Android系统10 RK3399 init进程启动(二十) SEAndroid 缩写与名词解释

Discretionary Access Control，自主访问控制系统

Mandatory Access Control，强制访问控制系统

Security Enhanced for linux

Security Enhanced for Android

SELinux给每一个文件、进程、属性、服务都给打上一个标签，叫安全上下文（Security Context），也可以理解为附加在对象上的标签（label）

由四部分内容组成：SELinux用户、SELinux角色、类型、安全级别

格式为“user:role:type:sensitivity”

在日志中出现的scontext为source context, tcontext为target context

主体：一般指进程

客体： 一般指资源(文件，socket，属性， IPC等)

对Object做的动作，例如 读取、写入或者执行等等

Common Intermediate Language,通用中间语言,CIL 的最终目标是生成将由内核强制执行的策略.将相关策略文件转换成完全忠实地代表内核的语言。

策略,用于制定主体对客体的访问规则

用户

角色

类型， selinux是以type为单位进行控制的， 可以认为是一个动词， 表示为某某设置类型， 也可以表示一个个体/单位， 比如某个type具有什么权限。

Type Enforce文件： 类型强制文件

非平台(如vendor,odm, oem)

平台(如谷歌编写的核心代码)

翻译成属性组或类型组， 如exec_type, file_type,fs_type，vendor_file_type等.一般用于将type和attribute进行关联， 若对attribute进行allow或者neverallow， 那么type也就跟着拥有同样的控制策略了，这样可以简化te规则的编写。

将某个类型个体关连连另外一个属性(权限组),

如:typeattribute platform_app unconfineddomain,

此时platform_app就拥有了unconfineddomain类型的权限，可以理解为一堆权利(如经理有人事任免，财务审计， 采购审批等权限)

权限类， 也是一种组别或集合， 侧重于权限行为的集合, 如：

class service_manager { add find list }

拥有权限类， 就自然拥有权限类中的各个权限。

用户空间服务， 是一个统称， android系统里面由init, zygote,PMS, intalld共同组成， 负责对

Linux security module 内核安全模块， 是一个通用的安全策略管理子系统， selinux作为模块，被LSM管理。