 等. 一般用于将 type 和 attribute 进行关联，若对 attribute 进行 allow 或者 neverallow，那么 type 也就跟着拥有同样的控制策略了，这样可以简化 te 规则的编写
typeattribute	将某个类型个体关连连另外一个属性(权限组), 如:typeattribute platform_app unconfineddomain, 此时 platform_app 就拥有了 unconfineddomain 类型的权限，可以理解为一堆权利(如经理有人事任免，财务审计，采购审批等权限
class	权限类，也是一种组别或集合，侧重于权限行为的集合, 如： class service_manager { add find list } 拥有权限类，就自然拥有权限类中的各个
Security Server	用户空间服务，是一个统称， android 系统里面由 init, zygote,PMS, intalld 共同组成
LSM	Linux security module 内核安全模块，是一个通用的安全策略管理子系统，selinux 作为模块，被 LSM 管理
AVC	Access Vector Cache 用于缓存访问决策结果的，以提升性能