通过前面的文章内容,我们对 SELinux 目录和 te 文件有一个初步的了解,这里我们继续研究Sepolicy 的语法规范。
一、Sepolicy语言介绍
Linux 中有两种东西,一种死的(Inactive),一种活的(Active)。活的东西就是进程,而死的东西就是文件(Linux 哲学,万物皆文件。注意,万不可狭义解释为 File,普通文件、特殊文件、套接字等都属于文件范畴)。他们之间就是一种使用(操作)与被使用(被操纵)的关系,进程能发起动作(例如它能打开文件并操作它),而文件只能被进程操作。
SElinux Policy 语言将死的和活的东西都给打上"标签",通过"标签"将系统内的资源(包括进程)分成不同的角色(比如:用户、客体),进而对整个系统资(包括进程)进行合理安全的管控。
1、属性(attribute)
所有常⻅的 Attribute 定义在 /system/sepolicy/public 下⾯,vendor 定义的 attribute 通常 在 /device/qcom/sepolicy/vendo