如何给出SEAndroid进程域

Question

我一直在寻找SEAndroid，我一直在努力了解如何给出一个流程域。

到目前为止，我得到的是在init.rc文件中，在一些服务声明下，有一个名为seclabel的标记：

service adbd /sbin/adbd --root_seclabel=u:r:su:s0
    class core
    socket adbd stream 660 system system
    disabled
    seclabel u:r:adbd:s0

后来在init.c中，setexeccon将其设置为写入的上下文：

if (svc->seclabel) {
    if (is_selinux_enabled() > 0 && setexeccon(svc->seclabel) < 0) {
        ERROR("cannot setexeccon('%s'): %s\n", svc->seclabel, strerror(errno));
        _exit(127);
    }
}

在上面的示例中，域名为adbd。

但我没有找到服务声明中没有seclabel令牌时会发生什么。在init.c中发生的事情是它不会调用setexeccon，意思是..保留父域？

致电：

ps -Z

显示所有进程及其域的adb shell中的

以其他方式显示。

For example, the servicemanager in init.rc:
    class core
    user system
    group system
    critical
    onrestart restart healthd
    onrestart restart zygote
    onrestart restart media
    onrestart restart surfaceflinger
    onrestart restart drm

但是调用ps -Z显示：

u:r:servicemanager:s0          system    53    1     /system/bin/servicemanager

怎么回事？！

Answer 1

好的，我查看了代码，最后得到了答案！

在android映像的根文件系统上找到的文件：/ external / sepolicy / seapp_contexts包含以下内容：

isSystemServer=true domain=system_server
user=system domain=system_app type=system_app_data_file
user=bluetooth domain=bluetooth type=bluetooth_data_file
user=nfc domain=nfc type=nfc_data_file
user=radio domain=radio type=radio_data_file
user=shared_relro domain=shared_relro
user=shell domain=shell type=shell_data_file
user=_isolated domain=isolated_app levelFrom=user
user=_app seinfo=platform domain=platform_app type=app_data_file levelFrom=user
user=_app domain=untrusted_app type=app_data_file levelFrom=user

根据某些输入定义每个进程的安全设置（输出）。我们可以在第一行的这个例子中看到：

  

如果是系统服务器，其域名将为system_server

或者在最后一行：

  

_app关键字代表没有与之关联的规则的每个应用。因此，默认情况下，应用程序域将是untrusted_app，文件属于它标签将是app_data_file。

在文件中可以找到有关文件语法的更多文档。