SEAndroid笔记（一）

1. 将来SEAndroid会与SVP（Secure Virtualization Platform）、Trusted Computing、TrustZone结合起来使用。
2. 在Android 4.4中，SEAndroid已经是enforce状态，但是policy还很弱只保护了Linux Daemon。
3. SEAndroid配置文件升级将会使用Android 4.3中首次出现的ConfigUpdate机制。在SEAndroid的external/sepolicy中出现了一些新的工具，比如buildsebundle。buildsebundle是一个shell script，它过滤seapp_contexts、file_contexts、property_contexts、和sepolicy，然后调用buildbundle生成更新用的bundle。使用时，将此bundle传送到手机，然后将persist.selinux.enforcing置为1，就可以了。
4. MMAC。目前install-time MAC已经进入Android主线，EOps进入SEAndroid主线。
install-time MAC:
build-time config file: external/sepolicy/mac_permissions.xml
runtime config file: /system/etc/security/mac_permissions.xml
update config file: /data/security/mac_permissions.xml or /data/system/mac_permissions.xml
property: persist.mmac.enforce

persist.mmac.enforce只控制mmac是否起作用，但是install-time MAC的另一个作用，给app打seinfo总是起作用的。

EOps （Enterprise Operations）:
将前面的mac_permissions.xml换成eops.xml即可。
目前EOps还处于beta状态，因为它依赖于Android 4.3出现的AppOps（Application Operations）。AppOps是Beta状态，所以它也是。AppOps动态剥夺应用的权限，但是这种剥夺会造成应用崩溃。平滑的改变需要有时伪造数据，有时返回空字符串，可能有时是拒绝。Android Permission系统，我认为，是一团麻，不那么容易理清楚。